En 2014 se descubrió uno de los software de espionaje más avanzados hasta esa fecha, con varias palabras en su código escritas en español y una lista de objetivos que situó a Marruecos como el país más atacado.
Careto no era tan potente como
Pegasus, pero daba acceso a los atacantes a un gran número de funcionalidades
de los dispositivos infectados. “Permite grabar conversaciones de Skype, ver
todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa
en tu equipo, en fin, todo un arsenal para espiar”, explicó entonces a
elDiario.es Vicente Díaz, analista senior de malware en Kaspersky.
El hecho de que varias líneas de
código estuvieran en una lengua diferente al inglés, el ruso o el chino era uno
de los aspectos que hacían “extremadamente particular” a Careto, destacaban en
su informe sobre el malware los investigadores de la empresa. No obstante, no
solo era la lengua de programación lo que llamaba la atención, sino los
términos utilizados.
“Diferentes componentes del malware
incluyen artefactos lingüísticos de los autores, lo que sugiere que dominan el
idioma español. Algunas palabras de argot utilizadas serían muy poco comunes en
un hablante no nativo”, exponía el informe de la firma. “Careto” era uno de
ellas y el que terminó dando nombre al malware. Otras piezas de código como
“Caguen1aMar”, que se utilizaba como una clave de cifrado para todas las
comunicaciones con los servidores de control; o un módulo de desarrollo
olvidado en el código final titulado “CaretoPruebas” también apuntaban a que su
diseño se llevó a cabo por españoles.
Pero el uso de estos términos no fue
el único rastro que apuntaba a que Careto pudo nacer en España. El español se
usa en toda Latinoamérica y es una lengua oficial o cooficial en más de 20
países. Además, ya entonces no era descartable que el uso de jerga española
fuera una falsa bandera, una pista errónea introducida para confundir a los
investigadores. Al contrario, el principal factor que apuntaba a España era la lista
de objetivos de Careto, que coincidía con los intereses geoestratégicos del
Gobierno de Mariano Rajoy.
El mayor número de infecciones con
Careto se produjeron en Marruecos, el objetivo número uno de este software de
espionaje y del que ahora se sospecha que pudo lanzar Pegasus contra el
Gobierno español. En segundo lugar estaba Brasil, que en aquel momento dirimía
la adjudicación de una línea de tren de alta velocidad entre Río de Janeiro y
Sao Paulo (511 km) a la que opositaba un consorcio de empresas españolas
públicas y privadas. Ana Pastor, entonces ministra de Fomento, llegó a visitar
Brasil para defender las capacidades españolas para acometer un contrato
valorado en 13.000 millones de euros. El accidente de Santiago truncó la
candidatura.
La lista sigue por Reino Unido y
España, e incluía también a Venezuela y todos los países con litoral
mediterráneo. Una de las apariciones más llamativas es la de Gibraltar. Los
atacantes suspendieron la operación al sospechar que había sido descubierta, en
enero de 2014.
Los principales infectados
coincidieron con los intereses de un actor gubernamental. Fueron instituciones
gubernamentales, legaciones diplomáticas y embajadas. Careto también se empleó
contra infraestructuras críticas como compañías energéticas, incluidas las de
petróleo y gas. Como Pegasus, en la lista de objetivos también aparecían grupos
activistas.
Para infectar a sus objetivos, el
grupo de atacantes que operaba Careto recurrió a técnicas de phishing.
Suplantaron a varios medios de comunicación españoles e internacionales con
enlaces falsos creados para hacerlos pasar por confiables ante las víctimas.
“El sitio web malicioso contiene una serie de exploits diseñados para infectar
al visitante. Una vez infectado, el sitio web malicioso redirige al usuario a
un sitio web benigno, que puede ser una película de Youtube o un portal de
noticias real”, recoge el informe.
Utilizar la identidad de medios de
comunicación para infectar a las víctimas fue una táctica que Pegasus usó
contra los independentistas catalanes y vascos. Esta es la lista de enlaces que
Kaspersky detectó en el caso de Careto:
- negocios.iprofesional.linkconf.net
- internacional.elpais.linkconf.net
- politica.elpais.linkconf.net
- cultura.elpais.linkconf.net
- economia.elpais.linkconf.net
- test.linkconf.net
- soc.linkconf.net
- sociedad.elpais.linkconf.net
- world.time.linkconf.net
- internacional.elpais.linkconf.net
- elpais.linkconf.net
- elespectador.linkconf.net
- blogs.independent.linkconf.net
- elmundo.linkconf.net
- www.guardian.linkconf.net
- washingtonsblog.linkconf.net
- publico.linkconf.net
El principal objetivo de Careto era
hacerse con contraseñas, configuraciones VPN o claves que daban acceso a
servidores con seguridad adicional.
Kaspersky definió a Careto como uno de
los softwares de espionaje “más complejos” que había detectado hasta ese
momento. “Observamos un grado muy alto de profesionalidad en los procedimientos
operativos del grupo que está detrás de este ataque”, señaló. Se basaba en la
infraestructura que respaldaba la operación, el hecho de que esta se concluyera
de inmediato al saberse observada o varias contramedidas que intentaban impedir
que el software pudiera ser investigado. La firma consideraba que el grupo que
estuviera detrás de Careto era “de élite”.
De hecho, sus investigadores reseñan
que la operación pasó inadvertida durante al menos cinco años. El motivo de que
firma la descubriera es que una de las vulnerabilidades que Careto explotaba se
encontraba en uno de sus productos. Cuando la cerró, Kaspersky empezó a
investigar quién la había explotado. Costin Raiu, entonces director del Equipo
de Investigación y Análisis Global de la compañía, afirmó que de no ser por
ello sus investigadores podrían no haberla encontrado nunca.
No es atribuible
Pese a todos los detalles descubiertos
sobre Careto, la operación nunca pudo ser atribuida. Nadie acusó formalmente a
España y España nunca emitió posicionamiento alguno. “Es muy difícil determinar
quién ha sido el que ha distribuido un malware y sobre todo quién maneja los
paneles de comando, que son los servidores que lo controlan”, explica Igor
Unanue, jefe de Tecnología de la firma de ciberseguridad española S21Sec.
“A no ser que alguien pueda tener
acceso a esos servidores y capte quién está detrás, es extremadamente difícil
de determinar. Como Careto hay un montón de malware que siempre hemos
sospechado que tiene detrás a un gobierno, pero que no se puede atribuir”,
continúa el experto: “Con Pegasus hay muchas posibilidades de que ocurra lo
mismo, a no ser que el CNI decida desclasificar o se llegue a conseguir algo
por vía judicial”.
En cualquier caso, Unanue destaca que
Pegasus y Careto no son asimilables. El lapso que les separa (el primero fue
detectado por primera vez en 2017, mientras que la operación del segundo se
cerró en 2014) hace que sus capacidades técnicas sean diferentes, mientras que
su propósito tampoco es el mismo. Pegasus es un arma de espionaje para atacar
objetivos concretos, mientras que el objetivo de Careto era sobre todo el robo
de contraseñas y credenciales. El software de NSO es además un producto final,
mientras que la industria no descarta que Careto fuera solo una prueba.
“Careto tuvo una expansión bastante
generalizada, por lo que puede que fuera construido para probar las capacidades
de adversarios y que después de eso se destruyera. Pegasus no es eso. Se diseñó
específicamente para venderlo para el espionaje, un tipo de malware muy caro
que hace que normalmente solo esté a disposición de gobiernos”, concluye
Unanue.
Fuente: El Diario.es
ANEXO (MALWARE CARETO. )
Careto, a veces llamado The Mask, es
un programa de malware espía descubierto por la compañía de seguridad
informática Kaspersky en 2014, y que debido a su alto nivel de sofisticación y
profesionalidad, y a una lista de objetivos que incluía oficinas diplomáticas y
embajadas, se cree obra de un Estado. Kaspersky sostiene además que los
creadores del malware son hispanohablantes.1
A causa de la concentración de sus
ataques en víctimas castellanohablantes, el uso de servidores C&C que
simulan relación con algunos de los principales periódicos de España, la
numerosa selección de objetivos en Marruecos y ocasionalmente en Gibraltar, se
especula que, salvo que se trate de un ataque de bandera falsa, Careto fue
operado por España.
Carga útil
Careto normalmente instala un segundo
y más complejo programa de puerta trasera llamado SGH, fácilmente modificable y
que dispone además de un arsenal más amplio, incluida la capacidad de
interceptar eventos del sistema, operaciones de archivos y la realización de
una amplia gama de funciones de vigilancia.4 La
información recopilada
por SGH y Careto puede incluir claves de cifrado, configuraciones de redes
privadas virtuales, y claves de SSH u otros canales de comunicación.
Detección y eliminación
Careto es difícil de descubrir y
eliminar debido a sus capacidades de sigilo. Por otra parte, la mayoría de las
muestras cuentan con una firma digital, emitida por la empresa búlgara
TecSystem Ltd., pero la autenticidad de la compañía es desconocida. Uno de los
certificados emitidos fue válido entre el 28 de junio de 2011 y el 28 de junio
de 2013, y otro lo fue entre el 18 de abril de 2013 y el 18 de julio de 2016,
pero fue revocado por Verisign.
El programa fue detectado por primera
vez cuando intentó eludir los productos de seguridad de Kaspersky. Después de
descubrir la tentativa de buscar un exploit en su software, Kaspersky inició
una investigación en la que, como parte de la recolección de estadísticas, se
colocaron múltiples sumideros en los servidores de mando y control.
Actualmente, el software antivirus más
actualizado es capaz de detectar y suprimir con éxito el malware.
Distribución
Durante la investigación de los
servidores de mando y control, se reveló que más de 380 víctimas habían sido
infectadas tras hacer clic en un enlace de spear phishing que redirigía a
sitios web que contenían software del que Careto podía aprovechar un exploit,
como Adobe Flash Player. Dicha aplicación ha sido parcheada desde entonces, y
ya no posee vulnerabilidades aprovechables por Careto. Los sitios web que
utilizaban el software problemático tenían nombres similares a periódicos
populares, tales como The Washington Post o The Independent.4
Se dice que el malware tiene varias
puertas traseras para GNU/Linux, macOS y Microsoft Windows. En los servidores
de mando y control se encontraron pruebas de un posible cuarto tipo de puerta
trasera para Android y iOS, pero no se hallaron sin embargo muestras.
Se ha estimado que Careto estaba
compilado ya en 2007, y se sabe que sus ataques cesaron en enero de 2014
Fuente: Wikipedia.org
