Proyecto CAMBERDADA. Agencias vs antivirus, segundo asalto

0
Imagen del centro de la GCHQ

Imagen del centro de la GCHQ

Recientemente estuvimos comentando nuevas informaciones filtradas por Edward Snowden, que muestran como las agencias gubernamentales -NSA y GCHQ- han estado persiguiendo a los antivirus durante años, para así poder espiar a los clientes.

Camberdada – Espionaje en los emails

Esto sugiere que la NSA sigue leyendo mensajes de email en su constante búsqueda de vulnerabilidades en software antivirus.

Seguimos hablando de documentos desclasificados que muestran como, mediante el proyecto CAMBERDADA, la NSA anduvo detrás de las comunicaciones vía email de millones de usuarios. Se ha filtrado el contenido de un email con un malware adjunto, que fué enviado por el investigador François Picard a diferentes compañías de antivirus para su análisis.

 

De hecho, el email enviado por Picard cayó en manos de la NSA, que lo empleó en una de sus presentaciones para su estudio.

Contenido de la presentación

En dicho documento, la NSA comenta que sus servicios de inteligencia comprueban en torno a 10 nuevos archivos potencialmente maliciosos cada día, aptos para vulnerar antivirus. Esto es sólo una pequeña porción de todo el pastel del malware, que Kaspersky cifra en unas 325000 nuevas muetras cada día.

Un documento interno de la agencia británica GCHQ cifra en unos 100000 los eventos diarios relacionados con el malware.

Tras obtener estos archivos, la NSA comprueba si el antivirus de Kaspersky es capaz de neutralizar estas muestras de malware. La TAO –Tailored Access Operations unit– de la NSA intenta reutilizar el malware antes de que los antivirus actualicen sus firmas y sean capaces de reaccionar.

Camberdada - Antivirus vs Agencias de inteligencia

El proyecto CAMBERDADA muestra en su presentación a 23 empresas de antivirus a nivel mundial, debajo del epígrafe “Más objetivos”. Estas empresas incluyen a la firma de firewalls israelí Check Point software. 

Resulta notorio comprobar como se han omitido entre los objetivos a las firmas de antivirus americanas como McAfee, Symantec y la británica Sophos.

moar-targets-540x405

Es más o menos lógico que las agencias monitoricen los informes que fluyen entre las empresas de antivirus. Dichos informes incluyen nuevas muestas de malware, además de permitirles obtener información sobre actores hostiles. 

Las empresas de antivirus, a veces, reaccionan con cierta lentitud ante la aparición de nuevas amenazas, lo que deja una ventana abierta a las agencias para colarse en muchos sistemas. Así, por ejemplo, un informe de 2012 muestra como, tras ser la firma Sophos avisada de importantes fallos de seguridad en su software antivirus, esta afirmó que necesitaría cerca de 6 meses para corregir todos los fallos (aunque luego rebajaron el plazo a un mes).

Camberdada – Antivirus vs Agencias de inteligencia

A medida que los espías del gobierno se esfuerzan en demoler la protección antivirus, se hace más patente que estos están en peligro de sucumbir. Y es que empresas como Kaspersky o Bitdefender han frustrado cientos de miles de intentos de seguimiento a toda clase de individuos.

Camberdada - Antivirus vs Agencias de inteligencia

Supervirus como Flame, descubierto por Kaspersky en 2012, Gauss, durante el mismo año. Stuxnet, descubierto por otra empresa de antivirus en 2010, así como Regin, descubierto por Symantec, han frenado las aspiraciones controladoras de muchos gobiernos.

Equation Group

El pasado Febrero, Kaspersky daba la voz de alarma sobre el Equation Group, catalogado como:

el actor malicioso más avanzado que hemos visto y probablemente el grupo de ciber-atacantes más sofisticado del mundo…

Esta organización habría desplegado herramientas de espionaje por todo el planeta, escondiéndolas en discos duros de las principales empresas del sector. Este grupo tiene todos los indicios de haber sido desplegado por la NSA.

Equation group

Equation group

Los mecanismos de hacking desplegados por el Grupo Equation han permanecido indetectables ente 14 y 19 años, colándose en lo más profundo del firmware de sistemas informáticos de todo el mundo, según Kaspersky. De entre los 30 páises que habrían sido afectados, podemos destacar empresas tecnológicas, instituciones financieras, centros de entrenamiento nuclear y cientos de tiendas.

Mapa de víctimas del Equation group

Mapa de víctimas del Equation group

Kaspersky estima que el Equation Group habría colocado su carga en decenas de miles de ordenadores a nivel mundial. Sin embargo, esperaban llegar a millones de ordenadores mediante algunas modificaciones.

hd-classes-640x307

Recelos hacia Kaspersky. ¿Desvío de atención?

Esta relación de enfrentamiento entre las agencias occidentales de inteligencia y Kaspersky tienen siempre un denominador común: las agencias acusan a Kaspersky de trabajar de forma cercana con el servicio de espionaje ruso, el FSB. Dichas acusaciones están en parte originadas por el conocido éxito de la firma a la hora de desentrañar muestras de spyware de las agencias americanas y europeas.

Eugene Kaspersky, dueño de la compañía que lleva su nombre

Eugene Kaspersky, dueño de la compañía que lleva su nombre

Eugene Kaspersky, por su parte, habla en su blog de teorías “sensacionalistas y conspiranoicas”, afirmando además que “por alguna razón, han olvidado mencionar nuestros informes” en una cadena de malware que lleva directamente hasta desarrolaldores rusos. Eugene continúa, además, diciendo que:

Desde nuestro punto de vista, otorgando plena confianza a Kaspersky por el buen trabajo que realiza a diario, sólo podemos calificar estas acusaciones como burdos intentos de desviar el foco de la cuestión.

El movimiento se demuestra andando

kaspersky Lab coopera habitualmente con organismos internacionales para neutralizar malware a todos los niveles, resolviendo por sí misma muchos casos de cibercrímen.

Las organizaciones de espionaje gubernamentales no articulan palabra, si no es para acusar a otros

Las organizaciones de espionaje gubernamentales no articulan palabra, si no es para acusar a otros

Conviene dejar claro que NUNCA se ha probado la veracidad de los supuestos vínculos de Kaspersky con el FSB ruso. Sin embargo, lo que sí sabemos es que empresas americanas como Microsoft, Google, Yahoo, Facebook, Apple o AOL, participaron todas en el programa de espionaje masivo PRISM de la NSA.

 

Y como el movimiento se demuestra andando, podemos ver hacia dónde va cada cual. Kaspersky Lab anunciaba a comienzos de este mes que había sido atacada por actores extranjeros (presumiblemente la NSA americana) y comentaban con sorna algo que invita a la reflexión:

Es muy preocupante que las organizaciones gubernamentales nos estén persiguiendo a nosotros, en lugar de emplear sus recursos contra los adversarios verdaderos, y que estén contaminando el software de seguridad que hacemos para intentar mantener al usuario medio seguro.

Mientras, las agencias gubernamentales americana y británica declinan realizar ningún comentario al respecto. ¿Sorprende a alguien a estas alturas?

Valora este artículo

  • User Ratings (1 Votes)
    9.9
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR