El equipo de Helios de los laboratorios 360 SkyEye reveló que un grupo llamado OnionDog se ha estado infiltrando y robando la información de energía, transporte y otras industrias de infraestructura en países coreanos a través de Internet.

La primera actividad de OnionDog fue en octubre de 2013 y en los siguientes dos años sólo estuvo activo entre finales de julio y principios de septiembre. El ciclo de vida del ataque del troyano es de 15 días en promedio y es claramente orientada a objetivos.

El malware OnionDog se transmite mediante el aprovechamiento de la vulnerabilidad del popular software de oficina en Hangul (alfabeto nativo coreano) en países coreanos, que atacó objetivos de red aislados a través de un gusano USB.

Orientación de la industria de la infraestructura

OnionDog concentró sus esfuerzos en las industrias de infraestructura en países coreanos. En 2015 atacó principalmente puertos, VTS, metros, transportes públicos y otros sistemas de transporte. En 2014 atacó a muchas empresas de energía eléctrica y de recursos hídricos, así como otras empresas de energía.

El equipo de Helios ha encontrado 96 grupos de código malicioso, 14 nombres de dominio y direcciones IP relacionadas con OnionDog. El troyano establece su propio tiempo de “estado activo”, siendo el más corto de tres días y un máximo de 29 días, desde la compilación hasta el final de la actividad. El ciclo de vida promedio es de 15 días, lo que hace más difícil para las empresas víctimas darse cuenta y tomar acciones para que los activos duren un periodo de tiempo más largo.

Los ataques de OnionDog se llevan a cabo principalmente esparciendo correos electrónicos de phishing. El troyano utiliza iconos y números de archivo para crear un archivo HWP falso (Hanword Document; formato de archivo en Hangul). Posteriormente, el troyano utiliza una vulnerabilidad en una versión mejorada del Hangul, que incrusta código malicioso en un archivo HWP real. Una vez abierto el archivo, la vulnerabilidad provoca la descarga y activación del troyano.

Como la mayoría de las industrias de infraestructura generalmente adoptan medidas de aislamiento de la intranet, OnionDog utiliza una unidad de disco USB para romper la falsa sensación de seguridad de aislamiento físico. En el clásico caso del APT virus Stuxnet, que rompió en una planta de energía nuclear de Irán, el virus utiliza un disco USB de un empleado para eludir el aislamiento de red. OnionDog también utiliza este canal y gusanos USB generados para infiltrarse en la red interna de destino.