Descubierta una red informática de espionaje internacional

Kaspersky Lab destapa un entramado que vigila a organizaciones diplomáticas, gubernamentales y científicas. Fuente: kommersant

Kaspersky Lab destapa un entramado que vigila a organizaciones diplomáticas, gubernamentales y científicas. Fuente: kommersant

Kaspersky Lab, empresa antivirus de Rusia con presencia en más de 100 países, ha descubierto una red de espionaje que vigila a organizaciones diplomáticas, gubernamentales y científicas de diferentes países, según informa un comunicado de la compañía. La red ha sido bautizada con el nombre en clave de “Octubre Rojo”. Podría ser que programadores ruso hablantes estuvieran tras la creación de esta red.

Las actividades de los ciberdelincuentes estaban enfocadas a la obtención de información y datos confidenciales que permitían el acceso a los sistemas informáticos, dispositivos móviles personales y redes corporativas, así como a la recogida de informaciones de carácter geopolítico. 

Los atacantes ponían un énfasis especial en Rusia, las repúblicas de la antigua Unión Soviética, los países de Europa del Este y también en una serie de estados de Asia Central. 

En octubre del año 2012, expertos del Kaspersky Lab empezaron a investigar una serie de ataques en las redes informáticas de representaciones diplomáticas internacionales. Durante el estudio de esos incidentes los especialistas descubrieron una gran red de ciberespionaje. Los expertos llegaron a la conclusión de que la operación 'Octubre Rojo' empezó en el año 2007 y todavía continua.

Haz click en la imagen para ver los datos

“Nuestra investigación empezó después de que recibiéramos archivos de uno de nuestros socios, que deseó quedar en el anonimato. En seguida comprendimos que se trataba de una de las redes más amplias de ciberespionaje que habíamos visto nunca”, informó a CNews el experto jefe de Kaspersky Lab, Vitali Kamliuk. 

“La cantidad y la variedad de códigos perjudiciales de esta campaña es simplemente increíble, más de 1000 ficheros únicos y 34 tipos de módulos diferentes. Además, suponemos que tenemos acceso solo a una parte del panorama que en realidad es mucho más grande y amplio”, declaró el experto. 

Los analistas descubrieron que en cinco años los atacantes infectaron cerca de 300 ordenadores y dispositivos móviles y robaron centenares de Tbytes de información, utilizando más de 60 nombres de dominio. 

Según sus datos, los dominios se instalaron en servidores intermedios, especialmente en direcciones IP rusas y alemanas. No se sabe dónde está alojado el servidor principal. 

Las palabras rusas y el argot en el texto de los módulos de los virus permiten suponer que fueron programadores rusos los que redactaron su código aunque los expertos de Kaspersky no pudieron aclarar la pertenencia y los objetivos de los hackers. 

A los malhechores no les interesan solo los funcionarios y los diplomáticos ya que también se infectaron los ordenadores de organizaciones científicas, comerciales y militares así como los de empresas nucleares, petroleras, gasísticas y espaciales. 

Los delincuentes sustrajeron información de los sistemas infectados contenida en archivos de diferentes formatos. Entre ellos los expertos descubrieron ficheros con la extensión acid*, que indica que pertenece al software encriptado Acid Cryptofiler, utilizado por una serie de organizaciones que forman parte de la Unión Europea y de la OTAN. 

Aunque mientras no esté concluida la investigación los analistas de Kasperski prefirieron no revelar de qué estructuras concretas se filtraron datos. 

En general, las infecciones tuvieron lugar a través del correo electrónico, con la particularidad que para cada víctima se preparó una carta sobre un tema que fuera capaz de interesar al propietario de la cuenta de correo, explicó Vitali Kamliuk en una entrevista al diario Védomosti. 

Por ejemplo, a veces se trataba de anuncios sobre la venta de coches diplomáticos. En el correo había un programa troyano especial que instalaba el malware a través de la explotación de las vulnerabilidades de seguridad en Microsoft Office. 

Los exploits fueron creados por los ciberdelincuentes y anteriormente se habían utilizado en diferentes ciberataques dirigidos contra los activistas del Tibet así como contra sectores energéticos y económicos de una serie de países de Asia. 

En Kaspersky Lab destacan que una de las características más utilizadas por estos ciberdelincuentes es la existencia de un módulo que permite “resucitar” a los sistemas infectados. El módulo se instala como un plug-in de Adobe Reader y Microsoft Office y garantiza a los atacantes un segundo acceso al sistema en caso que el principal malware sea detectado y eliminado o si se ha ejecutado una actualización del sistema. Además también permite robar datos de dispositivos móviles. 

La investigación continúa en colaboración con organizaciones internacionales, órganos de seguridad y Computer Emergency Response Teams (CERT) de varios países. 

Durante los últimos cinco años los ciberataques de espías han evolucionado de ataques aislados, que utilizan una vulnerabilidad concreta, hasta sistemas de escala industrial, informó el director ejecutivo de Peak Systems, Maxim Emm. 

Para obtener información a menudo ya no se requieren ataques dirigidos, se necesitan ordenadores (por ejemplo, en las instituciones estatales) infectados previamente y su acceso lo venden los propietarios de botnets (las redes infectadas), explica Emm. 

Es posible defenderse de este tipo de ataques a través de la utilización conjunta de medios técnicos, tales como la instalación de programas antivirus (el hecho de saber qué antivirus utiliza la víctima ayuda a los atacantes a no ser descubiertos) y medidas organizativas como la prohibición de abrir enlaces y adjuntos de correos procedentes de direcciones desconocidas, y también la de utilizar los mismos USB para las redes internas y externas, explica Kamliuk. 

La probabilidad de fractura es menor cuanto más líneas de ciberdefensa tenga la organización: instalación de las actualizaciones de los programas a tiempo, inexistencia de programas de procedencia no comprobada y finalmente, que los ordenadores que contengan información secreta estén separados físicamente de los ordenadores conectados a Internet, añade Emm. 

Para la elaboración se ha utilizado información de RBC Daily, Védomosti y Cnews 

Todos los derechos reservados por Rossiyskaia Gazeta.