Octubre y su horroroso malware hicieron de las suyas

 

Sin lugar a duda, en octubre el suceso más importante para la industria antivirus ha sido la noticia del descubrimiento del programa troyano Duqu. El análisis llevado a cabo por los expertos del laboratorio Crysys puso al descubierto varias similitudes del código del troyano con el del gusano Stuxnet, que es el primer ejemplar conocido de "armamento cibernético". La similitud entre ambos programas maliciosos es tan clara que puede ser un indicio de que, o bien detrás de ambos está el mismo grupo de personas, o de que los creadores de Duqu usaron el código fuente de Stuxnet (el cual, a pesar de los rumores, nunca estuvo disponible al público).

A diferencia de Stuxnet, que contenía un código que modificaba los parámetros de funcionamiento de motores de alta velocidad y que, según se supone, fue creado para dejar fuera de servicio las centrífugas en la factoría iraní de enriquecimiento de uranio, Duqu no tiene funcionalidades que afecten a los sistemas industriales. Los archivos de Duqu, descubiertos en Hungría durante la investigación del primer incidente, contenían (aparte del módulo principal, responsable del funcionamiento del troyano y de su comunicación en el servidor de administración) un módulo adicional: un troyano-espía. Este módulo tiene la capacidad de interceptar los datos ingresados mediante el teclado, hacer capturas de pantalla, recopilar información sobre el sistema, etc. Más adelante, los datos robados podrían enviarse al servidor de administración del troyano, que en ese entonces estaba en India. La clara intención de hacer espionaje industrial, y no sabotaje (como en el caso de Stuxnet) hizo que surgiera una gran cantidad de preguntas sobre el verdadero objetivo de Duqu.

Durante la investigación, los expertos de Kaspersky Lab no sólo lograron descubrir nuevas víctimas de Duqu, sobre todo en Irán (algo que una vez más nos hace recordar la historia de Stuxnet y encontrar similitudes), sino también encontrar nuevos ficheros de Duqu que no se conocían antes. Esto confirma nuestra suposición de que los dueños de Duqu continúan su operación y los objetivos de sus ataques precisos (a diferencia de las infecciones masivas de Stuxnet) son blancos escogidos con gran esmero. Al mismo tiempo, para cada uno de los objetivos atacados se usa un conjunto específico de ficheros del troyano. Es probable que también se usen módulos adicionales, y no sólo del troyano-espía que hemos mencionado, sino también de módulos con cualquier otro tipo de funciones.

Ataques dirigidos a usuarios en redes sociales

En octubre se desató un gran escándalo en Alemania, provocado por el descubrimiento de un backdoor que la policía alemana utilizaba durante sus investigaciones para interceptar las conversaciones y mensajes en los equipos de los sospechosos. La investigación llevada a cabo por la comunidad de hackers alemanes Chaos Computer Club (CCC), en la que más tarde tomaron parte los expertos de Kaspersky Lab residentes en Alemania, mostró que el troyano no sólo intercepta los mensajes en Skype, sino en todos los navegadores populares, diferentes mensajeros instantáneos y programas de telefonía por Internet (VoIP): ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster y Yahoo Messenger. Además, se estableció que el backdoor puede funcionar en las versiones Windows de 64 bits.

El escándalo ocurrió no sólo porque ya cinco territorios federales de Alemania reconocieron usar este troyano, sino también porque las leyes federales del país permiten a los órganos de seguridad interceptar sólo el tráfico Skype de los sospechosos. También se logró establecer que el Backdoor.Win32.R2D2 (también conocido como “0zapftis”) puede espiar un espectro mucho mayor de programas.

Resultó que el ejemplar del troyano que fue objeto de la investigación lo había instalado la policía en el equipo portátil del sospechoso durante la revisión de seguridad en el aeropuerto de Múnich. Posteriormente, en los documentos del sitio WikiLeaks se revelaron materiales que testificaban que se había encargado a la compañía alemana Digitask crear este troyano y que había costado más de 2 millones de euros.

Android, el líder de las amenazas móviles

Según las estadísticas de Kaspersky, el número total de malware para Android ha superado al de J2ME (Symbian superó a Android a mediados del verano). El crecimiento tan rápido y significante de la cantidad de malware para Android es un indicio de que en el futuro próximo los escritores de virus se concentrarán en este sistema operativo.

Por desgracia, en Android Market aparecen programas maliciosos con gran frecuencia. En octubre, desde la tienda online de aplicaciones, y después de que Kaspersky Lab enviara una notificación, se borró un programa malicioso más, que nuestros productos detectan como Trojan-Spy.AndroidOS.Antammi.b.

El programa malicioso ataca al público de habla rusa. En Android Market se puede encontrar gran cantidad de ringtons para descargar. Antammi.b también contiene funciones de descarga de tonos para el teléfono (enviando SMS de pago), pero además roba prácticamente todos los datos personales de los usuarios: contactos, (como los que se copian a la tarjeta de memoria en el fichero /sdcard/bestringtones/contacts.txt, el archivo de SMS, las coordenadas GPS, etc. Después, el programa malicioso envía la información sobre su trabajo a un buzón en Gmail y los datos robados a un servidor.

Este programa malicioso apareció en la tienda oficial a principios de septiembre y durante su tiempo de vida, Antammi.b fue descargado por más de 5,000 usuarios.

Amenazas para MacOS: nuevas funcionalidades

A mediados de octubre se descubrió una nueva versión del troyano para Mac OS X Flashfake, Trojan-Downloader.OSX.Flashfake.d. La principal función del programa malicioso -descargar ficheros- sigue siendo la misma. Y también sigue disfrazándose de fichero de instalación de Adobe Flash Player. Pero se ha agregado una nueva funcionalidad para OSX.

Hace dos años la compañía Apple añadió al sistema Mac OS X un sistema de defensa contra programas maliciosos, denominado Xprotect. En esencia, se trata de un simple escáner de firmas, que desde el 31 de mayo de este año, después de la historia con MacDefender, comprueba cada día la presencia de actualizaciones de las bases de programas maliciosos. Trojan-Downloader.OSX.Flashfake.d puede dejar fuera de servicio Xprotect, al "romper" sus ficheros principales. Después de hacerlo, la defensa no puede recibir actualizaciones de la compañía Apple, con lo que la efectividad de Xprotect es nula. El que sea posible deshabilitar la defensa integrada se debe a que este mecanismo simplemente no lo habían previsto los programadores.

De esta manera, el archivo malicioso Trojan-Downloader.OSX.Flashfake.d, una vez activado en el equipo, no sólo se protege de ser eliminado, sino que también hace que el sistema sea vulnerable para otros programas maliciosos que la protección integrada debería detectar. Esto hace que el troyano sea más peligroso que el resto de malware para OSX.

La aparición de nuevos programas maliciosos para Mac OS X está relacionada en primer lugar con la creciente popularidad de los ordenadores Apple. Por desgracia, los usuarios de Mac OS X no le prestan mucha atención a la seguridad y son pocos los ordenadores que cuentan con un antivirus. Por su parte, los mecanismos integrados de protección ya son obsoletos. Por eso, los ordenadores Apple son una presa fácil para los creadores de virus.

Ataques contra las redes de corporaciones y grandes organizaciones

En octubre hubo muchos casos de ataques contra corporaciones e instituciones gubernamentales. En primer lugar, hay nuevos datos sobre el ataque contra la compañía japonesa Mitsubishi Heavy Industries llevado a cabo en agosto.

Durante las investigaciones llevadas a cabo por la policía de Tokio, se estableció que en los 83 equipos atacados había cerca de 50 diferentes programas maliciosos. En uno de estos equipos se detectaron 28. También se estableció que los hackers habían hecho cerca de 300,000 solicitudes a los sistemas infectados. El examen de las fuentes de los ataques reveló un ordenador infectado más, perteneciente a la Sociedad de Compañías Aeroespaciales de Japón (SJAC). Precisamente desde él los hackers enviaban mensajes maliciosos a las compañías Mitsubishi Heavy y Kawasaki Heavy. Los atacantes controlaban la computadora mediante un servidor proxy en E.U., que les ayudaba a borrar todas las huellas que pudieran mostrar su ubicación. No obstante, los expertos japoneses siguen considerando que los hackers son de origen chino.

Al principio se declaró que no se había logrado robar información confidencial. Pero después de casi un mes de iniciada la investigación del incidente, la prensa obtuvo información de que los hackers habían logrado robar datos sobre la creación de aviones caza y planos de centrales atómicas eléctricas.

Japón ingresó una vez más en nuestro informe mensual cuando se descubrió un ataque contra los miembros de la cámara baja del parlamento y varias misiones diplomáticas de este país en diferentes países. En el parlamento había 32 equipos infectados y los hackers pudieron obtener (y probablemente obtuvieron) acceso a los documentos internos y toda la correspondencia electrónica de los parlamentarios. También se descubrieron virus en los ordenadores de las embajadas de Japón en Francia, Holanda, Myanmar, EE.UU., Canadá, China y Corea del Sur. Los programas maliciosos se comunicaban con dos servidores ubicados en China, que los delincuentes ya habían usado antes durante los ataques contra Google.

Por otro lado, en Estados Unidos, durante sesiones especiales del congreso se revelaron los detalles de una serie de ataques, entre ellos los relacionados con la irrupción en la compañía RSA, ocurrida en marzo. Se informó que otros cientos de compañías en todo el mundo podrían caer víctimas de incidentes parecidos y de ataques del mismo grupo de hackers. Recordamos que los expertos también consideran que se trata de una amenaza de origen chino.

Además, se revelaron datos sobre los ataques contra dos satélites norteamericanos en 2007-2008. Hackers desconocidos interfirieron varias veces el funcionamiento de los satélites científicos Landsat-7 y Terra AM-1. Pero oficialmente no se informa si los hackers lograron robar información o perturbar el funcionamiento de los satélites. Según las declaraciones del gobierno norteamericano, los satélites atacados no juegan un rol esencial en la seguridad nacional de los EE.UU., pero el sólo hecho de que los ataques hayan tenido éxito es alarmante. En principio, una vez obtenido el acceso al satélite, los hackers pueden dejarlo fuera de servicio, o comprometer los datos que transmite.

En total se registraron cuatro ataques, durante los cuales los delincuentes obtuvieron el control de los satélites durante varios minutos. Se supone que los ataques fueron posibles después del hackeo de los sistemas informáticos de la estación satelital terrena ubicada en Noruega.

Con este escenario de fondo el descubrimiento de un virus en los sistemas de mando de los vehículos aéreos no tripulados en una de las bases americanas es más bien un caso curioso. El sistema troyano que "robaba los datos de alta de los usuarios" fue descubierto en septiembre en los discos duros extraíbles y los ordenadores del centro terrestre de control de operaciones pilotadas a distancia. Según datos de una fuente anónima del ministerio de defensa de E.U., el troyano fue creado para robar los datos de registro de los usuarios de una serie de juegos online y probablemente entró en el sistema de forma casual, es decir, no fue parte de un ataque específico. De una forma u otra, este incidente pone al descubierto una vez más la negligencia en estas cuestiones, algo inadmisible en campos donde la seguridad es un asunto de interés vital.

-Equipo de investigadores de Kaspersky Labs