Kaspersky pone al descubierto a “Careto”, la sofisticada operación de ciberespionaje de origen hispano


Investigadores de la empresa de seguridad informática Kaspersky Lab descubrieron la que sería la primera operación de ciberespionaje internacional de origen hispano, identificada con el nombre de “Careto” (máscara), que fue utilizada para vulnerar los ordenadores de entidades gubernamentales, empresas de energía y financieras, instituciones educativas,  y activistas de renombre en una treintena de países durante más de cinco años.

Infografía de los países y objetivos afectados por "Careto" (Crédito: Kaspersky Lab)

Infografía de los países y objetivos afectados por “Careto” (Crédito: Kaspersky Lab)

De acuerdo con el informe difundido recientemente por la compañía de seguridad de origen ruso, bajo el título “Unveiling Careto- The Masked APT” (“Exponiendo a Careto- El APT Enmascarado”), esta campaña funcionó con total impunidad desde el año 2007, dejando de operar recién en febrero de este año, cuando detalles de la misma comenzaron a salir a la luz pública.

El descubrimiento se produjo cuando los especialistas de Kaspersky detectaron los intentos de un malware hasta entonces desconocido por explotar una versión antigua del sofware de seguridad de la compañía, con el objeto de hacerse invencible a los análisis.

A partir de ese momento, determinaron que durante el período en que la campaña de ciberespionaje estuvo activa, el malware infectó a 380 objetivos distribuidos en 31 países, siendo Marruecos, Brasil y Reino Unido los que experimentaron una mayor cantidad de ataques. Asimismo, se determinó que los creadores de esta operación desarrollaron un conjunto muy sofisticado de herramientas que incluyen versiones para Windows , Mac, Linux, y, potencialmente, Android y iOS.

Según el informe de análisis de Kaspersky Lab, la campaña de “Careto” se basa en mensajes de correo electrónico que por lo general incluyen enlaces de un video en YouTube o de un portal de noticias, como las secciones internacionales de periódicos de habla hispana (El País, El Mundo, El Observador, Público), e inglesa (The Guardian y Washington Post).  En realidad, dichos enlaces dirigen al usuario a un sitio web malicioso, que a su vez alberga una serie de exploits diseñados para infectar a los visitantes.

Una vez que la infección se realiza con éxito, la página web falsa redirige al usuario a la página web legítima o benigna señalada en el correo electrónico, a fin de no despertar sospechas en los usuarios.

De esta forma, los hackers tienen la posibilidad de extraer datos sensibles de los sistemas infectados, incluyendo documentos de oficina, claves de cifrado, configuraciones VPN, claves SSH (que sirven como medio de identificación de un usuario en un servidor SSH) y archivos RDP (utilizado por el Remote Desktop Client, un protocolo propietario de Microsoft).

Para los técnicos de Kaspersky, el trabajo desarrollado con la operación “Careto” revela un alto grado de profesionalismo por parte de quienes están detrás de ella, que la ubican entre los malwares más complejos estudiados por la compañía y que incluyen a Duqu, Gauss, RedOctober o Icefog.

careto

En cuanto al origen de la campaña, el informe de Kaspersky señala que se detectaron distintos componentes de “Careto” que incluyen palabras del o los autores en español, e incluso algunas expresiones del argot castellano que no son muy difundidas entre los hispano-parlantes no nativos.

En base a todos estos elementos, los expertos de la empresa de seguridad rusa no descartan que toda la campaña haya contado con el auspicio de algún Estado.




Ruben

Rubén es editor del sitio desde el año 2010. Colabora regularmente escribiendo noticias sobre tecnología, software, negocios, gadgets y ciencia. Sus intereses son Tecnología y Relaciones internacionales, tópico con el que también colabora en otros medios de publicación web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *