En la Cumbre de Analistas de Seguridad de Kaspersky Lab. en Punta Cana, los investigadores han presentado los detalles de una avanzada campaña de espionaje cibernético apodada “Careto” o "The Mask" por su traducción al inglés.
Cuando mencionó por primera vez la campaña Careto, la marca Kaspersky, una empresa rusa líder en productos para le seguridad informática, señaló que los ciberdelincuentes hablan un idioma que es raramente asociado con las amenazas cibernéticas. Tienen razón. Es poco frecuente escuchar operaciones sofisticadas realizadas por individuos que hablan español.
Según los investigadores, la campaña Careto ha estado en marcha desde el año 2007 al menos, y sus objetivos eran agencias gubernamentales, embajadas, empresas gasísticas y energéticas y otras organizaciones de alto perfil distribuidas en un total de 31 países de América, África, Europa y el Medio Oriente.
Se han identificado más de 380 objetivos únicos en países como Argelia, Argentina, Bolivia, Bélgica, China, Brasil, Colombia, Cuba, Costa Rica, Egipto, Francia, Alemania, España, Guatemala, Gibraltar, Irán, Irak, Malasia, Libia, México, Marruecos, Pakistán, Noruega, Sudáfrica, Polonia, Suiza, Turquía, Túnez, el Reino Unido, los Estados Unidos y Venezuela.
Los atacantes tienen un gran arsenal de herramientas de hacking a su disposición, incluyendo un bootkit, un rootkit, malware para Mac OS X y Linux y posiblemente incluso variantes dirigidas a Android y iOS de algunas amenazas sofisticadas. Uno de los exploits que han aprovechado en sus operaciones es CVE-2012-0773, que se dirige a Flash Player.
El malware sofisticado se distribuye con la ayuda de correos electrónicos de spear-phishing enviados a las víctimas. Estos mensajes de correo contienen enlaces a sitios web que alojan kits de explotación. En función de la configuración del sistema de la víctima, se distribuye un tipo diferente de malware.
Curiosamente, los actores maliciosos han desarrollado un ataque que está especialmente dirigido contra las soluciones de Kaspersky.
El principal objetivo de los ciberdelincuentes es recopilar información sensible de las redes de instituciones gubernamentales, compañías energéticas, de petróleo y de gas, oficinas diplomáticas y embajadas, organizaciones de investigación e incluso activistas.
"Hay varias razones que nos hacen creer que ésta podría ser una campaña patrocinada por un estado-nación", señaló Costin Raiu, el director del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab.
"En primer lugar, hemos observado un grado muy alto de profesionalismo en los procedimientos operativos del grupo detrás de este ataque desde la gestión de infraestructuras y el cierre de la operación hasta la forma en que evita la detección a través de reglas de acceso y el uso de limpieza de archivos de registro en lugar de la eliminación", explicó Raiu.
"Estos aspectos se combinan y ponen a esta APT (amenaza persistente avanzada) delante de Duqu en materia de sofisticación, convirtiéndola en una de las amenazas más avanzadas del momento. Este nivel de seguridad operacional no es normal para los grupos ciber-criminales."
Kaspersky explicó que los servidores de mando y control (C&C) fueron cerrados en algún momento de enero de 2014, durante su investigación.
