Semanas atrás, integrantes del equipo de Laboratorio de Investigación de Malware de ESET Latinoamérica notaron un importante incremento en las tasas de detección de un código malicioso particularmente en un país de Latinoamérica. Éste es un patrón de propagación poco frecuente de observar.

Además, se trata de una detección un tanto particular: ACAD/Medre, una firma creada para un archivo del popular software de diseño, AutoCAD.

A partir de estos datos, se procedió a analizar la muestra en cuestión, identificando un ataque de espionaje industrial diseñado exclusivamente para robar diseños, mapas y planos; y aparentemente propagado para robar información de instituciones y empresas del Perú.

Por lo general, se entiende que los ataques informáticos pueden dividirse (entre otras categorías) en ataques dirigidos y ataque no dirigidos. Los códigos maliciosos, suelen estar enmarcados en los no dirigidos, es decir, suelen liberarse en la web con algún ánimo en particular (robo de información, phishing, botnets, etc.), sin distinción de quién es la víctima.

No obstante, han existido algunos casos de uso de malware de forma dirigida como por ejemplo Operación Aurora, Stuxnet, Duqu o Flame, entre otros. Operación Medre es uno de los casos aislados de malware como ataque dirigido.

Tampoco es frecuente que un gusano informático se propague a través de archivos de este tipo y menos aún que estén diseñados exclusivamente para robar proyectos de AutoCAD. Por lo tanto no solo se trata de un código malicioso como ataque dirigido, sino que este gusano es parte de una operación de ciberespionaje.

Asimismo, la amenaza no solo se caracteriza por propagarse a través de archivos de AutoCAD, sino también está diseñada para robar estos archivos; una característica peculiar que demuestra la tendencia de los cibercriminales de expandir las técnicas utilizadas para llegar a los fines deseados.

Finalmente, ataques como este tampoco han sido frecuentemente identificados en la región, por lo que además se trata del primer caso de esta índole y magnitud analizado en profundidad para Latinoamérica.

Aunque muchas organizaciones se encontraban prevenidas contra esta amenaza (todos aquellos usuarios de las soluciones antivirus de ESET que la han reportado), el atacante logró obtener miles de proyectos confidenciales, confirmando la importancia, no solo de contar con las herramientas pertinentes de protección, sino de gestionar eficientemente la seguridad en todo tipo de organizaciones, analizando y comprobando las posibles vulnerabilidades de los sistemas más allá de las herramientas utilizadas.

Luego que el atacante liberó la versión inicial del código malicioso, la misma comienza a infectar sistemas, y los usuarios que abren proyectos de AutoCAD en estos equipos infectados, envían mensajes a múltiples cuentas del atacante con el proyecto (archivo .dwg) adjunto.

Así, el atacante puede acceder a los archivos y conoce información confidencial.

Cuando la cuenta del atacante estuvo llena, los correos comenzaron a rebotar quedando también almacenados en las cuentas de correo utilizadas para enviar.

Fue de gran ayuda el sistema ESET Live Grid para permitir identificar los archivos infectados alojados en sitios web, destacándose también Perú como el país con mayor cantidad de reportes de este tipo.

En un caso particular, un importante sitio web del Perú poseía infectado un proyecto que oficiaba como template (documento base) que podía ser descargado por los posibles proveedores de la institución. De esta forma, cualquier proveedor de esta organización, crearía un proyecto a partir de ese documento, y por ende todos estos caerían en manos del atacante.

ESET ha estado investigando este código malicioso y analizando en profundidad todos los componentes relevantes a Operación Medre. A raíz de lo antes descripto, ESET ha tomado las siguientes acciones para controlar y remediar los daños causados por este incidente.

En primer lugar, se han contactado a las autoridades competentes del Perú y ESET Latinoamérica ha ofrecido el apoyo y asistencia para controlar y remediar la situación.

Además, ha sido contactada la empresa Autodesk (fabricante del producto AutoCAD) y las empresas chinas proveedoras del servicio de correo electrónico utilizado por el atacante.

Una de estas empresas ya ha dado una rápida y eficiente respuesta, deshabilitando las cuentas de correo utilizadas por el gusano (que ESET proveyó junto a la evidencia del caso).

De esta forma, los casos en que aleatoriamente las cuentas seleccionadas correspondan a este dominio (uno de los dos utilizados), el gusano ya no es funcional y el proyecto no es enviado al atacante.

Finalmente, ESET ha desarrollado una herramienta de limpieza gratuita, por lo que cualquier usuario podrá descargarla y verificar si su sistema y/o proyectos de AutoCAD están comprometidos y, en caso afirmativo desinfectarlos.

Mientras el ciberespionaje sigue creciendo, se comprueba que la región latinoamericana no está exenta de éste. Asimismo, queda confirmado que los códigos maliciosos ya no ofician como componentes aislados, sino que son una herramienta fundamental de los cibercriminales para delitos de índole mayor, como es el caso de Operación Medre, un ataque dirigido a instituciones de Perú con el claro ánimo de espionaje industrial.