Ciberseguridad: Equation Group, el mayor colectivo de espionaje digital al descubierto

Kaspersky Lab ha publicado la pasada semana un exhaustivo informe sobre un conjunto de artefactos software de espionaje muy sofisticados, que tienen contaminados ordenadores de 30 países.

Más de una década de espionaje: sigilo y complejidad técnica.

El informe que hace unos día ha publicado la empresa Kaspersky Lab ha causado un gran revuelo en el mundo de la seguridad informática.

En él se explica que tras años de investigación y de atar cabos entre distintos hallazgos, sus expertos han llegado a la conclusión de una evidente conexión entre algunos artefactos de gran complejidad, que están ampliamente extendidos en ordenadores de todo el mundo, y que se caracterizan por utilizar algunas técnicas comunes y por tener funcionalidades complementarias.

Precisamente una de las estrategias técnicas que utilizan todos ellos, potentes algoritmos de encriptación para ocultarse, es la que sirvió a Kaspersky Lab para bautizar al grupo responsable : Equation Group (“El grupo de las ecuaciones”).

Y según las evidencias que han recabado, la estrategia de espionaje se remonta al menos hasta el año 2001, aunque algunos indicios les sugieren que empezó en 1996.

Piezas de un puzzle.

La estrategia que se describe sobre la operativa de Equation Group, se basa en la distribución de un conjunto de artefactos malware que se ayudan entre sí.

El más básico de ellos es “Doublefantasy”, cuya finalidad es contaminar ordenadores y analizar el interés de la información que contienen. Si un equipo “víctima” interesa, instala otros artefactos, en caso contrario queda latente. Los dos elementos que puede llegar a instalar son “Equationdrug” y “Grayfish”.

“Equationdrug” se apodera del equipo, parasitando el sistema operativo y aceptando la posterior instalación de complementos. Se han encontrado 35 pluggins y 18 drivers diferentes.

Este malware dejó de ser efectivo con Windows 7, siendo sus principales victimas Windows XP y Windows 2003, si bien se han detectado plugins especialmente diseñados para Windows 95, 98 y ME.

“Grayfish” es su equivalente para sistemas operativos más modernos (aunque se ha verificado que su rango de compatibilidad abarca desde Windows NT 4.0 hasta Windows 8). Emplea mecanismos de ocultación y persistencia, que le permite manejar un disco duro virtual oculto, implantando dentro de registro de Windows, y ejecutar comandos del sistema de forma autónoma.

Es muy efectivo, porque parasita el “boot record”, de manera que su ejecución es prioritaria sobre el núcleo de arranque del propio sistema operativo, para así gobernar todo ese proceso y ser capaz de inyectar los trozos de código que necesita en las distintas capas del sistema.

Incluso tiene un mecanismo de “autodestrucción”, para evitar dejar huellas si detecta una actividad que pueda comprometerle.

Persistencia extrema: reprogramación del firmware de los discos duros.

Tanto “Equationdrug” como “Grayfish” comparten mecanismos para reprogramar el firmware de los discos duros.

Esto los hace excepcionalmente difíciles de eliminar, pues incluso el formateo de un disco duro a bajo nivel no los limpia, y el sistema que se instale desde cero volverá a ser parasitado.

Según las investigaciones de Kaspersky Lab, son capaces de realizar reprogramación del firmware en una buena cantidad de modelos de las empresas Maxtor, Seagate, Wester Digitial y Samsung. En definitiva, son capaces de manipular infinidad de productos de los mayores fabricantes de discos duros de todo el mundo.

Además, por la forma en que eso se ha conseguido esa reprogramación, todo parece indicar que Equation Group tuvo acceso al código fuente del firmaware de cada modelo. Pues conseguir algo así exclusivamente con la información pública existente, o por prueba y error, es virtualmente imposible.

Al asalto de redes aisladas.

El artefacto “Fanny” tiene una finalidad distinta: alcanzar ordenadores aislados de Internet. Éstos son de un especial interés, porque los mandos de defensa y los servicios secretos de los países emplean redes aisladas para la información de alto secreto. Y porque muchos sistemas SCADA que manejan infraestructuras delicadas, también residen en redes separada del mundo exterior.

El funcionamiento de “Fanny” se basa en contaminar dispositivos extraíbles, pendrives y discos duros USB, de manera que sirvan de “mula de carga” entre la red aislada y otros equipos que sí tengan conexión a Internet.

Cuando un dispositivo USB se infecta, “Fanny” crea un área oculta en él, para almacenar en ella los comandos a ejecutar y la información a robar cuando se conecte a un ordenador de la red aislada.

Así, cuando el pendrive se “pinche” en un ordenador de la red aislada, atacará el ordenador, le infectará y comenzará su trabajo: ejecutar los comandos que se le indicaron externamente y recabar los datos que sean oportunos.

El éxito de asalto a los ordenadores, aislados o no, se basa en dos vulnerabilidades tipo “zero day”, que coinciden con las mismas que empleaba Stuxnet.

Vías de infección

No es fácil librarse de una posible infección de estos malware, porque aprovechan todos los mecanismos posibles para extenderse: vulnerabilidades de los navegadores, debilidades en los dispositivos USB y en otros soportes extraíbles (incluidos CD y DVDs), además de técnicas de autorreplicación.

A esto hay que sumar que no sólo son víctimas los equipos que funcionan con sistemas operativos de Microsoft, pues se han encontrado pruebas que indican que también se ven afectados ordenadores con Mac OS X, e incluso iPhones. Si bien aún no hay muestras que confirmen que haya sistemas Linux y Android contaminados, aunque todo hace pensar que también forman parte de los objetivos potenciales de Equation Group.

En total hay 30 países donde el número de infecciones es muy elevado, aunque pueda haber equipos contaminados en cualquier parte del mundo.

Karspeky Lab ha elaborado el siguiente mapa:

Equation Group - Kaspersky Lab country map

Además, existen decenas de sistemas repartidos en todo el mundo, que forman parte de la red de “Command and Control” con las que Equation Group controla a todos esos ordenadores infectados.

Algunos de los países donde se alojan esos ordenadores esclavos empleados como servidores de “Command and Control” son Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia o la República Checa.

¿Quién está detrás del Equation Group?

El informe de Karsperky Lab sugiere una evidente conexión de Equation Group con los Estados Unidos, basándose en el empleo de algunos Zero Days también empleados en Stuxnet (de hecho usados antes que en ese legendario ataque contra las centrales nucleares de Irán). También en que han estudiado los focos de infección en páginas web y parte importante de ellos se concentra en foros dedicados al “Jihadismo Islámico”.

Algunos medios de comunicación que también han analizado este informe de Karspersky Lab, señalan que en los documentos filtrados por Edward Snowden, algunos textos sugerían que Estados Unidos estaba muy interesado en desarrollar mecanismos para alcanzar equipos no conectados a Internet.

Sin duda este informe de Kaspersky Lab ha puesto en guardia a las entidades de defensa cibernética de casi todos los países del mundo. Aunque también cabe preguntarse de por qué llega esta publicación justo en este momento. ¿Tendrá que ver el hecho de que Kaspersky Lab es una empresa con sede en Moscú y la tensión entre Rusia y los países occidentales está en una fase muy delicada?

¿Estaré contaminado? ¿Qué puedo hacer?

De momento lo único posibles es detectar si una red está afectada por la actividad del malware de Equation Groups. Después, es difícil decidir estrategias, pues limpiarlo es complicadísimo y llegado el caso, todo invita a pensar que la única forma de realizar una descontaminación es tirar todo el parque de discos duros y adquirir unos nuevos… Que tal vez vuelvan a contaminarse en breve.

Para detectar esa actividad en el siguiente artículo de Kasperky Lab se ofrece un conjunto de reglas para Yara.

https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

Información sobre Yara: http://plusvic.github.io/yara/

Recomendaciones: el informe y un tema musical para ambientar.

Para los que trabajen en el campo de la ciberseguridad resulta muy recomendable leer el informe completo de Kaspersky Lab y estar atento a los artículos sobre el tema que la empresa vaya publicando en su web “securelist.com”:

Informe: http://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Artículos sobre Equation Group: http://securelist.com/tag/equation/

Mapa de países contaminados: http://mms.businesswire.com/media/20150216005573/en/453447/5/2159519_EQ_Victims_map.jpg?download=1

Noticia en la web del Centro Criptológico Nacional: https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3832%3Aequation-group-la-cumbre-del-ciberespionaje&catid=5&Itemid=197&lang=es

Y respecto al tema musical, tradición en estos artículos sobre Ciberseguridad que publico en Cantabriatic.com, invito a escuchar el tema principal de una vieja serie sobre espionaje, de notable éxito en Estados Unidos en los años 60 y en la que un jovencísimo Bill Cosby era uno de los protagonistas: “I Spy”. El compositor de la pieza es Earle Hagen.

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

,

4 Responses to “Ciberseguridad: Equation Group, el mayor colectivo de espionaje digital al descubierto”