Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Grupo Equation, responsable de ciberespionaje global ligado a Stuxnet y Flame

Actividades de ciberespionaje global detectadas se atribuyen al grupo cibercriminal Equation, organización vinculada con los autores de Stuxnet y Flame.

Hace un par de días, Kaspersky Lab difundió información sobre el llamado Grupo Equation, una coalición de cibercriminales a la que se le atribuye la autoría de amenazas complejas además de la colaboración con otros grupos de hackers, como los creadores de Stuxnet, Flame y Duqu.

Para este proveedor de soluciones de seguridad, el grupo es extraordinario en casi cada aspecto de sus actividades: utilizan herramientas que son muy complicadas y de desarrollo de alto costo para infectar a víctimas, recuperar datos y ocultar actividad de una manera profesional, y utilizan técnicas clásicas de espionaje para introducir cargas maliciosas en las víctimas.

Para infectar a sus víctimas, el grupo utiliza un poderoso arsenal de "implantes" (troyanos) incluyendo los siguientes que han sido bautizados por Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish.

De acuerdo con Kaspersky, desde el año 2001 el Grupo Equation ha infectado miles de víctimas en más de 30 países de todo el mundo, cubriendo los sectores gubernamental, de telecomunicaciones, aeroespacial, energético, de transporte e instituciones financieras, así como la milicia, organizaciones de investigación nuclear, gas y petroleras, investigación de nanotecnología, compañías de desarrollo de tecnologías de cifrado, medios masivos de comunicación y hasta a los activistas Islámicos.

Equation utiliza una vasta infraestructura de Comando y Control (C&C) que incluye más de 300 dominios y más de 100 servidores. Los servidores están alojados en múltiples países, incluyendo los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y la República Checa.

Además de esta sólida infraestructura, el grupo está en contacto con otros conjuntos de cibercriminales, como los operadores de Stuxnet y Flame. De acuerdo con Kaspersky, el grupo Equation tuvo acceso a exploits de día cero antes de que éstos fueran utilizados por Stuxnet y Flame, y en algún punto compartieron exploits con otros. “Por ejemplo, en 2008 Fanny utilizó dos días cero que fueron introducidos con Stuxnet en junio de 2009 y marzo de 2010. Uno de esos días cero en Stuxnet fue en realidad un módulo de Flame que aprovecha la misma vulnerabilidad y el cual se tomó directamente de la plataforma Flame y se incorporó a Stuxnet”, explica Kaspersky Lab en un comunicado.

Aunque el grupo tiene la capacidad de utilizar diez exploits en una cadena durante la etapa de infección, lanzando poderosos ataques, los expertos de Kaspersky Lab observaron que no se utilizan más de tres: si el primero no tiene éxito, entonces intentan con otro, y luego con el tercero. Si fallan los tres exploits, no se infecta el sistema.

Otra variable tipo ‘vacuna’ que se encontró en las muestras de código recopiladas por Kaspersky muestra que hay tres países “protegidos” contra la infección, es decir, los atacantes han tenido cuidado de no infectar a los usuarios cuyas computadoras tienen direcciones IP de Jordania, Turquía y Egipto, esto de acuerdo con los hallazgos sobre el grupo revelados en un reporte elaborado por Kaspersky.

A partir de las muestras recopiladas por el equipo global de investigación y análisis de Kaspersky Lab, la firma detectó que estos módulos permiten la reprogramación del firmware de más de una docena de marcas populares de discos duros. Esta quizá sea la herramienta más poderosa del arsenal del Grupo Equation y el primer malware conocido capaz de infectar los discos duros.  

Al reprogramar el firmware del disco duro (es decir, reescribir el sistema operativo del disco duro), el grupo logra dos propósitos:

  1. Un nivel extremo de persistencia que ayuda a sobrevivir el formateado del disco y la reinstalación del sistema operativo. Si el malware entra al firmware, está disponible para "revivir" para siempre. Puede prevenir que se borre un cierto sector del disco o sustituirlo con uno malicioso durante el proceso de arranque del sistema.
  2. La capacidad de crear un área persistente invisible oculta dentro del disco duro. Se usa para guardar información extraída que los atacantes pueden recuperar más tarde.

Otras características del malware creado por grupo Equation incluyen la capacidad de recuperación de datos de redes aisladas y la introducción de troyanos.

Información falseada

Según el portal informativo UnoCero, Kaspersky dio a conocer a través del reporte “Equation Group: questions and answers que ha encontrado computadoras personales infectadas con al menos un tipo de software de espionaje que tiene como origen la agencia estadounidense de seguridad (NSA) en países como Rusia, China, Afganistán, México, Malí, Francia, Reino Unido, Pakistán, Irán, Brasil o Sudáfrica, por citar algunos. En el caso específico de México, el portal asegura que Kasperskydetectó que los sectores que han sido infiltrados por parte de la NSA son el financiero, de gobierno y uno tercero clasificado como desconocido, el cual podría abarcar a cualquier tipo de persona.

Sin embargo, aunque el reporte de Kaspersky detalla las actividades de ciberespionaje del grupo Equation en los países mencionados, en ningún momento se señala directamente a la NSA como el organismo responsable detrás del código malicioso.

Por su parte, un conocido diario de circulación nacional, el periódico Excélsior, publicó ayer una nota en la sección Hacker donde se atribuyen declaraciones a la empresa Kaspersky Lab hablando de que México es víctima de espionaje por parte de la NSA desde 1996. El diario publicó que Kaspersky descubrió el programa malicioso en computadoras con discos duros de las marcas Western Digital Corp., Seagate Technology Plc., Toshiba Corp., IBM, Micron Technology Inc. y Samsung Electronics Co. Ltd.

Nuevamente, esta información está disponible públicamente en el reporte de Kaspersky sobre el grupo Equation, pero no vincula a la NSA con el espionaje. Además, el reporte aclara que lo que acontece es que los atacantes tienen la capacidad de reprogramar los discos duros luego de la infección de malware, no que se haya inyectado un programa espía desde el momento de fabricación de los equipos.

El reportero de Excélsior cita a dos voceros de Kaspersky Lab: Dmitry Bestuzhev y Costin Raiu, y asegura que sus comentarios fueron hechos en una entrevista. En lo que respecta a los comentarios “expresados” por Bestuzhev, el diario reconoce que “Kaspersky se negó a nombrar públicamente a la NSA como la agencia detrás de la campaña de espionaje, pero aseguró que el Grupo Equation está estrechamente vinculado con Stuxnet, un virus tipo gusano creado por la autoridad estadunidense que se utilizó para atacar las instalaciones de enriquecimiento de uranio de Irán.”

Más adelante, la nota argumenta que exempleados del gobierno estadunidense, “quienes pidieron no revelar su identidad por temor a represalias, confirmaron a medios de Estados Unidos […] que ese tipo de espionaje es coordinado por la Agencia de Seguridad Nacional de E.E. U.U. (la NSA)”.

De este modo, el periódico atribuye a Kaspersky Lab el señalamiento de la NSA como el cerebro detrás de la operación de grupo Equation.

El día de hoy, Kaspersky publicó un boletín aclarando que ninguno de sus voceros proporcionó los datos mencionados en el artículo del Excélsior.

El comunicado aclara que Dmitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab, no sostuvo la entrevista a la cual la publicación hace referencia, ni ha tenido conversaciones recientes con el autor de la nota, “de manera que las declaraciones ahí plasmadas no fueron hechas por él, ni por otro miembro de la compañía, por lo que nos deslindamos de las mismas.”

Puede acceder al comunicado de prensa oficial sobre los hallazgos del grupo Equation en este vínculo.

Este artículo se actualizó por última vez en febrero 2015

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close