La carga cifrada pudiera también contener código destructivo al estilo de Stuxnet, dice Kaspersky
Una avanzada herramienta cibernética de vigilancia que monitorea las transacciones financieras con los bancos del Medio Oriente fue probablemente construida por o bajo los auspicios de un gobierno, dijeron hoy unos investigadores de seguridad.
En la madrugada del jueves, el Kaspersky Lab, con sede en Moscú, reveló sus conclusiones acerca de “Gauss“, el nombre que ha dado al malware descubierto por esa firma en junio, pero que se mantuvo inactivo un mes más tarde cuando los servidores de mando y control (C&C) dejaron de funcionar.
Roel Schouwenberg, un investigador senior de Kaspersky, dijo hoy en una entrevista que Gauss tiene características comunes con otros tipos de malware avanzados, como Flame, la herramienta de espionaje digital dirigida a Irán, que exploró sistemas ya maduros para el robo de datos. Esas cosas en común llevaron a la empresa de seguridad a la conclusión de que Gauss, como Flame, Stuxnet y Duqu, fue creado por un estado-nación, o que el proyecto fue financiado por uno o más gobiernos.
“Es muy claro que [Gauss] se construyó sobre la misma plataforma que Flame”, dijo Schouwenberg. “Todas estas armas cibernéticas están vinculadas entre sí, y Gauss es parte también de eso”.
Anteriormente, los expertos en seguridad –incluidos los de Kaspersky, así como otros de Symantec– habían conectado a Stuxnet con Duqu, y a Flame con Stuxnet. Por tanto, Gauss está conectado con Stuxnet, el malware que saboteó el programa de enriquecimiento de combustible nuclear de Irán.
Otros expertos han especulado que los gobiernos de Estados Unidos e Israel, en particular sus agencias de inteligencia, fueron las fuentes de Stuxnet y Flame.
Dos cosas se destacan en Gauss, dijo Schouwenberg: el componente de la banca en línea y una carga todavía misteriosa que está cifrada tan fuertemente que Kaspersky aún no tiene idea de lo que es, o lo que hace.
Gauss es el primer malware respaldado o construido por un gobierno en el que se usa un módulo bancario. Entre sus otras funciones, este caballo de Troya roba las credenciales de varios bancos del Oriente Medio con sede en el Líbano, entre ellos el Banco de Beirut, EBLF, BlomBank, ByblosBank, Fransabank y Credit Libanais. También afecta a los usuarios de Citibank y PayPal.
Debido a que la infraestructura de C&C del malware fue cerrada el mes pasado, antes de que Kaspersky pudiera sondear los servidores o ejecutar una copia domesticada del software malicioso para verlo interactuar con ellos, la firma no ha podido determinar con exactitud lo que Gauss hacía cuando estaba en funcionamiento.
Pero Schouwenberg dijo que Kaspersky tiene algunas ideas.
“Parece que [Gauss] fue utilizado como una herramienta de vigilancia”, dijo Schouwenberg. “En este momento creemos que fue utilizado para observar las cuentas y el flujo de dinero. No creemos que estaban tratando realmente de apoderarse del dinero”.
Según los cálculos de Kaspersky, el 66 por ciento de las PC infectadas con Gauss se encuentran en el Líbano, el 19 por ciento en Israel y el 10 por ciento en Palestina.
Kaspersky ha identificado alrededor de 2.500 máquinas infectadas con Gauss –esas PC son monitoreadas por la empresa de seguridad–, de las cuales dos tercios están ubicadas en el Líbano. Otro 19 por ciento se encuentra en Israel.
Basados en estas 2.500, Schouwenberg dijo que Kaspersky estima que “decenas de miles” de computadoras han sido infectadas con ese caballo de Troya en todo el mundo desde que el malware inició su campaña en septiembre u octubre de 2011.
La carga todavía secreta de Gauss también ha intrigado a los investigadores.
Al igual que Stuxnet, Gauss tiene un módulo que utiliza las unidades flash USB, dijo Schouwenberg. Cuando una de estas unidades está conectada a una PC de plataforma Windows infectada com Gauss, ésta transfiere secretamente el código a la unidad. Si esa misma unidad se inserta después en otra máquina no infectada y bajo determinadas circunstancias –derivadas de la configuración del sistema de la PC– esta ejecuta un código que explora los directorios y exfiltra datos a la unidad.
Cuando la unidad flash se conecta de nuevo a una máquina infectada con Gauss, la información que robó del sistema no infectado se transfiere a los servidores C&C del malware.
“No sabemos qué están buscando, pero con el tiempo podremos hacerlo”, dijo Schouwenberg. “¿Qué es tan importante que se tomaron la molestia de ocultar el código? Creemos que están utilizando las unidades USB para acortar la ‘brecha aérea'”.
La “brecha aérea” se refiere al enlace roto entre las computadoras que están conectadas a Internet y las que no lo están. Estas últimas deben estar infectadas o supervisadas a través de medios que no sean una red o la Internet. Los expertos creen que las computadoras que controlaban la maquinaria de enriquecimiento del combustible nuclear iraní fueron infectadas con unidades USB, ya que esas PC no habrían estado conectadas a la Internet y, por tanto, no estarían directamente accesibles desde computadoras previamente infectadas.
La hipótesis de Kaspersky es que la carga desconocida, de hecho, pudiera llevar código destructivo, al estilo de Stuxnet.
Esa creencia ha sido reforzada por el uso de una vulnerabilidad, reparada desde hacía mucho tiempo, para instalar la carga misteriosa. El mencionado error, que se aprovecha de un defecto en los archivos de acceso directo de Windows, identificados por la extensión “.lnk”, fue utilizado por Stuxnet en su vector infeccioso basado en la unidad USB.
Microsoft había reparado la vulnerabilidad .lnk con una actualización de emergencia– una excepción en su estilo acostumbrado de emitir parches una vez al mes– el 2 de agosto de 2010.
El hecho de que Gauss aprovechaba un error que se había reparado hace dos años llevó a Schouwenberg a especular que los objetivos pueden haber sido sistemas importantes, tal vez los que controlan procesos industriales.
“[Las PC que controlan industrias] rara vez reciben parches, en primer lugar porque no están conectadas a la Internet –de nuevo, la brecha aérea– y también porque las reparaciones reducen el tiempo de actividad productiva, lo cual es crítico para esos sistemas”, dijo Schouwenberg.
Kaspersky ha publicado un compendio de preguntas frecuentes sobre Gauss, así como un análisis de 48 páginas sobre ese programa malicioso (http://www.securelist.com/en/blog?weblogid=208193767).
–Gregg Keizer, Computerworld (EE.UU.)