El equipo ASERT (Arbor Security Engineering and Response Team) de NETSCOUT Arbor descubrió que LoJack – originalmente conocido como CompuTrace–, el cual es una solución legítima de recuperación de portátiles utilizada por varias compañías para proteger sus activos en caso de que sean robados, contiene dominios de comando y control (C2) maliciosos, probablemente asociados con las operaciones del grupo de hackers rusos Fancy Bear.
Al respecto, Richard Hummel, gerente de Investigación de Amenazas de ASERT, informó que se han observado muestras de LoJack que contienen un C2 malicioso, “el modus operandi es una sustitución muy simple del C2 del servidor LoJack por un servidor administrado y controlado por el atacante. Por lo tanto, en lugar de ingresar al servidor legítimo de LoJack, se esté permitiendo una conexión al servidor de los atacantes que puede ser utilizada como una puerta trasera al sistema”, explicó.
La prueba de concepto en el uso de LoJack como vector de intrusión se remonta a 2014. Su uso continuo sugiere que los atacantes podrían haberlo usado en operaciones de larga duración.
Aunque se desconoce cómo se distribuye el malware en este momento, Fancy Bear a menudo utiliza pishing para su entrega. Estos ciberactores suelen elegir objetivos geopolíticos, como gobiernos y organizaciones internacionales; también se dirigen a las industrias que hacen negocios con dichas organizaciones, como los contratistas de defensa.
Con respecto a si esta amenaza puede ser aprovechada por los ciberdeliuncuentes para afectar el ambiente electoral que vive México, Richard Hummel, opinó: “Al igual que cualquier puerta trasera, el atacante puede permanecer latente durante un período de tiempo hasta que esté listo para utilizar el acceso. Si llevaron a cabo campañas de phishing antes de una elección y comprometieron con éxito las máquinas de los funcionarios, entonces podrían usar eso para motivaciones políticas. Sin embargo, no tenemos indicaciones de orientación hasta la fecha”.
El software LoJack le da al atacante la capacidad de mantener la persistencia y evitar la detección. Si una compañía usa el software en su organización, no levantará ninguna bandera roja para impedir que alguien instale el agente. Si de alguna manera instalaron un agente que tiene el C2 malicioso, se establecería una puerta trasera en ese sistema, indicó el gerente.
De acuerdo con los investigadores de ASERT, la modificación binaria del “agente pequeño” es trivial. El agente LoJack protege la URL C2 codificada utilizando una clave XOR de un solo byte; sin embargo, según los expertos, confía ciegamente en el contenido de la configuración. Una vez que un atacante modifica correctamente este valor, el agente doble está listo para funcionar. Este no es el único aspecto que hace que LoJack sea un objetivo atractivo; los atacantes también están preocupados por la detección del Anti Virus (AV). Al buscar en VirusTotal, muchos proveedores de antivirus no marcan los ejecutables de LoJack como maliciosos, sino como “no-virus” o “herramienta de riesgo”.
Con una baja detección del AV, el atacante ahora tiene un ejecutable oculto a la vista, un agente doble. El atacante simplemente necesita pararse en un servidor C2 malicioso que simula los protocolos de comunicación de LoJack. Finalmente, el “pequeño agente” de LoJack permite lecturas y escrituras de memoria que le otorgan funcionalidad de puerta trasera remota.
