Tech

Desempolvan el origen del ciberespionaje y sus
-todavía activos- códigos

En 2014, Kaspersky Lab descubrió que en un hackeo a una compañía suiza realizado por un grupo ruso, éste empleó una herramienta también usada por Moonlight Maze, considerada como la primer Amenaza Persistente Avanzada.
Daniel Blanco
12 abril 2017 18:58 Última actualización 12 abril 2017 18:58
ciberespionaje

(Especial)

En 1996, cuando el internet estaba dando sus primeros pasos, el ciberespionaje ya estaba echando raíces.

De ese año a finales del siglo XX, Moonlight Maze, la primera Amenaza Persistente Avanzada (APT) por sus siglas en inglés) de la que se tienen registros, robó documentos e información sensible del Pentágono, la NASA y el Departamento de Energía de EU, que si se hubieran imprimido, representarían el triple de la altura del Monumento de Washington, de 169 metros.

Turla, un grupo de ciberatacantes rusos activos desde 2006 o 2007 conocido por hackear y secuestrar conexiones satelitales y plantar código malicioso en sitios gubernamentales, entre otras cosas, usó una 'puerta trasera' (herramienta para obtener acceso a un sistema) en 2011 y posiblemente en 2017 para desviar información de las redes de victimarios; después de un análisis resultó ser la puerta llamada Loki2, la misma que Moonlight Maze empleó en algunos ataques.

En 2014, Kaspersky Lab anunció el descubrimiento de Penquin Turla, una puerta trasera en Linux usada por Turla en un ataque a la empresa de tecnología suiza RUAG, y para sorpresa, en el código de esta amenaza estaba presente la Loki2. Tras el análisis, se demostró que las muestras de Penquin Turla utilizan código creado entre 1999 y 2004.

El diseñador de esta puerta desempolvó algunos de los códigos de Moonlight Maze para usarlos en nuevos ataques, por lo que se cree que éste, tras su hipotética evolución con Turla, sería una de las campañas de ciberespionaje más antiguas que aún permanecen activas.

“El lugar de Moonlight Maze en la historia está absolutamente fijo, justificado, pero lo difícil es que se tiene una mentalidad, por lo menos en las agencias de inteligencia en las agencias de seguridad, de que no necesariamente hay un interés público a que estas herramientas se lleguen a entender”, dijo Juan Andrés Guerrero-Saade, investigador senior de Seguridad del Equipo de Investigación y Análisis Global de Kaspersky Lab.


DETECTANDO LA AMENAZA
Los operadores de Moonlight Maze, en las fases finales de su campaña, hackearon una computadora en el Reino Unido; en ese punto varias agencias de seguridad ya estaban detrás de ellos; la policía de Londres, en colaboración con el FBI, hicieron que el servidor (conocido como HRTest) grabara seis meses todos los movimientos de los hackers.

En una travesía que duró casi un año, Juan Andrés Guerrero-Saade y Costin Raiu de Kaspersky Lab, y Thomas Rid y Danny Moore, especialistas del Kings College de Londres, localizaron a David Hedges, un consultor de TI, quien todavía tenía el servidor HRTest -hackeado por Moonlight Maze- y que les fue compartido para su análisis.

Este servidor, que había sido utilizado para lanzar ataques contra Estados Unidos, le fue entregado a Rid, quien junto con los especialistas de Kaspersky y su colega del Kings College, procedieron al análisis de las muestras.

“Ha sido una investigación verdaderamente profunda, ha sido difícil conseguir hasta la información más básica, y ver lo que vimos; los artefactos que observamos fue enteramente suerte, fue una bendición completa encontrar una persona que haya pasado 20 años sentada con las evidencias que necesitamos para tener”.

“Yo creo que en los próximos 20 años nos vamos a preguntar cómo empezó el ciberespionaje, cómo empezaron a haber ataques cibernéticos, y la verdad sin este tipo de investigaciones no va existir un libro de historia, porque no van a haber los detalles correctos, entonces eso fue en gran parte la motivación antes de saber que íbamos a encontrar algo”, concluyó Saade-Guerrero.

Todas las notas TECH
¿Viajar de CDMX a Monterrey sin manejar y sin generar emisiones ? Será posible con este auto
iPhone, iPad, iWatch... ¿Qué sigue? ¿Una vela?
Auto eléctrico de la UNAM competirá en torneo de eficiencia energética
Google quiere que no cambies de app para revisar tus correos
'Women of NASA' de Lego ya tiene fecha de lanzamiento
Este 'árbol' inteligente tiene los beneficios ambientales de un pequeño bosque
Estos mexicanos le venden mensajes SMS a WhatsApp y Facebook
88% de candidatos a conductores son rechazados: Uber
EU 'le mete el pie' a bitcoin: busca regularlo como producto básico
Twitter cambia política vs el acoso tras escándalo con cuenta de actriz
WhatsApp ahora te seguirá en tiempo real
Delfines y ballenas se parecen a los humanos más de lo que imaginas
Este país quiere ser el primero en lanzar sus propias 'bitcoins'
Toronto albergará la primera 'ciudad del futuro' creada desde cero
Las ventas de IBM toman por 'sorpresa' a Wall Street
Industria tecnológica de México se beneficia de postura antimigrante en EU
La 'cruzada' de Netflix para olvidar a Hollywood
Presidente de Amazon Studios renuncia tras reportes de acoso
Google diseña su primer chip para dispositivos de consumo
Google recuerda a Selena al ritmo del ‘Bidi bidi bom bom’
El fin de los cables está cerca
5 científicas mexicanas ganan beca internacional
Las baterías de Tesla llegan a Puerto Rico para iluminarlo
¿Eres millennial? El ‘Uber de la telefonía’ quiere conquistarte
Alphabet quiere llevarte burritos y medicinas con drones