Si la información que Kaspersky ha encontrado resulta cierta, estamos ante uno de los casos de ciberespionaje más importantes de los últimos años, claro, con el permiso de la NSA. Se trata de “Careto”, un virus que ha atacado a varias instituciones en diferentes países y que lleva en funcionamiento desde 2007.
“Careto” o también conocido como “The Mask” es un virus que ha estado funcionando desde hace siete años y que ha tenido en su la mira a influenciadores de gobiernos en temas de energía, diplomáticos, empresas privadas centradas en la energía, instituciones de investigación, empresas privadas e incluso activistas.
Se han encontrado 1000 direcciones IP en 31 países y se han contabilizado 380 victimas únicas, por lo que el ataque, teniendo en cuenta que lleva siete años funcionando, es uno de los más complejos encontrados hasta ahora. Recientemente, al ser descubierto, ha parado toda actividad, pero su complejidad es, a falta de un calificativo mejor, brillante. Por lo menos visto desde un punto de desarrollo.
Según comenta Kaspersky, este malware integra un rootkit, bootkit de 32 bit y 64 bit para Windows, OS X y Linux. Sospechan que también tenga versiones para atacar Android y iOS (tanto iPhone como iPad). Una vez que “Careto” ha infectado un equipo, lo que puede hacer es a la par preocupante, como brillante. Puede acceder al tráfico de red, acceder a conversaciones de Skype, buscar archivos, pulsaciones de teclado y hasta llaves PGP. Algunos de los archivos a los que “Careto” tenía acceso tenían terminaciones como .DOC, .DOCX, .PSW, .RTF (documentos), .PDF, .EML (emails) o incluso firmas .PGP.
Algunos de los países donde se ha encontrado víctimas son Argentina, Argeria, Bolivia, China, Colombia, Costa Rica, Cuba, Egipto, Francia, Alemania, Gibraltar, Guatemala, Irán, Iraq, México, Marruecos, Pakistán, Polonia, España, Túnez, Reino Unido, EE.UU. y Venezuela. Gran parte de los países Latinoamericanos con importancia en el área de energía están afectados.
Cabe destacar que Kaspersky tiene sospechas que este ataque proviene de algún país hispanohablante y que incluso, podría estar generado por alguna agencia gubernamental dada a su complejidad y enfoque especialmente en el sector de la energía.
¿Cuál es el país detrás de Careto? Esta es una gran duda que seguramente vamos a tardar en conocer, si es que se logra alcanzar donde estaban localizados los servidores centrales y quienes lo estaban manejando. Pero como dato, los países donde más accesos se han encontrado son, por orden:
- Marruecos (384)
- Brasil (137)
- Reino Unido (109)
- Francia (53)
- España (51)
- Suiza (33)
- Libia (26)
- EE.UU (22)
- Iran (13)
- Venezuela y Sudáfrica (4)
- Turquía, Bélgica y Alemania (3)
- Egipto, Gibraltar, Polonia (2)
- Iraq, Irán, México, Argentina, Cuba, China y Argelia (1)
Los rumores, aunque sin fundamento alguno por ahora, indican a un país con grandes inversiones en Marruecos y Latinoamérica, dejaremos a tu imaginación hacerte una idea de quién podría ser, aunque de nuevo, solo son unos rumores que carecen de fundamento. Pero “careto” es bastante usado en España para referirse a “cara” o “máscara”.
Es más, en la información técnica proporcionada por la empresa de seguridad, se detalla que la forma de infección provenía desde páginas webs que se hacían pasar por vídeos de YouTube o incluso por ser varios medios internacionales, como los diarios españoles Público, El País, El Mundo o de habla inglesa como Time, The Guardian o Washington Post, usando subdominios como por ejemplo “internacional.elpais.linkconf.net/“.
Link: Kaspersky Lab (Vía El Mundo)
Foto (CC) Thomas Hawk