211service.com
Un ciber espía chapucero acecha a Irán
Durante los últimos dos años, los gobiernos de Oriente Medio han sido el blanco de un sofisticado software de espionaje, aparentemente creado por investigadores de clase mundial a los que estados-nación desconocidos están pagando para que apunten a datos e infraestructura sensibles. Sin embargo, la última pieza de malware que espia con éxito a bancos, departamentos gubernamentales y empresas en Irán y países cercanos es casi ridículamente amateur. Los expertos creen que el software, llamado Mahdi, puede haber sido creado por activistas. Esta posibilidad sugiere que los Estados Unidos y otros gobiernos que se preocupan por su vulnerabilidad a la guerra cibernética (ver NSA Boss Wants More Control Over the Net) pueden necesitar preocuparse por algo más que otras naciones.
Una de mis reacciones iniciales fue '¿Estás bromeando?', Dice el investigador Roel Schouwenberg de la empresa de seguridad informática. Kaspersky , refiriéndose al malware creado de manera inepta. Mahdi, que fue nombrado por los investigadores que descubrieron el programa en la empresa de seguridad israelí Seculert , está inflado, con errores y escrito utilizando técnicas que sugieren que sus creadores son significativamente menos talentosos que los que están detrás de Stuxnet, Flame o Gauss, dice Schouwenberg. Esas formas de malware, dirigidas a Oriente Medio, sorprendieron a los investigadores con su sofisticación (consulte A Way to Attack Nuclear Plants y The Antivirus Era Is Over).
Sin embargo, Mahdi sigue siendo eficaz. Una vez que se ha infiltrado en una computadora, envía en secreto datos a sus operadores: documentos, registros de pulsaciones de teclas, grabaciones de audio y capturas de pantalla de actividades como un usuario que accede al correo electrónico. Ha logrado infiltrarse en empresas del sector financiero y la infraestructura crítica, dice Schouwenberg. Otros objetivos incluyen departamentos gubernamentales e investigadores y estudiantes de ingeniería.
Aunque aparentemente herramientas respaldadas por naciones como Stuxnet, Flame y Gauss atacaron objetivos similares, el rudo diseño de Mahdi plantea la posibilidad de que ningún gobierno pague la factura de su creación, dice Aviv Raff, cofundador de Seculert. Debido a que es un trabajo rápido y sucio, creemos que podría ser el trabajo de 'hacktivistas', no un grupo patrocinado directamente por el estado-nación, dice.
Demostrar eso sería casi imposible, pero Mahdi como mínimo demuestra que en estos días no se necesitan los recursos o la habilidad de James Bond para participar en un espionaje de alto nivel. Grupos hacktivistas como Anonymous y LulzSec acapararon los titulares el año pasado al atacar sitios web conocidos para llamar la atención sobre causas como Wikileaks. El éxito de Mahdi sugiere que tales grupos podrían hacer más que simplemente organizar el equivalente en Internet de protestas disruptivas.
Mahdi se propaga a través de un archivo adjunto de correo electrónico, que abre una presentación que le pide al usuario que haga clic en una serie de diapositivas y, en última instancia, ejecute un programa incrustado en una de ellas. Por el contrario, el malware sofisticado como Flame o Gauss puede infectar una máquina sin la participación directa del usuario, utilizando vulnerabilidades de software que los piratas informáticos expertos tardan meses en descubrir. Flame también involucró una criptografía compleja que pocas personas en el mundo podrían haber creado, dice Schouwenberg, e hizo lo impensable al comprometer el sistema de actualización de Microsoft Windows. Flame era la mejor gente del mundo, dice. Mahdi realmente no se compara.
Y, sin embargo, Mahdi continúa infectando con éxito nuevos objetivos, mientras que Stuxnet, Flame y Gauss se desactivaron poco después de que los investigadores de seguridad se acercaran (consulte Una 'ojiva' cibernética con un objetivo desconocido). Seculert identificó a Mahdi por primera vez en febrero y se hizo público junto con Kaspersky el 17 de julio, pero el malware sigue funcionando y se está mejorando. Todavía están trabajando activamente en infectar máquinas, dice Raff. También intentaron agregar funciones adicionales, así como evadir la detección por parte de los proveedores de antivirus.
Schouwenberg dice que Mahdi se ha disparado de alrededor de un megabyte a 10 megabytes. Pero incluso un programa tan complicado, dice, puede ser eficaz cuando las empresas y las organizaciones gubernamentales utilizan prácticas de seguridad deficientes y no logran aislar adecuadamente sus redes más valiosas de las que se utilizan para tareas menos críticas.
Incluso teniendo la oportunidad de rastrear el malware en funcionamiento, es poco probable que se descubran los verdaderos orígenes de Mahdi. Originalmente se controlaba a través de un servidor en Irán, pero ahora se opera con varios servidores en Canadá, dice Raff. Es probable que se les pague por usar credenciales falsas o se hayan apoderado de ellos para los fines del ataque. Si se tomaran medidas contra ellos, los operadores de Mahdi simplemente crearían más o se derretirían y volverían con una nueva herramienta, dice Schouwenberg. Así que seguirá siendo un misterio si Mahdi es la herramienta de los hacktivistas o de un estado-nación que se hace el tonto.