El malware cada vez es más y más sofisticado. Hemos visto ejemplos como Flame o Stuxnet salir a la luz después de llevar varios años en la sombra. Kaspersky Labs ha añadido hoy una pieza más a esa lista: The Mask o Careto.
Los investigadores se encontraron, prácticamente de casualidad, con un malware que se aprovechaba de una vulnerabilidad en productos Kaspersky para hacerse invisible en el sistema. El hecho de que no se conociese ningún otro malware que la estuviese usando despertó su curiosidad y se empezó a investigar de dónde venía ese exploit.
El equipo de investigación de Kaspersky se ha encontrado con un malware muy complejo, que explota varias vulnerabilidades 0-day, con versiones para varios sistemas operativos y que ha estado funcionando desde 2007 (como mínimo).
Careto se propagaba a través de mensajes de correo electrónico. Las URL’s parecían familiares. Es más, muchas de estas URL’s simulaban ser enlaces a páginas de diarios españoles (un ejemplo: politica.elpais.linkconf . net), pero en realidad dirigían a servidores que lanzaban ataques contra el visitante según su navegador y sistema operativo. Los investigadores han encontrado exploits para Java, Flash, y plugins para Chrome y Firefox en cualquier SO (Windows, Mac o Linux).
Una vez que el exploit accedía al sistema, descargaba dos paquetes de software: Careto y SGH. Careto funciona con permisos de usuario, mientras que SGH, un rootkit, se ejecuta en el núcleo del sistema. Para no levantar sospechas, ambos estaban firmados con un certificado de una compañía falsa.
Ya instalados en el sistema, Careto y SGH obtenían datos sensibles del ordenador: claves de cifrado, configuraciones de VPN y escritorio remoto, claves SSH… También se comunicaban usando HTTPS con los servidores C&C (Command and Control), de los que recibían órdenes y a los que transmitían resultados. Además, revisando los registros de esos servidores, Kaspersky Labs ha encontrado pruebas de que Careto también podría tener versiones para Android e iOS.
> ¿Quién esta detrás de careto?
En estos casos la autoría no se puede determinar fácilmente. Sin embargo, teniendo en cuenta la sofisticación del malware y los objetivos (instituciones, embajadas, compañías energéticas y activistas principalmente), lo más probable es que Careto haya sido creado por un Estado y no por unos hackers independientes.
Pero hay más. Lo primero es que en los ejecutables hay varias cadenas en español, incluyendo la muy reveladora clave de cifrado Caguen1aMar. La lista de dominios de phishing usados en los correos electrónicos contiene principalmente diarios españoles. Además, la mayoría de las víctimas tienen IP de España, de países hispanohablantes, de Francia o de Marruecos. También es llamativa la presencia de Gibraltar. Bruce Schneier especula con que todo esto apunta a España como fuente del malware.
También podrían ser pistas falsas, por supuesto, en cuyo caso serían pistas falsas muy bien puestas.
En resumen, Careto es un malware muy inusual, y que según Kaspersky está por encima de Duqu, Gauss, RedOctober o Icefog en cuanto a sofisticación. Una muestra más de que la seguridad informática ya no es cosa de hackers encerrados en un sótano, sino de grupos enteros dedicados a la seguridad dirigidos por agencias estatales.
Fuente | Kaspersky
Secur-IT @C.R.S. 