Descubren la madre de las ‘ciber-amenazas’

CANCUN, México, 16 Feb. 2015.- Si hace unos años sorprendía al mundo el descubrimiento de las sofisticadas ciber-amenazas de ofensiva militar Stuxnet y Flame, ahora los expertos han localizado la que sería su plataforma inicial, la precursora de esos potentes códigos maliciosos supuestamente controlados por un Estado.

 

En 2010, se descubrió Stuxnet, una ciber-amenaza que estaría controlada por un Estado dada su complejidad, según los expertos, diseñada para dañar centrales nucleares en Irán, que operaba desde 2007; años después, expertos de seguridad detectaron otra de semejante envergadura dirigida a ciberespionaje y que compartía curiosamente código fuente con la anterior, llamada Flame.

 

Ahora durante el congreso anual de ciber-seguridad SAS 2015 que celebra Kaspersky en Cancún (México), los responsables de esta empresa han anunciado el descubrimiento de la plataforma “Equation Group”, que por sus características técnicas y operatividad ha sido presentada como la madre de las ciber-amenazas anteriores.

 

Durante varios años, los investigadores de Kaspersky Lab vigilan a más de sesenta actores de amenazas avanzadas responsables de ciber-ataques en todo el mundo.

 

“Se ha visto casi todo, incluyendo ataques cada vez más complejos conforme más Estados-nación se han involucrado y tratan de armar con las herramientas más avanzadas”, explicaron.

 

Sin embargo, “ahora se ha descubierto a un actor de amenaza  que supera todo lo conocido en función de complejidad y sofisticación de técnicas, y que ha estado activo casi dos décadas, aunque ahora está cambiando sus estrategias, llamado Equation Group”, según sus responsables.

 

Dmitry Bestuzhev, director de Análisis e Investigación de Kaspersky en América Latina, explicó que se trata de un código malicioso de ciber-ofensiva militar, integrado por seis módulos distintos, y cuyo origen se remonta al inicio de cualquier ataque anterior visto en ese ámbito.

 

Para atacar, el grupo utiliza un arsenal poderoso de “implantes” (troyanos); su peculiaridad es que infecta al propio hardware del disco de almacenamiento de la máquina, y no al software, como es habitual, por lo que este nunca aparece como infectado aunque el aparato lo está.

 

En caso de infección, “hoy la tecnología con la que se cuenta para detectar amenazas no permite de ninguna manera curar el hardware comprometido”, precisó el experto.

 

Esta plataforma de ciberespionaje militar borra incluso sus huellas con alta profesionalidad cuando intuye que puede ser descubierta su actividad y puede instalar nuevos módulos de acuerdo con las necesidades de extracción de información que se le encomiendan.

 

Según Kaspersky, los indicios apuntan a que la operación de Equation Group está activa desde 1996, con módulos diseñados incluso para infectar antiguas máquinas equipadas con Windows 95; varias marcas populares de discos duros estarían afectadas, entre otras, Samsung, Toshiba o Hitachi, según sus datos.

 

La plataforma está controlada por gente “que ama los números” porque se usan muchas ecuaciones; “en algunos casos se encuentran códigos con una rutina de cifrado de hasta 10,000 veces”, una “auténtica locura matemática”, precisó Bestuzhev.

 

Es tal su complejidad que solo un Estado puede estar detrás de ella; “por su poder tremendo tanto matemático, científico, de visión, coordinación, planificación, control, intereses, distribución, mantenimiento… cuesta muchos recursos de todo tipo desarrollarla”, añadió.

 

Por el momento, Equation Group se ha dejado ver en Europa, en Bélgica, Francia, Alemania, Suiza y Reino Unido; y también en Irán, Rusia, Siria, Afganistán, Kazajistán, Somalia, Hong Kong, Libia, Emiratos Árabes Unidos; en América Latina, en Ecuador, México y Brasil.

 

Entre sus víctimas, Gobiernos e instituciones diplomáticas, empresas de telecomunicaciones, agencias aeroespaciales, plantas de energía, plataformas de investigación nuclear, centros científicos de vanguardia (como nanotecnología), entidades farmacéuticas.

 

También, militares, grandes medios de información, instituciones financieras y compañías dedicadas al cifrado informático para la seguridad de las comunicaciones.

 

Por cifras, el número de empresas afectadas supera el millar en todo el mundo, una cifra que delata unos objetivos de espionaje “muy precisos”, según el responsable de Kaspersky.

 

Ha añadido que los atacantes disponen de centros de comando y control de operaciones en diferentes países, con más de 300 dominios registrados y cien servidores ubicados en Estados Unidos, Reino Unido, Italia, Alemania, Holanda, Panamá, Costa rica, Malasia, Colombia y República Checa.

 

 

Els