Una controvertida compañía habría permitido iniciar una increíble campaña de ciberespionaje, la primera proveniente de un país de habla hispana.
Denominada "The mask" (La máscara), la campaña infectó más de 380 objetivos antes de interrumpirse la semana pasada, dijo la firma de seguridad informática Kaspersky.
El nombre proviene del término español "Careto", o sea, "máscara" o "cara fea", que los autores incluyeron en algunos de los módulos de este programa malicioso.
La empresa declinó identificar al gobierno sospechoso detrás de esta acción de ciberespionaje, pero dijo que había estado activa sobre todo en Marruecos, seguido de Brasil, Reino Unido, Francia y España.
Uno de los blancos se alojó en la Argentina, aunque no fue identificado. El ataque en el territorio nacional permitió además detectar que existirían infecciones sobre iOS, el sistema operativo de Apple para dispositivos móviles. Kaspersky estableció que un iPad habría resultado afectado, "aunque es difícil estar seguros sin contar con un ejemplar", explicó.
La presunta implicación de un país de habla hispana en una campaña de este tipo es inusual ya que las operaciones de ciberespionaje más sofisticadas descubiertas hasta el momento estuvieron vinculadas a los Estados Unidos, China, Rusia e Israel.
Kaspersky dijo que el descubrimiento de esta operación sugiere que más países se convirtieron en expertos en el espionaje en internet. Los investigadores de la empresa se encontraron con la campaña cuando esta infectó el propio software de la empresa.
"Hay muchos grupos súper avanzados que no conocemos. Esto es la punta del iceberg", dijo Costin Raiu, director del equipo de investigación global de Kaspersky.
Raiu dijo que "La máscara" afectó a instituciones gubernamentales, empresas petroleras y de gas y activistas usando software malicioso que fue diseñado para robar documentos, claves de encriptación y otros archivos sensibles, así como para hacerse con el control total de las computadoras infectadas.
La operación infectó computadoras con Windows de Microsoft, Mac, propiedad de Apple, y es posible que dispositivos móviles con el sistema operativo Android de Google. Kaspersky también habló de posibles ataques sobre Linux, aunque no logró identificarlos con precisión.
La compañía dijo que el programa malicioso recopila una amplísima lista de documentos, incluidos algunos que "podrían estar relacionados con herramientas especiales de codificación propias de esferas militares/gubernamentales".
Los servidores desde donde trabajaba Careto fueron desactivados en enero de 2014 tras estar activos al menos durante más de seis años.
"Observamos un alto nivel de profesionalismo en los procedimientos del grupo de atacantes, como el monitoreo de su infraestructura, el cierre de la operación, el cuidado de no exponer sus reglas de acceso y la preferencia por la limpieza en lugar de eliminar los archivos de registro. Este nivel de seguridad operativa no es el acostumbrado en los grupos de ciberdelincuentes", dijo Kaspersky con respecto a por qué considera que se trató de una operación con respaldo gubernamental.
Cómo es la infección
Las acciones de The Mask son complejas debido a la cantidad de herramientas que emplea. También utiliza un ataque especialmente diseñado contra los productos antiguos de Kaspersky para poder esconderse en el sistema.
Para infectar equipos, la campaña de The Mask se basa en mails con enlaces a un sitio web malicioso que contiene amenazas diseñadas para infectar al usuario visitante, dependiendo de la configuración de su sistema. Una vez que infecta el equipo, reenvía al usuario al sitio web legítimo que aparece en el mensaje, que puede ser un video de YouTube o un portal informativo.
También se pide actualizar el programa Java o bien actualizar una extensión en Chrome, el navegador de Google.
La amenaza logra infectar equipos aprovechándose de vulnerabilidades en programas como Adobe Flash Player.
La vulnerabilidad ya resuelta que era empleada para ingresar en los sistemas era la CVE-2012-0773. Detrás de ese código se esconde una historia particular.
Vupen, una controvertida empresa que se dedica a vender información sobre vulnerabilidades a gobiernos, fue la primera en conseguir burlar la seguridad de Chrome a comienzos de 2012.
La mencionada vulnerabilidad fue la que permitió romper la seguridad del navegador y la compañía, tal como se esperaba, presentó su descubrimiento, guardó la información sobre cómo quebrantar Chrome y anunció que pensaba vender esos datos.
"Es posible que el atacante detrás de Careto comprara esta información de Vupen", mencionó Kaspersky.
0 comentarios:
Publicar un comentario