Herramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Kaspersky informa que detectó infecciones provocadas con DarkPulsar, presunto malware desarrollado por la NSA

Kaspersky Lab

  • La compañía de ciberseguridad Kaspersky anuncia que detectó malware desarrollado por la Agencia Nacional de Seguridad (NSA por sus siglas en Inglés) de los EEUU.
  • Las víctimas incluyen infraestructura en energía nuclear, telecomunicaciones, informática y aeroespacial de Rusia, Irán y Egipto
  • No está claro si las infecciones son provocadas por hackers o la misma NSA

Los malhechores están usando herramientas de hacking desarrolladas por la NSA. Las mismas fueron liberadas el público el año pasado por un grupo de hackers conocido como los Shadow Brokers. dichas herramientas se utilizaron para infectar y espiar los sistemas informáticos utilizados en las industrias aeroespacial, de energía nuclear y otras industrias de infraestructura clave.

“Encontramos alrededor de 50 víctimas, pero creemos que la cifra es mucho mayor”, dijeron los investigadores de Kaspersky Lab.

“Todas las víctimas estaban ubicadas en Rusia, Irán y Egipto, y típicamente los servidores Windows 2003/2008 eran los que estaban infectados”, dijo la compañía. “Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y R&D”.

Los investigadores de Kaspersky pudieron analizar DarkPulsar porque fue una de las muchas herramientas de piratería que se descargaron en línea en la primavera de 2017.

Las herramientas de piratería fueron filtradas por un grupo de piratas informáticos conocidos como los Shadow Brokers, quienes afirmaron que los robaron del Equation Group, un nombre en clave dado por la industria de seguridad cibernética a un grupo que se cree universalmente que es la NSA.

DarkPulsar pasó casi desapercibido durante más de 18 meses, ya que el volcado de 2017 también incluía EternalBlue, el exploit que impulsó los tres brotes de ransomware del año pasado: WannaCry, NotPetya y Bad Rabbit.

Casi todos los ojos de la comunidad infosec se han centrado en EternalBlue durante el último año, y por una buena razón, ya que el exploit ahora se ha convertido en un malware básico.

Pero en los últimos meses, los investigadores de Kaspersky también han comenzado a profundizar en las otras herramientas de piratería filtradas por los Shadow Brokers el año pasado.

Los investigadores de Kaspersky también creen que la cantidad de computadoras infectadas con DarkPulsar es probablemente más grande que las 50 detecciones que encontraron.

El malware también incluía una función de eliminación automática, que los operadores de Equation Group probablemente usaban para cubrir sus huellas después de que los Shadow Brokers abandonaron sus herramientas en línea.

“Entonces, las 50 víctimas son muy probablemente sólo las que los atacantes simplemente han olvidado”, dijeron los investigadores.

En cuanto a quién está detrás de estos hacks, Kaspersky no lo dijo. No está claro si los Shadow Brokers lograron tener en sus manos el malware DarkPulsar completo, pero luego optaron por no incluir la puerta trasera real en el paquete de herramientas filtradas.

Estas 50 infecciones podrían ser fácilmente el trabajo de las operaciones de espionaje cibernético de Equation Group o el trabajo de los Shadow Brokers.

 

Referencias:

DarkPulsar

https://www.zdnet.com/article/kaspersky-says-it-detected-infections-with-darkpulsar-alleged-nsa-malware/

https://www.theregister.co.uk/2018/10/19/leaked_nsa_malware/

 

leer más
Isaul CarballarHerramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

China insertaría microchips espía en Apple, Amazon y otros: Bloomberg

Portada Revista Bloomberg BusinessweekEspías chinos se han infiltrado en la cadena de suministro de servidores utilizados por cerca de 30 compañías estadounidenses, incluidos Apple, Amazon y algunos contratistas del gobierno de los EEUU, según un explosivo informe de Bloomberg Businessweek.

La operación es quizás el ejemplo más audaz de piratería informática realizada por un estado nación que se haya reportado públicamente, donde un brazo de las fuerzas armadas de China obliga a los fabricantes chinos a insertar microchips en servidores diseñados por EEUU. Los chips “no eran mucho más grandes que un grano de arroz“, informa Bloomberg, pero pueden subvertir el hardware en el que están instalados, desviando datos y permitiendo que ingresen nuevos códigos como un caballo de Troya.

Hackeo de Chips No es Reconocido

Según Bloomberg, Amazon y Apple descubrieron el hackeo a través de investigaciones internas y lo informaron a las autoridades estadounidenses. La publicación dice que no hay evidencia directa de que los datos de las empresas, o de los usuarios, hayan sido robados o manipulados, pero ambas empresas trabajaron en silencio para eliminar los servidores comprometidos de su infraestructura.

Tanto Amazon como Apple refutan fuertemente la historia. Amazon dice que es “falso” que hayan sabido de “servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China” o que “trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso“. Apple es igualmente definitivo indicando: “En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, ‘manipulaciones de hardware’ o vulnerabilidades plantadas a propósito en ningún servidor“.

Según los informes, el ataque se llevó a cabo a través de la compañía estadounidense Super Micro Computer Inc, comúnmente conocida como Supermicro. La firma es uno de los proveedores más grandes del mundo de tarjetas madre para servidores y subcontrata la fabricación a fábricas en China y en otros lugares.

Hardware Comprometido

Las tarjetas madre de Supermicro se utilizan en todo el mundo, tanto en productos especializados como las máquinas de IRM (imagen por resonancia magnética) y sistemas armamentistas, como para centros de datos utilizados por los gigantes tecnológicos. La compañía fabrica servidores para cientos de clientes, incluidos Elemental Technologies, una startup que se especializa en compresión de video y que fue adquirida por Amazon en 2015.

Piense en Supermicro como el Microsoft del mundo del hardware“, dijo un ex funcionario de inteligencia de Estados Unidos a Bloomberg. “Atacar a las tarjetas madre de Supermicro es como atacar a Windows. Es como atacar a todo el mundo“.

Según Bloomberg, fue Elemental (a través de Supermicro) el objetivo principal de los militares chinos. Los servidores de Elemental “se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada”, dice la publicación, con miles más utilizados por Apple y Amazon. En total, el ataque afectó a casi 30 empresas estadounidenses, incluidos contratistas gubernamentales y un importante banco.

Acciones Invisibles

Partes de la historia de Bloomberg han sido reportadas con anterioridad. Apple rompió su relación con Supermicro en 2016, pero el fabricante del iPhone afirmó que esto se debía a un incidente de seguridad menor y no relacionado. Se informó que Amazon se distanció de los servidores comprometidos de Supermicro al vender su infraestructura china a un rival, por razones desconocidas en ese momento. En una declaración a Bloomberg, Amazon admitió haber encontrado “vulnerabilidades” en los productos de Supermicro, pero dijo que estaban relacionados con el software, no con el hardware. Facebook, otro cliente potencial, también encontró problemas con los productos de Supermicro, identificando malware en el software de la compañía y eliminando los servidores de sus centros de datos.

Los informes de Bloomberg no han sido confirmados por fuentes oficiales de la comunidad de inteligencia de los Estados Unidos. El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, se negaron a comentar la historia. Sin embargo, es bien sabido que estas versiones modificadas de hardware son un gran trofeo para los equipos de inteligencia de una nación: la NSA ha sido sorprendida al realizar operaciones similares. Prometen enormes recompensas en términos de información robada, pero dejan rastros físicos, a diferencia de los programas informáticos.

Al igual que con otros hackeos a gran escala y fallas de seguridad, las repercusiones de la operación según lo informado por Bloomberg serán difíciles de juzgar. Según la publicación, la investigación de la comunidad de inteligencia de los Estados Unidos todavía está en curso, tres años después de su apertura.

 

Adaptación de un artículo publicado originalmente en: The Verge
leer más
Isaul CarballarChina insertaría microchips espía en Apple, Amazon y otros: Bloomberg