Equation Group, el atacante masivo de equipos oculto durante 14 años y su relación con la NSA

Los últimos ataques descubiertos por la firma de seguridad Kaspersky pueden haber afectado a 42 países, aunque el alcance podría ser mucho mayor debido a los mecanismos de autodestrucción del malware

El análisis apunta hacia la autoría de la NSA: uno de los métodos empleados aparece en los documentos que filtró Snowden

Uno de los ataques podía reprogramar el firmware del disco duro: Western Digital, Seagate, Toshiba, IBM o Samsung están entre los fabricantes cuyos productos podrían ser infectados.

El programa de espionaje se puede instalar en los productos de almacenamiento de las principales marcas comerciales de discos duros

El programa de espionaje se puede instalar en los productos de almacenamiento de las principales marcas comerciales de discos duros

En un informe detallado, la compañía de seguridad Kaspersky ha mostrado los entresijos de un programa de espionaje llevado a cabo con algunas de las herramientas informáticas más sofisticadas conocidas hasta la fecha. Se han documentado 500 infecciones cuya autoría firma un colectivo al que se ha llamado Equation Group, por su apego a fórmulas complejas de cifrado. El informe afirma que este actor podría haber estado actuando desde 2001 o incluso desde 1996, y lo define como la amenaza más sofisticada que han visto.

Sistemas de al menos 42 países cayeron víctimas de las operaciones de este grupo, encabezados por Irán, Rusia, Pakistán, Afganistán, India, China, Siria y Malí. Es difícil hacerse una idea con las cifras disponibles, pues los mecanismos de autodestrucción del malware empleado impiden la elaboración de estadísticas fiables. Los sectores afectados son muchos, desde instituciones gubernamentales y diplomáticas a telecomunicaciones, energía o investigación nuclear, pasando por organizaciones financieras, compañías que desarrollan tecnologías de cifrado, medios de comunicación, líneas aéreas, ejércitos, la industria petrolera y hasta activistas islámicos.

El Equation Group lleva en activo desde el año 2001, aunque sus operaciones se intensificaron de forma drástica en 2008. Algunos indicios apuntan a la NSA como impulsora de este programa de ciberespionaje. Las técnicas empleadas tienen relación con las que practicaba Stuxnet, el malware que causó graves perjuicios al programa nuclear de Irán hace unos años y cuya autoría se atribuye a los servicios secretos de Estados Unidos e Israel. Kaspersky ha descubierto que uno de los troyanos descubiertos ahora, Fanny, explotaba vulnerabilidades de día cero que también utilizaba Stuxnet.

Documentación de Kaspersky2

Documentación de Kaspersky2

 

Kaspersky señala que algunas de las intromisiones en los sistemas eran tan profundas que afectan al firmware, la capa de software que conecta directamente con el hardware, necesaria para controlar los circuitos de los dispositivos. Uno de los módulos utilizados por Equation Group, el nls_933w.dll, permitía reprogramar el firmware de un disco duro. Los productos de los principales fabricantes de discos duros son vulnerables.

Las técnicas empleadas para los ataques incluyen el robo de las fórmulas de cifrado de las máquinas y el desbloqueo de contenidos cifrados. No hay antivirus ni controles de seguridad que sirvan para detener estas amenazas, que son prácticamente imposibles de eliminar por su capacidad para resucitar, algo que pueden hacer por el hecho de estar casi más ligadas al hardware que al software (un terreno donde existen más herramientas de protección).

Entre las herramientas utilizadas se encuentran algunas que permiten infectar equipos no conectados a Internet. En palabras de Kaspersky, Equation Group “sobrepasa a cualquier cosa conocida en términos de complejidad y sofisticación en cuanto a técnicas”.

El aviso de Snowden: los “air gaps”

Las revelaciones de Edward Snowden a mediados de 2013 dejaban una pista sobre uno de los objetivos de la NSA. La agencia de inteligencia estadounidense tenía la intención de infectar sistemas no conectados a la Red. Uno de los métodos que barajaba emplear era la instalación de hardware especializado en ordenadores que se vendieran en uno de los países objetivo. En este caso, la misión de las puertas traseras consistía en recibir ondas de radio de baja frecuencia emitidas desde dispositivos que la NSA emplazaría a lo largo del planeta.

Esta idea rocambolesca contrasta con una que parece más pragmática: la introducción de un USB infectado en el ordenador de un objetivo. En este documento publicado por Der Spiegel se habla de los proyectos internos de la agencia, entre los que se encuentra USB Hard Drive Persistence, que versa sobre la capacidad de instalar un implante en un disco duro que se conecte mediante un USB, con el fin de manipular el firmware del dispositivo.

Equation Group ha logrado infectar equipos no conectados a Internet. Uno de los troyanos descubiertos, Fanny, contenía una puerta trasera diseñada para reconocer a los equipos sin conexión a Internet. Cuando un disco USB se conectaba, el malware se hacía con su propio espacio secreto de almacenamiento para guardar información básica acerca del sistema. También se usaba para transmitir instrucciones a los ordenadores que no estaban conectados a la Red, mientras que los datos recopilados se enviaban cuando el USB se introducía en otra máquina que tuviera conexión.

La relación de Fanny con Stuxnet es uno de los indicios que apuntan hacia la autoría de la NSA. En el informe de Kaspersky se dice textualmente:

“El uso similar de los dos exploits en diferentes troyanos, aproximadamente al mismo tiempo, indica que los desarrolladores del Equation Group y de Stuxnet son los mismos o están trabajando de forma muy estrecha”.

Documentación de Kaspersky

Documentación de Kaspersky

Las principales marcas de discos duros, vulnerables

Estos programas de ciberespionaje pueden afectar a los discos duros de más de una docena de compañías, según las reconstrucciones que ha llevado a cabo Kaspersky. Western Digital, Seagate, Toshiba, IBM o Samsung están incluidos entre los fabricantes cuyos productos podrían ser infectados. La mayoría de las compañías no se han mostrado dispuestas a hablar del tema, según ha publicado Reuters.

En declaraciones a Reuters, uno de los investigadores principales de Kaspersky, Costin Raiu, apunta que los autores del programa de ciberespionaje han tenido acceso al código fuente propietario de los discos duros para poder atacar con la profundidad con la que lo han hecho.  Raiu aclara que no hay ninguna posibilidad de que alguien pueda reescribir el sistema operativo de un disco duro utilizando únicamente información pública.

No se sabe cómo han podido los atacantes hacerse con el código fuente de los discos duros, pero antiguos empleados del sector de la inteligencia consultados por Reuters apuntan que existen múltiples caminos para obtener este código fuente. Hacerse pasar por desarrollador de software y pedir directamente la información es uno de ellos.

Sin embargo, otro de los métodos está relacionado con la venta de productos a las instituciones gubernamentales, un negocio lucrativo para las compañías tecnológicas. Si una de ellas quiere vender sus equipos al Pentágono o a cualquier otra agencia estadounidense, el gobierno puede pedir una auditoría de seguridad del producto para obtener garantías de que el código es seguro. Normalmente estas auditorías las lleva a cabo la NSA, a quien nadie impide después almacenar los datos sobre el código fuente.

Imagen:  Peter Huys

Anuncios

Acerca de tapanco

Un peatón que camina entre metáforas, código, sueños...convencido de que un paso, hace la diferencia al andar. Lo que nos resta de Patria, debemos defenderla! Para dejarle algo de sustancia de ella a nuestros hijos, algo de su esencia que nosotros disfrutamos un día a carcajadas...
Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s