APT28 Hackea LoJack Software y los antivirus no pueden detectarlo

Recientemente investigadores encontraron versiones corruptas del software legítimo LoJack que parece haber sido modificado a escondidas para permitir hackers dentro de las empresas que usan el servicio.

Expertos en seguridad informática comentaron que los dominios encontrados dentro de las instancias infectadas de LoJack han estado vinculados previamente a otras operaciones llevadas a cabo por APT28, un grupo de ciberespionaje con sede en Rusia, vinculado a la inteligencia militar de la compañía.

lojack

El grupo APT28 parece haber estado difundiendo instancias LoJack contaminadas. El software LoJack, es una aplicación que las empresas o los usuarios instalan en sus dispositivos que funciona como un faro y permite a los propietarios rastrear y localizar dispositivos en caso de robo.

Los profesionales en seguridad informática de Arbor Networks dijeron haber encontraron aplicaciones LoJack que contenían una pequeña modificación en el binario de la aplicación apuntando al agente LoJack a un servidor de comando y control deshonesto (C & C).

Esto nos dice que en lugar de informar al servidor LoJack central, los agentes de LoJack informaron y recibieron instrucciones de los dominios bajo el control de APT28.

Los investigadores también comentaron que no pudieron encontrar ninguna evidencia de que APT28 usara LoJack para entrar en los sistemas de las víctimas y robar datos, aunque no descarta que esto ya haya ocurrido.

Por la forma en que se construye el agente LoJack, son los troyanos de puerta trasera perfectos, los atacantes tienen acceso a una pieza de software que viene con un potente sistema de persistencia incorporado que permite a LoJack sobrevivir a reemplazos de disco duro y al sistema operativo (SO) de imágenes, también tiene la capacidad de ejecutar cualquier código en el sistema del objetivo, con los mayores privilegios posibles.

Esta característica permite a APT28 descargar otro malware, buscar datos confidenciales, filtrar datos robados a servidores remotos, borrar registros de cualquier artefacto de intrusión e incluso borrar o dañar dispositivos infectados.

Profesionales dijeron que ya que la modificación de los binarios LoJack viciados es extremadamente pequeña, hecha a un archivo de configuración, la mayoría de los escáneres antivirus no distinguen estas versiones contaminadas como maliciosas.

“Con una baja detección AV, el atacante tiene un ejecutable oculto a la vista, un agente doble”, explicaron los expertos en seguridad informática de Arbour en un informe. “El atacante solo necesita pararse en un servidor C2 deshonesto que simula los protocolos de comunicación de LoJack”.

Las versiones de LoJack contaminadas probablemente sean distribuidas a través de spear-phishing. Los investigadores aun no han podido identificar cómo APT28 distribuyó estos binarios LoJack contaminados a los objetivos, pero creen que los hackers usaron correos electrónicos de spear phishing para engañar a las víctimas y así instalar las versiones maliciosas de LoJack en sus sistemas.

Los investigadores creen que APT28 podría haberse inspirado en una charla de Black Hat de 2014, cuando los profesionales exploraron la idea de utilizar el software LoJack como una puerta trasera extremadamente modular y persistente.