Portada :: Conocimiento Libre :: Batalla por la informacin y espionaje global
Aumentar tamaño del texto Disminuir tamaño del texto Partir el texto en columnas Ver como pdf 15-02-2014

Puede estar Espaa detrs del malware "Careto/The Mask"?

Diario Turing


Careto podra tener origen espaol o hispano, pues se han encontrado varios trminos en castellano dentro del software

Careto podra tener origen espaol o hispano, pues se han encontrado varios trminos en castellano dentro del software

El malware espa extremadamente sofisticado que ha descubierto la firma de seguridad rusa Kaspersky ha sido bautizado como Careto. Esto es porque el trmino estaba incluido en algunos de los mdulos del software. Un detalle, junto a la existencia de otras palabras en espaol, que sugiere que los creadores son de habla hispana, algo muy poco habitual en ataques de este tipo. Los atacantes a veces dejan pistas falsas para que sea ms difcil rastrearlos, pero no es habitual encontrar trminos en castellano.

Sin embargo, los pases infectados y la dispersin de las infecciones se corresponden con los ejes de la poltica exterior espaola. En total son 31 pases, entre los cuales se encuentran nueve de Latinoamrica, con especial hincapi en Brasil, donde Espaa cuenta con grandes inversiones en estos momentos. En el norte de frica todos los pases que lindan con el Mediterrneo han sido infectados por el malware. El caso ms agudo es el de Marruecos, que es de largo la nacin ms afectada por 'Careto'. Europa tambin est presente, son siete los estados que figuran en la lista de Kaspersky.

Han sido 31 pases los infectados, con desigual suerte, como se puede ver en la grfica

Han sido 31 pases los infectados, con desigual suerte, como se puede ver en la grfica

Otras regiones de importancia estratgica para Espaa estn reflejadas en el ataque, como Estados Unidos, pases de Oriente Medio y China. Un dato que tambin podra ser revelador es que Gibraltar se encuentra en la lista, como apunta el especialista en seguridad Bruce Schneier en su blog, quien asimismo sugiere que pronto los pases empezarn a infectar a otros con los que no tienen relacin para alentar la confusin. La lista completa la componen Argelia, Argentina, Blgica, Bolivia , Brasil , China, Colombia, Costa Rica, Cuba , Egipto, Francia , Alemania, Gibraltar, Guatemala, Irn , Irak, Libia, Malasia , Marruecos, Mxico, Noruega, Pakistn, Polonia, Sudfrica, Espaa, Suiza, Tnez, Turqua, Reino Unido, Estados Unidos y Venezuela.

Los investigadores descubrieron la existencia de Careto el ao pasado. Desde entonces han ido desgranando su funcionamiento y su amplitud. Las muestras ms antiguas del malware espa se detectaron en 2007. En total son 380 vctimas, equipos informticos, con 1.000 IPs diferentes las que se han visto afectadas por Careto. El malware interviene todos los canales de comunicacin de un equipo, con lo que toda la informacin que se mueve queda expuesta. El malware est orientado a la captacin de los datos ms crticos, como las contraseas, configuraciones VPN o claves SSH, que permiten la entrada a servidores SSH, con seguridad adicional. Los archivos RDP, que ofrecen acceso a mquinas reservadas, tambin se han visto afectados hasta el pasado mes de enero, cuando el servidor de comando y control utilizado por los atacantes ces su actividad.

[El malware] permite desde grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo, en fin, todo un arsenal para espiar, indica Vicente Daz, analista senior de malware en Kaspersky.

El termino 'careto' est presente en algunos de los mdulos del malware

El termino 'careto' est presente en algunos de los mdulos del malware

'The Mask' se ha introducido en instituciones gubernamentales, legaciones diplomticas o embajadas. Sin embargo, tambin se ha encontrado en los llamados sistemas crticos (aquellas instalaciones cuyo funcionamiento es necesario para la zona donde se emplazan), como las compaas de energa, incluidas las de petrleo y gas. Incluso constan como objetivos organizaciones dedicadas a la investigacin y grupos activistas, lo que da una idea del afn de control de los atacantes. Vicente Daz destaca que se trata de objetivos selectivos con perfiles cuidadosamente escogidos.

Uno de los malware espa ms sofisticados

La infeccin de Careto se produca a partir de un ataque de phishing, el envo de mensajes de correo electrnico con enlaces a un sitio malicioso, camuflado bajo una redireccin que se efectuaba a algn portal conocido, como YouTube, tras haber instalado el malware. Para confundir a los usuarios se han utilizado subdominios que simulaban secciones de los principales peridicos de Espaa, as como otros internacionales, entre los que estn The Guardian o The Washington Post.

Pero la verdadera sofisticacin se advierte en la complejidad de las herramientas utilizadas. Los atacantes se sirven de exploits punteros, un rootkit y un bootkit. Kaspersky ha descubierto que al menos se utiliz una vulnerabilidad de Adobe Flash Player, presente en las versiones 10.3 y 11.2. Una falla que Adobe solucion en abril de 2012, segn indica la compaa. La deteccin del malware se ha calificado como extremadamente difcil.

Hacer un ranking de sofisticacin resulta complicado. No obstante, este cdigo malicioso realmente era muy alucinante. A nivel tcnico era muy escurridizo y haca una serie de cosas muy originales, afirma Daz. Existen versiones de Careto para Mac OS X y para Linux, mientras que los investigadores juzgan como probables otras para Android y iOS. La variedad de sistemas operativos que soporta se debe a que el malware est destinado al equipo de una vctima especfica, con lo que los atacantes se aseguran ms posibilidades de xito.

Aunque la atribucin es complicada, desde la firma de seguridad rusa apuntan una serie de razones que sugieren el patrocinio de una entidad estatal. El tipo de vctimas y su carcter selectivo invita a pensar en labores de inteligencia. En una nota de prensa, el director del equipo de investigacin y anlisis global de Kaspersky Lab, Costin Raiu, expone as las pistas. Se ha observado un alto grado de profesionalidad en los procedimientos operativos del grupo que est detrs de este ataque: desde la gestin de la infraestructura, el cierre de la operacin, evitando las miradas curiosas a travs de las reglas de acceso, y la limpieza en lugar de la eliminacin de los archivos de registro, comenta, aclarando que este nivel operacional no es habitual en grupos dedicados al cibercrimen.

Imgenes: Kaspersky

Fuente: http://www.eldiario.es/turing/vigilancia_y_privacidad/careto-ciberespionaje_0_228527853.html



Envía esta noticia
Compartir esta noticia: delicious  digg  meneame twitter