Software

Kaspersky identifica a unos creadores de virus... porque usaban su antivirus

Noticias relacionadas

Estamos en mitad de una guerra, es sólo que no se usan bombas tradicionales. El campo de batalla es Internet, y todas las potencias mundiales están participando.

Es un mundo en el que los hackers son tan valiosos como los soldados, y pueden provocar tanto o más daño que un ataque con misiles. Hemos leído mucho sobre estos equipos especiales, compuestos por los mejores especialistas del sector, las mentes más brillantes de cada país.

Es sólo que, a veces, a esas mentes se les escapan pequeños detalles que pueden convertirse en su perdición. Es lo que se ha encontrado la empresa de seguridad Kaspersky, que estaba investigando la procedencia de nuevo malware en la red; pero la verdad es que tenían ventaja, porque sus propios antivirus ya lo habían detectado.

Kaspersky pilla a los 'hackers' más inútiles

La investigación de Kaspersky ha revelado que el servicio secreto de Uzbekistán está detrás de un nuevo tipo de malware, capaz de aprovechar nuevos "exploits", fallos en programas y sistemas operativos, que se pueden usar para el espionaje.

Todo empezó cuando los investigadores de Kaspersky descubrieron una nueva cepa del virus Chainshot, que en el pasado había sido usado por equipos de Arabia Saudí y los Emiratos Árabes Unidos. Chainshot es un "troyano" que, una vez instalado, permite que un atacante acceda de manera remota al equipo; esta nueva versión se conectaba a una red diferente y usaba otro "exploit" respecto a la versión original.

Para conocer el verdadero alcance de este nuevo malware, los investigadores de Kaspersky buscaron otras máquinas que podrían haber sido infectadas con esta versión de Chainshot, y de esa manera descubrieron los primeros ordenadores que lo habían detectado.

Para su sorpresa, esos eran los ordenadores de los creadores del nuevo troyano, que tenían el antivirus de Kaspersky instalado en sus sistemas. Es decir, que los hackers que estaban desarrollando estos virus a su vez tenían un antivirus, que se "chivaba" de todo lo que hacían.

Kaspersky descubrió que Uzbekistán invirtió mucho dinero en este grupo, que ha recibido el nombre de SandCat (caracal, un felino del desierto); usó ese amplio presupuesto para contratar los servicios de dos compañías israelíes, NSO Group y Candiru. Sin embargo, una cosa es tener el potencial y el presupuesto y otra diferente es saber usarlo.

De hecho, para los investigadores de Kaspersky este grupo fue algo así como "un dispensador". Cada vez que el equipo de hackers recibía nuevo malware en una memoria USB, alguien la conectaba a un ordenador con Kaspersky instalado; el antivirus enviaba una copia a los servidores de Karspersky para la evaluación, y los investigadores tapaban el "exploit" usado.

Cada vez que el grupo se daba cuenta de que su malware ya no funcionaba, pedían uno nuevo, al poco tiempo lo recibían y se repetía el ciclo. Eso dio la pista a los investigadores de que era un grupo con un gran presupuesto, ya que dedicar el tiempo y el personal a desarrollar estos ataques no es barato. Comprobar la localización de los ordenadores, y que estaban asociados al gobierno de Uzbekistán, fue relativamente fácil.