Kaspersky: Boletín de seguridad 2012. Las armas cibernéticas

1. Kaspersky Security Bulletin 2012. Desarrollo de las amenazas informáticas en 2012
   
2. Kaspersky: Boletín de seguridad 2012. Estadística general de 2012
   
3. Kaspersky: Boletín de seguridad 2012. Las armas cibernéticas

Hasta el año 2012 hubo sólo dos casos de uso de armas cibernéticas: Stuxnet y Duqu. Su análisis provocó que la comunidad informática ampliara su concepto de “guerra cibernética”.

Los sucesos de 2012 no sólo hicieron multiplicarse el número de incidentes reales de uso de armas cibernéticas, sino que también pusieron al descubierto que muchos países están involucrados en la creación de armas cibernéticas. Lo que antes eran diseños e ideas secretas, en 2012 tuvo gran resonancia en los medios de comunicación masiva.

Más aún, en 2012 el tema de la guerra cibernética se convirtió en el tema principal de las discusiones públicas oficiales de los representantes de diferentes países.

De esta manera, podemos afirmar que este año ha marcado un punto de inflexión en esta área, no sólo por la cantidad de incidentes, sino también desde el punto de vista de la formación de un criterio común sobre el desarrollo de las armas cibernéticas.

“Un cuadro del mundo”

En 2012 se expandió la zona de aplicación de las armas cibernéticas: si bien antes sólo se trataba de Irán, ahora abarca toda la región aledaña de Asia Occidental. Y esta dinámica es un reflejo exacto de los procesos políticos que ocurren en esta región, que desde hace tiempo es un “punto candente”.

La situación no es sencilla en la región, debido al programa atómico de Irán, y se ha complicado aún más por las crisis políticas en Siria y Egipto. Líbano, la Autonomía Palestina y los desórdenes en varios países del Golfo Pérsico completan el cuadro general de inestabilidad.

En estas condiciones es lógico que otros países que tienen intereses en la región tiendan a utilizar todos los instrumentos posibles para defender sus intereses y también para recopilar información.

Todo esto ha provocado que en la región ocurran varios incidentes graves, cuyo análisis nos permite clasificarlos como uso de armas cibernéticas.

Duqu

Este programa espía, detectado en septiembre de 2011 y revelado en nuestras publicaciones de octubre, se ha convertido en objeto de investigación de los expertos de Kaspersky Lab. Durante su transcurso se obtuvo acceso a una serie de servidores de administración usados por Duqu y se recopiló un gran volumen de información sobre la arquitectura del programa y su historia. Se estableció que Duqu es la continuación de la plataforma Tilded, que también sirvió para crear otro gusano famoso, Stuxnet. Además, se estableció que existían por lo menos tres programas más que usaban la misma base de Duqu/Stuxnet, y que hasta este momento no han sido descubiertos.

La gran atención y actividad demostrada por los investigadores hicieron que los operadores tratasen de borrar todas las huellas de su trabajo en los servidores de administración y en los sistemas infectados.

Hacia finales de 2011 Duqu dejó de existir en el mundo real, pero a finales de febrero de 2012 los expertos de Symantec descubrieron en Irán una nueva variante de un driver similar al usado en Duqu, pero creado el 23 de febrero de 2012.

Sin embargo, no se logró descubrir el módulo principal y desde entonces hasta ahora no se han encontrado nuevas modificaciones de Duqu.

Wiper

A finales de abril de 2012 este troyano “místico” causó gran inquietud a Irán: surgido de no se sabe dónde, destruyó una gran cantidad de bases de datos en decenas de organizaciones. Una de las que sufrió más daños fue la mayor terminal petrolera de Irán, que quedó fuera de servicio por varios días porque se habían destruido los datos sobre los contratos petroleros.

Pero no se capturó ni un solo ejemplar del programa malicioso usado en estos ataques, por lo que muchas personas dudaron de la exactitud de los datos publicados por los medios de comunicación.

Debido a estos incidentes, la Unión Internacional de Telecomunicaciones (UIT) solicitó a Kaspersky Lab que llevara a cabo una investigación y determinara las consecuencias destructivas potenciales de este nuevo programa malicioso.
Los creadores de Wiper hicieron todo lo posible para destruir por completo todos los datos que pudiesen utilizarse para analizar los incidentes. Por eso, en ninguno de los casos que analizamos, después de activarse Wiper quedaron apenas huellas.

Durante la investigación del misterioso ataque ocurrido en abril logramos obtener y analizar varios discos duros atacados por Wiper. Podemos afirmar que los incidentes ocurrieron de verdad y que el programa malicioso usado en estos ataques existía en abril de 2012. Además, sabemos de otros incidentes muy parecidos que tuvieron lugar desde diciembre de 2011.

En su mayoría los ataques ocurrieron en los últimos diez días del mes (entre el 21 y el 30), pero no podemos afirmar que se deba a una función especial que se activa al llegar cierta fecha.

Después de algunas semanas de iniciada la investigación seguíamos sin encontrar los ficheros del programa malicioso cuyas propiedades coincidiesen con las características conocidas de Wiper. Sin embargo, descubrimos una campaña de espionaje estatal conocida ahora como Flame, y más tarde, otro sistema de espionaje cibernético que recibió el nombre de Gauss.

Flame

Flame es mucho más complicado que Duqu y está compuesto de un complicadísimo conjunto de instrumentos para realizar ataques. Se trata de un programa troyano-backdoor que tiene también rasgos propios de los gusanos y que le permiten difundirse por la red local y mediante memorias extraíbles al recibir la correspondiente orden de su dueño.

Después de infectar el sistema, Flame empieza a ejecutar una compleja serie de operaciones, entre ellas analizar el tráfico de red, hacer capturas de pantallas, grabar conversaciones, interceptar pulsaciones del teclado, etc. Todos estos datos se ponen a disposición de los operadores mediante los servidores de administración de Flame.

En el futuro los operadores pueden tomar la decisión de instalar módulos adicionales que expanden las funcionalidades de Flame en los equipos infectados. En total se detectaron unos 20 módulos.

Flame contenía una función única de propagación por la red local, interceptando las solicitudes que Windows hacía para recibir actualizaciones y suplantándolas por su propio módulo, firmado con un certificado de Microsoft. El análisis de este certificado puso al descubierto el uso de un peculiar ataque criptográfico que permitía a los delincuentes generar su propio certificado falso, pero idéntico al legal.

Los datos que recopilamos confirman que el desarrollo de Flame empezó más o menos en 2008 y continuó activamente hasta el mismo momento de su descubrimiento en mayo de 2012.

Además, logramos determinar que uno de los módulos de la plataforma Flame se usó en 2009 como módulo de propagación del gusano Stuxnet. Este hecho demuestra la existencia de una estrecha colaboración entre los grupos de programadores de las plataformas Flame y Tilded, que llegaba incluso al intercambio de códigos fuente.

Gauss

Después de descubrir Flame, creamos varios métodos heurísticos basados en la similitud del código y que pronto nos traerían una nueva victoria. A mediados de junio se detectó otro programa malicioso creado en la plataforma Flame, pero que se diferenciaba por sus funciones y su área de propagación.

Gauss es un complejo conjunto de instrumentos de espionaje cibernético, creado por el mismo grupo que creó la plataforma maliciosa Flame. El conjunto tiene una estructura modular y admite la implementación remota de nuevas funciones, realizada en forma de módulos adicionales. Los módulos conocidos en este momento cumplen las siguientes funciones:

• interceptan ficheros cookie y contraseñas en el navegador,
• recopilan y envían a los delincuentes los datos de configuración del sistema,
• infectan las memorias USB con un módulo dedicado al robo de datos,
• crean listas del contenido de los discos y carpetas del sistema,
• roban datos de acceso a las cuentas de diferentes sistemas bancarios que funcionan en el Oriente Próximo,
• interceptan los datos de las cuentas en las redes sociales, servicios de correo y sistemas de mensajería instantánea.

Los módulos tienen nombres internos que, por lo visto, fueron asignados en honor a famosos matemáticos y filósofos, como Kurt Gödel, Carl Friedrich Gauss y Joseph-Louis de Lagrange.

Partiendo de los resultados de nuestro análisis y de los datos de hora y fecha de creación, acceso y última modificación de los módulos maliciosos que tenemos en nuestra disposición, hemos sacado la conclusión de que Gauss empezó a funcionar entre agosto y septiembre de 2011.

Empezando desde finales de mayo de 2012 el servicio de protección “en la nube” de Kaspersky Lab registró más de 2.500 infecciones causadas por Gauss y según nuestras apreciaciones, el total real de víctimas del programa malicioso se mide en decenas de miles.

La inmensa mayoría de las víctimas de Gauss estaba en el territorio del Líbano. También hubo víctimas en Israel y Palestina. Además, se registró una pequeña cantidad de víctimas en EE.UU., Emirato Árabes Unidos, Jordania, Alemania y Egipto.

miniFlame

A principios de julio de 2012 descubrimos un módulo pequeño pero interesante, escrito en la plataforma de Flame. Este programa malicioso, que bautizamos como miniFlame, es un pequeño pero completo módulo de espionaje que roba información y ofrece acceso al sistema infectado. A diferencia de Flame y Gauss, que se usaron para hacer operaciones de espionaje a gran escala que afectaron a miles de usuarios, miniFlame/SPE es un instrumento para hacer operaciones de exactitud quirúrgica.

miniFlame se basa en la plataforma Flame, pero está implementado en forma de módulo independiente, capaz de funcionar tanto por sí mismo, sin que estén presentes los módulos principales de Flame, como también en calidad de componente administrado por Flame. Un hecho digno de mencionar es el uso de miniFlame en conjunto con Gauss, otro programa espía.

Todo parece indicar que el desarrollo de Flame empezó hace varios años y continuó hasta 2012. Según el código de los servidores de administración, los protocolos de gestión de SP y SPE se crearon antes o al mismo tiempo que el protocolo de funcionamiento FL (Flame), lo que significa que como mínimo en 2007.

El principal objetivo de miniFlame es cumplir funciones de backdoor en los sistemas infectados y con esto ofrecer la posibilidad de control remoto por parte de los atacantes.

El número de víctimas de miniFlame es comparable al de Duqu.

Sumando los datos de todos los programas maliciosos detectados este último año y que hemos clasificado como “armas cibernéticas”, vemos que están claramente ligados a una región del mundo.

Pero a fin de cuentas… ¿de qué se trata?

Nuestra experiencia en la detección e investigación de todos los programas que hemos mencionado nos permite formular el siguiente punto de vista sobre las amenazas modernas y su clasificación.

La manera más exacta de representar la situación actual es en forma de pirámide.

En la base están las amenazas más diversas. Es decir, las que llamamos delitos cibernéticos “tradicionales”. Sus rasgos característicos son los ataques masivos y que sus blancos son los usuarios comunes y corrientes. El principal objetivo de los delincuentes es el lucro. De eso se encargan los troyanos bancarios, los clickers, las botnets, los extorsionadores, las amenazas móviles, etc. Todo esto representa más del 90% del total de las amenazas modernas.

En el segundo nivel están las amenazas que apuntan a las organizaciones. Los “ataques dirigidos” o “específicos”. Aquí está el espionaje industrial y los ataques de hackers lanzados contra blancos específicos, cuyo objetivo es desacreditar a la víctima. Los atacantes se subespecializan en blancos en concreto o en un cliente específico. El objetivo es robar información o propiedad intelectual. El lucro no es el principal objetivo de estos atacantes. En este mismo grupo ponemos a los diferentes tipos de programas maliciosos creados por algunas compañías a petición de los órganos de seguridad estatales de diferentes países y que se venden de forma prácticamente abierta, por ejemplo por las compañías Gamma Group y Hacking Team SRL.

El tercer nivel, la punta de la pirámide, lo ocupa el software que podemos clasificar como “armas cibernéticas”. En esta categoría están los programas maliciosos cuya creación y financiamiento corren por cuenta de estructuras estatales de diferentes países. Estos programas maliciosos se usan contra ciudadanos, organizaciones e instituciones de otros países.

Basándonos en todos las muestras de programas similares podemos dividirlos en tres grupos principales:

• “Destructores”. Son programas destinados a la destrucción de bases de datos e información en general. Pueden estar implementados en forma de “bombas lógicas”, que se infiltran con anticipación en el sistema y se activan en determinado momento; o de ejecución inmediata, que se usan durante ataques específicos. El mejor ejemplo de este tipo de programas es Wiper.
• Programas espía. En este grupo están Flame, Gauss, Duqu y miniFlame. Su principal objetivo es recopilar la mayor cantidad posible de información, en su mayor parte muy específica (por ejemplo, datos de proyectos de Autocad, sistemas SCADA, etc.) que después se puede usar para crear otros tipos de amenazas.
• Instrumentos de sabotaje cibernético. Esta es la forma superior de las armas cibernéticas, cuyas acciones pueden causar perjuicios físicos a los objetos atacados. Desde luego, en esta categoría entra el gusano Stuxnet. Este tipo de amenazas es excepcional y su aplicación nos parece un fenómeno bastante raro, pero cada año los diferentes países concentrarán cada vez más esfuerzos tanto en el desarrollo de este tipo de amenazas, como en la creación de defensas contra ellas.