El departamento de Inteligencia Aplicada de la empresa británica BAE
Systems ha publicado un informe sobre una operación de ciberespionaje
denominada “Snake”. El código en cuestión es descrito como “rootkit”; es decir,
malware que es instalado subrepticiamente en el sistema operativo, y que logra
permanecer indetectable.
El informe de BAE Systems describe la forma en que Snake logra penetrar
la potente protección en torno al núcleo de 64 bits de Windows, incluyendo las
versiones 7 y 8. En el documento se indica que Snake “tiene una arquitectura
increíblemente compleja, diseñada para vulnerar el núcleo del sistema
operativo”.
BAE Systems continúa señalando que “la construcción lleva a suponer que
los atacantes disponen de un verdadero arsenal de herramientas de infiltración,
presentando todos los indicios de que se trata de una ciber-operación altamente
refinada”.
Snake puede propagarse mediante diversos procedimientos, que incluyen
correo electrónico dirigido a destinatarios específicos, y memorias USB
infectadas.
A juicio de BAE, Snake constituye una grave amenaza contra
organizaciones legítimas en la mayoría de los países, especialmente aquellas
con grandes redes, como empresas multinacionales y el sector público.
Desde 2010 se han detectado 56 variantes del malware, en 9 países. La
mayoría de los casos, 32, corresponde a Ucrania, con 8 incidencias en 2013, y
14 en lo que va del presente año.
BAE hace además referencia a un informe publicado el 28 de febrero por
la empresa de seguridad informática alemana G Data, donde da cuenta de un
rootkit denominado Uroburos, vocablo griego traducido como “serpiente”. El
informe, titulado “Uroburos, un software de espionaje altamente complejo, con
raíces rusas”, no deja dudas sobre la autoría del malware.
Según BAE, Uroburos es un componente de Snake. Al igual que BAE, G Data
menciona el alto grado de complejidad del malware, recalcando que su desarrollo
y actualización requiere de grandes recursos, de todo tipo.
En sus respectivos informes, BAE y G Data coinciden en que Uroburos es
un desarrollo de Agente.btz, un código maligno detectado en redes de las
Fuerzas Armadas estadounidenses en 2008, en Estados Unidos y Afganistán. 2 años
más tarde, el viceministro de defensa de Estados Unidos, William Lynt, reveló
que la extracción del malware de las redes del pentágono había tomado 14 meses.
En 2010 trascendió que el Pentágono sospechaba que Agent.btz tenía un
origen ruso, aunque no se proporcionaron detalles. El informe de BAE no
menciona directamente a Rusia. La empresa analiza distintos detalles, entre
ellos cronología y compilación, concluyendo que los autores del código han
trabajado en “horas de oficina” en zonas horarias equivalentes a San
Petersburgo y Moscú.
La conclusión principal es que el código maligno -altamente avanzado y
que supuestamente es una variante del peor ataque cibernético dirigido contra
Estados Unidos- se propaga estos días
con gran intensidad en Ucrania.
“Es una de las amenazas más avanzadas y resistentes que estamos
observando” se indica en el informe de BAE, agregando que Snake instala puertas
traseras, se oculta con gran eficacia, y establece conexiones con servidores de
comando, incluso desde sistemas desconectados de Internet. Asimismo, los
métodos de transmisión de datos dificultan sobremanera detectar que información
está siendo transmitida desde el sistema intervenido.
Gran parte de los procedimientos empleados serían manuales, es decir,
requerirían la intervención de un operador humano, lo que nuevamente lleva a
suponer que los responsables tienen cuantiosos recursos a su disposición.
Más información
- BAE Systems http://www.baesystems.com/article/BAES_165734/bae-systems-applied-intelligence-unveils-extent-of-venomous-nature-of-%E2%80%98snake%E2%80%99-operation
- Informe completo http://www.baesystems.com/ai/snakemalware