Careto (malware)

Careto, a veces llamado The Mask, es un programa de malware espía descubierto por la compañía de seguridad informática Kaspersky en 2014, y que debido a su alto nivel de sofisticación y profesionalidad, y a una lista de objetivos que incluía oficinas diplomáticas y embajadas, se cree obra de un Estado. Kaspersky sostiene además que los creadores del malware son hispanohablantes.[1]

A causa de la concentración de sus ataques en víctimas castellanohablantes, el uso de servidores C&C que simulan relación con algunos de los principales periódicos de España, la numerosa selección de objetivos en Marruecos y ocasionalmente en Gibraltar, se especula que, salvo que se trate de un ataque de bandera falsa, Careto fue operado por España.[2][3]

Careto normalmente instala un segundo y más complejo programa de puerta trasera llamado SGH, fácilmente modificable y que dispone además de un arsenal más amplio, incluida la capacidad de interceptar eventos del sistema, operaciones de archivos y la realización de una amplia gama de funciones de vigilancia.[4]​ La información recopilada por SGH y Careto puede incluir claves de cifrado, configuraciones de redes privadas virtuales, y claves de SSH u otros canales de comunicación.[1]

Detección y eliminación

Careto es difícil de descubrir y eliminar debido a sus capacidades de sigilo. Por otra parte, la mayoría de las muestras cuentan con una firma digital, emitida por la empresa búlgara TecSystem Ltd., pero la autenticidad de la compañía es desconocida. Uno de los certificados emitidos fue válido entre el 28 de junio de 2011 y el 28 de junio de 2013, y otro lo fue entre el 18 de abril de 2013 y el 18 de julio de 2016, pero fue revocado por Verisign.[5]

El programa fue detectado por primera vez cuando intentó eludir los productos de seguridad de Kaspersky. Después de descubrir la tentativa de buscar un exploit en su software, Kaspersky inició una investigación en la que, como parte de la recolección de estadísticas, se colocaron múltiples sumideros en los servidores de mando y control.[5]

Actualmente, el software antivirus más actualizado es capaz de detectar y suprimir con éxito el malware.

Distribución

Durante la investigación de los servidores de mando y control, se reveló que más de 380 víctimas habían sido infectadas tras hacer clic en un enlace de spear phishing que redirigía a sitios web que contenían software del que Careto podía aprovechar un exploit, como Adobe Flash Player. Dicha aplicación ha sido parcheada desde entonces, y ya no posee vulnerabilidades aprovechables por Careto. Los sitios web que utilizaban el software problemático tenían nombres similares a periódicos populares, tales como The Washington Post o The Independent.[4]

Se dice que el malware tiene varias puertas traseras para GNU/Linux, macOS y Microsoft Windows. En los servidores de mando y control se encontraron pruebas de un posible cuarto tipo de puerta trasera para Android y iOS, pero no se hallaron sin embargo muestras.[4]

Se ha estimado que Careto estaba compilado ya en 2007, y se sabe que sus ataques cesaron en enero de 2014.[5]

Referencias

  1. a b «Kaspersky Lab uncovers “The Mask”: One of the most advanced global cyber-espionage operations to date due to the complexity of the toolset used by the attackers». Kaspersky Lab (en inglés). 10 de febrero de 2014. Consultado el 2 de junio de 2017. 
  2. Schneier, Bruce (11 de febrero de 2014). «"The Mask" Espionage Malware» (html). Schneier on Security (en inglés). Consultado el 2 de junio de 2017. 
  3. Villalón Huerta, Antonio (2016). «Las campañas y el malware». Amenazas persistentes avanzadas. Valencia: Nau Llibres. pp. 80-1. ISBN 978-84-16926-09-1. 
  4. a b c Constantin, Lucian (11 de febrero de 2014). «Unveiling 'The Mask': Sophisticated malware ran rampant for 7 years» (html). PC World (en inglés). Consultado el 2 de junio de 2017. 
  5. a b c «The Careto/Mask APT: Frequently Asked Questions». Securelist (en inglés). 10 de febrero de 2014. Consultado el 2 de junio de 2017. 

Enlaces externos