Careto: un malware muy sofisticado y (probablemente) con origen español
El malware cada vez es más y más sofisticado. Hemos visto ejemplos como
Flame o Stuxnet salir a la luz después de llevar varios años en la
sombra. Kaspersky Labs ha añadido hoy una pieza más a esa lista: The
Mask o Careto.
Los investigadores se encontraron, prácticamente de casualidad, con un
malware que se aprovechaba de una vulnerabilidad en productos Kaspersky
para hacerse invisible en el sistema. El hecho de que no se conociese
ningún otro malware que la estuviese usando despertó su curiosidad y se
empezó a investigar de dónde venía ese exploit.
El equipo de investigación de Kaspersky se ha encontrado con un malware
muy complejo, que explota varias vulnerabilidades 0-day, con versiones
para varios sistemas operativos y que ha estado funcionando desde 2007
(como mínimo).
Careto se propagaba a través de mensajes de correo electrónico. Las URLs
parecían familiares. Muchas de ellas simulaban ser enlaces a páginas de
diarios españoles (un ejemplo: politica.elpais.linkconf . net), pero en
realidad dirigían a servidores que lanzaban ataques contra el visitante
según su navegador y sistema operativo. Los investigadores han
encontrado exploits para Java, Flash, y plugins para Chrome y Firefox en
cualquier SO (Windows, Mac o Linux).
Una vez que el exploit accedía al sistema, descargaba dos paquetes de
software: Careto y SGH. Careto funciona con permisos de usuario,
mientras que SGH, un rootkit, se ejecuta en el núcleo del sistema. Para
no levantar sospechas, ambos estaban firmados con un certificado de una
compañía falsa.
Ya instalados en el sistema, Careto y SGH obtenían datos sensibles del
ordenador: claves de cifrado, configuraciones de VPN y escritorio
remoto, claves SSH… También se comunicaban usando HTTPS con los
servidores C&C (Command and Control), de los que recibían órdenes y a
los que transmitían resultados. Además, revisando los registros de esos
servidores, Kaspersky Labs ha encontrado pruebas de que Careto también
podría tener versiones para Android e iOS.
¿Quién está detrás de Careto?
En estos casos la autoría no se puede determinar fácilmente. Sin
embargo, teniendo en cuenta la sofisticación del malware y los objetivos
(instituciones, embajadas, compañías energéticas y activistas
principalmente), lo más probable es que Careto haya sido creado por un
Estado y no por unos hackers independientes.
Pero hay más. Lo primero es que en los ejecutables hay varias cadenas en
español, incluyendo la muy reveladora clave de cifrado Caguen1aMar. La
lista de dominios de phishing usados en los correos electrónicos
contiene principalmente diarios españoles. Además, la mayoría de las
víctimas tienen IP de España, de países hispanohablantes, de Francia o
de Marruecos. También es llamativa la presencia de Gibraltar. Bruce
Schneier especula con que todo esto apunta a España como fuente del
malware. (https://www.schneier.com/blog/archiv...sk_espion.html)
También podrían ser pistas falsas, por supuesto, en cuyo caso serían pistas falsas muy bien puestas.
En resumen, Careto es un malware muy inusual, y que según Kaspersky está
por encima de Duqu, Gauss, RedOctober o Icefog en cuanto a
sofisticación. Una muestra más de que la seguridad informática ya no es
cosa de hackers encerrados en un sótano, sino de grupos enteros
dedicados a la seguridad dirigidos por agencias estatales.
Fuente: Genbeta (Careto: un malware muy sofisticado y (probablemente) con origen español)
***
Los investigadores de Kaspersky Lab detectaron la existencia de
‘Careto’, aclaran, porque éste intentó atacar el software de seguridad
informática de la compañía con el propósito de hacerse invisible dentro
de un sistema. «Esto, claro, llamó nuestra atención, y nuestro equipo
decidió investigar más allá», explican. «En otras palabras, los
atacantes atrajeron nuestra atención intentando atacar uno de nuestros
productos».
Una vez se pusieron a trabajar en el asunto descubrieron que ‘Careto’
funciona desde 2007, y que dejó de operar en enero de 2014. Su año más
activo, en el que se desarrollaron más módulos y capacidades para el
sistema, fue 2012. Kamluk explica que, aunque no puede afirmarlo con
certeza, puede que su identificación por parte de Kaspersky Lab
desencadenase el cierre de la operación. «Parece una razón muy
probable», sentencia.
Fuente: ?Careto?: ciberespionaje global con toque espa?ol. diariovasco.com
***
"Algo que llamó nuestra atención es que en el momento en que comenzamos a
dar aviso, fue eliminada por completo su infraestructura de
operaciones. En cuatro horas dieron de baja servidores y todo rastro",
dijo Bestuzhev.
"Esto habla de agudas actividades de monitoreo y de un plan muy profesional de reacción inmediata",
Fuente: CiberespÃ*an a México y a 30 paÃ*ses más | Nacional | El Diario
***
Informe Kaspersky (pág. 46 valoraciones sobre el origen): http://www.securelist.com/en/downloa...emask_v1.0.pdf
***
¿Será que somos capaces de crear malware tan potente? Lo que queda claro
es que al menos un catalán/mallorquín/valenciano estaba metido en el
proyecto.
No hay comentarios:
Publicar un comentario