Internet en Cuba

Publicado el lunes, 02.24.14

LA MÁSCARA O CARETO
Programa de espías con acento hispano
JUAN O. TAMAYO
JTAMAYO@ELNUEVOHERALD.COM

¿Quién está detrás de La Máscara?

¿Está un gobierno detrás de uno de los ataques de ciberespionaje más
sofisticados que se haya visto nunca? ¿Es realmente el ataque obra de un
hispanohablante? ¿O fue una frase vulgar en español mezclada entre sus
ceros y sus unos puesta ahí solo para despistar a cualquier detective
digital?

¿Por qué se centró específicamente en 46 computadoras en Cuba? ¿Por qué
hay tantas víctimas en Marruecos y en Brasil del ataque conocido como
“Careto” o “The Mask” (La Mascara)? Y, aunque se puede entender que se
centrara en gobiernos y empresas, ¿por qué se centró también en
“activistas”?

Estas y muchas otras preguntas permanecen sin respuesta aunque Kaspersky
Lab, la compañía rusa de seguridad cibernética que fue la primera en
detectar el spyware, o software espía, ha hecho una autopsia de sus
entrañas informáticas y publicado un informe de 65 páginas para clavarle
una estaca en el corazón y sacarlo de circulación.

Kaspersky dijo que ellos consideran que el ataque de ciberespionaje es
obra de un gobierno debido a su sofisticación y el profesionalismo de su
modus operandi, como borrar sus huellas y rechazar sondeos de
ciberinvestigadores conocidos.

Activo desde el 2007, el spyware usa dos niveles de cifrado y busca por
varias extensiones de nombres de archivo que según Kaspersky no se
conocen pero pudieran estar relacionadas con herramientas de cifrado a
nivel militar o gubernamental.

“Esto se combina para… hacerlo una de las amenazas más avanzadas en
estos momentos. Este nivel de seguridad operacional no es normal para
grupos de cibercriminales”, dijo Costin Raiu, jefe del Equipo de
Investigación y Análisis Globales de la compañía, al anunciar sus
conclusiones .

Careto está diseñado para interceptar virtualmente todo tipo de
información digital, incluyendo tráfico en internet, Skype y Wi-Fi,
golpes de tecla, capturas de pantalla e incluso claves de cifrado de
PGP, un sistema de cifrado abierto al público, de acuerdo con el informe
de Kaspersky fechado el 10 de febrero.

Pero el ataque selecciona cuidadosamente a sus víctimas: no ataca a
cualquiera que se ponga en su camino, sino a instituciones estatales,
embajadas, grupos de expertos ( think tanks), firmas de capital privado,
compañías energéticas, de petróleo y gas, y “activistas”, señaló el informe.

No se dieron más detalles de los “activistas” en el informe, pero Dmitry
Bestuzhev, experto de Kaspersky Lab, dijo en un correo electrónico a El
Nuevo Herald que “en algunos casos pueden ser de derechos humanos”.

Kaspersky dijo que ha encontrado a más de 1000 víctimas, muchos de ellos
en Marruecos y Brasil pero otros en Argelia , Argentina, Bélgica,
Bolivia, China, Colombia, Costa Rica, Cuba, Egipto, Francia, Alemania,
Gibraltar, Guatemala, Irán, Irak, Libia, Malasia, México, Noruega,
Pakistán, Polonia, España, Sudáfrica, Suiza, Túnez, Turquía, el Reino
Unido, Estados Unidos y Venezuela.

Tal vez la característica más inusual del ataque son los muchos indicios
que hay en su código de que fue obra de un hispanohablante, la primera
vez que se haya visto palabras españolas mezcladas en un programa de
espionaje cibernético de alto nivel, según el informe de la compañía.

Una parte del código incluye la palabra Careto, que significa máscara o
cara fea, de donde proviene el nombre que Kaspersky le puso al ataque.
En otra se usa la palabra “Pruebas”, y una tercera usa “recetas”.

Lo que es más, la configuración del spyware incluía el término
“Caguen1aMar”, una contracción de la tradicional expresión obscena de
España “Me c… en la mar”, reportó la compañía.

The Mask ademas atrapó a muchas de sus víctimas cuando visitaron
websites maliciosos diseñados para que parecieran parte de los
periódicos españoles El País y El Mundo, dijo la compañía, así como
páginas que imitaban a The Washington Post y The Guardian en Londres.

Kaspersky no culpó a gobierno o persona alguna, diciendo que el español
se habla en 21 países y hasta en Miami. “No debemos excluir la
posibilidad de una operación de bandera falsa, donde los atacantes hayan
plantado intencionalmente palabras en español para confundir el
análisis”, escribió Bestuzhev.

La compañía concluyó que The Mask había infectado a tres instituciones
separadas en Cuba y comprometió un total de 46 computadoras en la isla,
agregó el experto ruso, así como una institución en Venezuela. Kaspersky
no identificó a ninguna de las entidades infectadas.

Todos los ataques de spyware “buscan información muy específica. La
víctima es seleccionada con mucho cuidado”, dijo Bestuzhev. “Eso
significa en esencia que los atacantes detrás de Careto estaban
interesados en algo específico localizado en esas máquinas y en esos
países”.

El ataque operó a través de un método conocido como spear-phishing:
correos electrónicos que atraen al destinatario a los periódicos falsos
y otras páginas igualmente falsas. El spyware entonces descargaba
información crítica y de seguridad y luego reenviaba a los destinatarios
con rapidez a páginas verdaderas que no despertarían sospechas.

Kaspersky dijo que habían confirmado que Careto atacó computadoras con
los sistemas operativos Windows y Linux, y que sospechaban que había
versiones para iPhone/iPad y Android. Algunos de los servidores
involucrados parecían tener direcciones en Dallas, Panamá, Costa Rica,
Argentina, Austria, Singapur, Malasia y la República Checa.

La compañía descubrió a Careto el año pasado cuando trató de atacar uno
de los programas de seguridad de Kaspersky. Ellos también descubrieron a
Flame, una de las herramientas de ciberespionaje más avanzadas hasta que
apareció The Mask, en el 2012.

Kaspersky dijo que ellos habían logrado tomar el control de varios
servidores de mando y control (C&C) de Careto, para interrumpir el flujo
de tráfico malicioso y examinar las entrañas del spyware.

Los atacantes empezaron a sacar los servidores de línea el mes pasado,
dijeron, y todos los servidores de C&C de The Mask están ahora fuera de
línea. Pero la compañía dijo que no podía descartar un retorno de los
ataques más adelante.

Source: Programa de espías con acento hispano – Sur de la Florida –
ElNuevoHerald.com –
http://www.elnuevoherald.com/2014/02/24/1688086/programa-de-espias-con-acento.html

No tags for this post.

Leave a Reply

Your email address will not be published. Required fields are marked *

Archives
Calendar
February 2014
M T W T F S S
« Dec   Mar »
 12
3456789
10111213141516
17181920212223
2425262728  
We run various sites in defense of human rights and need support to pay for more powerful servers. Thank you.