Etiqueta: careto

El día en que España espió a sus rivales políticos: esta es la historia del malware Careto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Febrero de 2014. Kaspersky anuncia que ha descubierto un malware espía que lleva activo desde 2007 y que ha afectado a más de 1.000 IP’s de 31 países en todo el mundo. La noticia no tendría por qué ser especialmente relevante, ya que el descubrimiento de un nuevo malware (por desgracia) no es algo nuevo, pero en este caso es diferente: ese malware ‘habla’ español. Y todo el mundo apunta hacia España como su principal origen.

Pero, ¿por qué todo el mundo está tan seguro de que este malware ha salido de España? Para saberlo necesitamos conocer a fondo Careto y analizar su forma de actuación y sus víctimas. Esta es la historia del día en que España decidió espiar a 31 países de todo el mundo, según todos los pronósticos.

¿Qué es Careto y cómo actuaba?

En 2013, un año antes de hacer públicas sus revelaciones, Kaspersky detectó un malware que estaba intentando explotar antiguas vulnerabilidades de productos suyos para no ser descubierto. Durante un tiempo, de hecho, parece que lo consiguió: según sus investigaciones, llevaba activo desde 2007. Le pusieron de nombre Careto, ya que era la palabra que se repetía varias veces en algunos de sus módulos.

Careto llegaba a través de phishing, haciendo que sus víctimas pinchasen en un enlace que les hacía pasar por webs con exploits para infectar sus equipos. Una vez producida la infección, Careto interceptaba los canales de comunicación del equipo y recopilaba toda la información que podía.

Además, su ámbito de actuación a nivel tecnológico era más que amplio: los ingenieros de Kaspersky detectaron su presencia en Windows y en MacOS, y también encontraron posibles restos en sistemas operativos iOS y Android, con lo que la infección podía producirse tanto en un ordenador como en un móvil o un tablet. En el capítulo 8 de El Enemigo Anónimo ya tratamos la existencia de Careto:

¿A quién espió?

Los investigadores detectaron la presencia de Careto en más de 1.000 IP’s de 31 países, pero aseguraron que, dada la naturaleza de su actuación, es probable que hubiese muchas más víctimas. Dichas víctimas fueron de distintos tipos:

  • Instituciones gubernamentales
  • Oficinas diplomáticas y embajadas
  • Empresas de energía, petróleo y gas
  • Instituciones de investigación
  • Fondos de inversión privados
  • Activistas

Si segmentamos por países, Marruecos es el más afectado, con 383 víctimas, seguido de Brasil (173), Reino Unido (109), España (61), Francia (59), Suiza (33), Libia (26), Estados Unidos (22), Irán (14), Venezuela (10) y así hasta llegar a un total de 31 países repartidos por todo el mundo, entre los que hay sorpresas como la presencia de Gibraltar. En el siguiente mapa puedes ver el reparto de países afectados y sus víctimas.

¿Qué consiguió robar?

Según los investigadores de Kaspersky, Careto recopilaba una gran lista de documentos, incluidas claves de cifrado, configuraciones de VPN, claves SSH y archivos RDP. También había varias extensiones desconocidas que podrían estar relacionadas con herramientas de cifrado a nivel militar y/o gubernamental. La lista completa de extensiones conocidas es la siguiente:.

*AKF, *. ASC, *. AXX, *. CFD, *. CFE, *. CRT, *. DOC, *. DOCX, *. EML, *. ENC, *. GMG, *. GPG, *. HSE, *. KEY, *.M15, *. M2F, *. M2O, *. M2R, *. MLS, *. OCFS, *. OCU, *. ODS, *. ODT, *. OVPN, *. P7C, * .P7M, *. P7Z, *. PAB, *. PDF, *.PGP, *. PKR, *. PPK, *. PSW, *. PXL, *. RDP, *. RTF, *. SDC, *. SDW, *. SKR, *. SSH, *. SXC, *. SXW, *. VSD, *.WAB, *. WPD, *. WPS, *. WRD, *. XLS, *. XLSX

«Careto graba conversaciones de Skype, ve todo lo que tecleas, saca pantallazos, roba archivos… todo un arsenal para espiar»

Además, un analista de Kaspersky aseguró a eldiario.es que «el malware permite grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo… En fin, todo un arsenal para espiar«.

¿Por qué se le atribuye a España?

Como casi siempre pasa, la atribución de Careto resulta complicada, pero son muchos los analistas que en su momento –y aún a día de hoy– aseguran que Careto procede de España. Y no de un grupo de cibercriminales, sino directamente del gobierno español. ¿Por qué están tan seguros? Veamos los indicios que hay:

1.- IDIOMA

En los análisis internos de Careto se han descubierto líneas de código escritas en español. Esto por sí solo no tendría por qué ser incriminatorio, ya que hay muchos países en los que se habla español y, además, la presencia de este idioma podría haberse puesto como una pista falsa.

«No debemos excluir falsa bandera, pero mientras la mayoría de ataques usan idiomas como el chino o el inglés, lo cierto es que el alemán, el francés o el español aparecen muy raramente»

Sin embargo, Kaspersky aseguró en su momento que «no debemos excluir la posibilidad de una operación de falsa bandera, donde los atacantes escribieron intencionalmente palabras en español para confundir», pero «mientras la mayoría de los ataques conocidos hoy en día usan idiomas como el chino o el inglés», lo cierto es que «el alemán, el francés o el español aparecen muy raramente en ataques APT«.

Hay otro detalle curioso: Careto simulaba llevar a sus víctimas a periódicos online de diversa índole, pero predominan los españoles. Estos son algunos de los subdominios que usó:

2.- ATAQUE DE UN ESTADO

Podríamos pensar que, aunque Careto proceda de España, su origen puede estar en un grupo cibercriminal. Sin embargo, los analistas de Kaspersky aseguran que este malware tiene «un altísimo grado de profesionalidad, incluido el monitoreo de su infraestructura, evitar miradas curiosas mediante reglas de acceso, usar el borrado de archivos de registros, etc».

«Este nivel de seguridad operativa no es normal en grupos de ciberdelincuentes. Esto nos hace creer que puede ser una campaña patrocinada por un estado»

Este nivel de seguridad operativa, en su opinión, «no es normal en los grupos de ciberdelincuentes. Este y otros factores nos hacen creer que esta podría ser una campaña patrocinada por un estado«.

3.- GEOGRAFÍA

Cuando analizamos el reparto geográfico de las víctimas de Careto vemos cuatro zonas especialmente relevantes:

  • Norte de África
  • Latinoamérica
  • Europa
  • Gibraltar

Te dejamos de nuevo el mapa de víctimas para que puedas analizarlo pormenorizadamente. ¿Qué gobierno puede estar interesado en espiar a zonas geográficas tan dispares como el norte de África, Latinoamérica, Europa y, sobre todo, un territorio tan particular como Gibraltar?

Para Txarlie Axebra, «a día de hoy es bastante evidente que Careto fue desarrollado por el gobierno español y, sin embargo, no ha existido ningún tipo de investigación sobre quién financió y cómo se llevó a cabo un sistema de infección para robar credenciales supuestamente a aliados del propio Estado español».

En su opinión, este tipo de circunstancias son muy representativas de hasta qué punto la ciberguerra llega a todos los países: «Hace 20 años hubiera sido impensable que el Gobierno español montara un espía en cada embajada o en cada empresa competidora de sus grandes empresas, pero a día de hoy con la tecnología es posible y, por tanto, todos lo están haciendo».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Los villanos de la ciberguerra: estos son los países que más atacan (y los mercenarios que les hacen el trabajo sucio)

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Una mañana cualquiera, en una cumbre internacional, los presidentes del Gobierno de dos países distintos se dan la mano y charlan efusivamente. La situación no sorprende a nadie, ya que son dos países aliados y han colaborado infinidad de veces. Lo que quizá sorprenda más es que esa misma tarde, apenas unas horas después, se haga público que uno de esos dos países lleva meses ciberatacando al otro para espiar sus comunicaciones, acceder a sus secretos estratégicos y perjudicar a sus empresas.

Esta situación, aunque nos la acabemos de inventar, no tiene nada de irreal. En realidad sucede a diario. Es lo que tiene la ciberguerra: que ya no sabes si tus aliados en el mundo offline pueden ser tus enemigos en el online. Y, como hemos podido ver esta semana en el capítulo 8 de El Enemigo Anónimo, todos los países son atacados… y todos atacan. No hay más que ver cómo los ciberataques geopolíticos entre países no paran de crecer cada año.

Estos son los villanos de la ciberguerra

La semana pasada hablábamos de los países más perjudicados por la ciberguerra, pero ¿y los más beneficiados? Si vivimos en ciberguerra, ¿quiénes son los mayores cibervillanos? Para Yolanda Quintana, «en este top estarían Estados Unidos, Rusia, China, Corea e Irán: son los países que controlan un mayor número de tecnologías para una parte esencial de la ciberguerra, que es la guerra de la información, y también tienen a los mayores expertos».

El pronóstico de Andrea G. Rodríguez es similar: «Los que suelen estar siempre en el grupo son China y Rusia, pero también podríamos incluir a Estados Unidos, Israel o Corea del Norte. Son países que han demostrado tener grupos de personal capaz de desarrollar operaciones de penetración en muy pocos segundos. Con cifras tan locas como, por ejemplo, los rusos, que pueden hacerlo en 20-25 segundos«.

Las elecciones de nuestros entrevistados no difieren demasiado de las apuestas generales. Privacy Affairs se hace eco de los ataques geopolíticos más frecuentes en los últimos años y, como vemos, en los primeros puestos aparecen los sospechosos habituales:

Si obviamos a los países atacados y nos centramos en los atacantes, de nuevo, China, Rusia y Corea del Norte aparecen a la cabeza del ránking:

¿Podemos tomar estos datos como absolutos e inequívocos? En realidad no, ya que responden a los ciberataques cuyo origen se conoce; los desconocidos, evidentemente, quedan en la sombra y dejan la duda de si hay algún país que debería aparecer más arriba en el ránking y no lo hace porque consigue no ser descubierto (al menos de manera oficial).

En cualquier caso, resulta interesante analizar varios países juntos y ver cómo ha evolucionado el número de ciberataques que se les han atribuido en los últimos años. La siguiente tabla recoge los ataques con origen en China, Rusia, Corea del Norte, Irán y Estados Unidos entre 2008 y 2018:

Pero lo más interesante, sin duda, es ver a dónde dirigen sus ‘armas’ estos atacantes. Como podemos ver en los siguientes gráficos, los conflictos geopolíticos de cada país tienen una relación directa con los destinos de sus ciberataques (una curiosidad: Estados Unidos es el único que se ‘autoataca’):

¿Villanos o héroes? Depende de quién lo mire

Estamos usando el término ‘cibervillanos’ para referirnos a los países qué más ataques ejecutan, pero lo cierto es que en este asunto resulta complejo decidir quiénes son los buenos y quiénes los malos. ¿Por qué? Porque todo depende de nuestras propias afinidades y de la perspectiva política desde la que miremos.

«Entre los cibercriminales más buscados del FBI hay generales condecorados del ejército chino. Para los chinos, ¿son delincuentes? No, allí son héroes nacionales»

Daniel J. Ollero (El Mundo)

«Si tú te vas a la lista de los cibercriminales más buscados del FBI», nos cuenta Daniel J. Ollero, «ahí te encuentras a señores con uniforme militar que son generales condecorados del ejército chino. Esa gente tiene unos cartelitos muy parecidos a los que hemos visto en las películas del lejano oeste, del ‘Wanted’, ‘Se ofrece una recompensa’, se dice quiénes son, y es gente a la que le caerían condenas de muchísimos años de cárcel. Pero, para los chinos, ¿un general condecorado es un villano? ¿Es un delincuente? No, allí son héroes nacionales«.

«¿Quién es el bueno y quién es el malo?», se pregunta Luis Fernández. «Quienes aún tenemos memoria nos acordamos de que Obama espiaba a Angela Merkel, por ejemplo. Entonces, ¿cuáles son mis amigos o mis compañeros de viaje? Todo depende de los intereses».

Y es que, como reconoce Marilín Gonzalo, «nos gustaría encontrar un gran cibervillano para ponernos todos en contra de él y decir ‘Esto es blanco, esto es negro, estos son buenos, estos son malos’, pero no es tan fácil».

El atacante oculto: mercenarios que se venden al mejor postor

Pero cuando un país es ciberatacado, no necesariamente recibe el ataque de otro país. O mejor dicho: recibe un ataque ordenado por otro país, pero quienes lo ejecutan son otros: los llamados cibermercenarios.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea», nos cuenta José Manuel Ávalos, que reconoce que «los gobiernos están detrás de estos grupos para realizar distintos ataques». Y es que «en el momento en que entras en estos conflictos no convencionales tienes actores no convencionales detrás. Muchos países necesitan hacer acciones que no pueden asumir como propias de su Estado y recurren a estas organizaciones o empresas que hacen este tipo de actividades sin usar su nombre», añade Txarlie Axebra.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea»

José Manuel Ávalos (Telefónica)

¿Y quiénes son estos grupos de cibermercenarios al servicio del primer gobierno que pase por delante y les pague una cantidad millonaria de dinero? El CCN-CERT recurre a un listado internacional para nombrar a los más activos de este 2020:

Y es que los actores de ataque, en definitiva, pueden ser variados. Pueden ser gobiernos que den más o menos la cara o, en algunos casos, son los grupos de cibermercenarios los que se venden al mejor postor. El objetivo, en cualquier caso, siempre es el mismo: atacar geopolíticamente a los países rivales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture