El cazador cazado: Kaspersky reconoce el 'hackeo' de sus redes internas

La compañía de seguridad informática Kaspersky, una de las más conocidas en el campo de la protección y la investigación de ciberataques, ha admitido públicamente este miércoles que ha sufrido un hackeo. Según publica ArsTechnica, desde algún momento indeterminado durante la segunda mitad de 2014, un grupo financiado por algún país ha estado acechando su red corporativa utilizando un malware derivado de Stuxnet, un virus que atacó en 2011 a varios países, entre ellos Irán, donde llegó a afectar al funcionamiento de algunas de sus instalaciones nucleares.La firma ha apodado este ataque Duqu 2.0, por una serie demalwaresanteriores, llamados Duqu.

En un post publicado en el blog de la compañía, su CEO y fundador, Eugene Kaspersky lo reconocía con las siguientes palabras: "Hemos descubierto un avanzado ataque en nuestras redes internas. Era complejo, sigiloso, ha aprovechado varias vulnerabilidades de día cero y estamos bastante seguros de que detrás había un país".Los hackers trataban de infiltrarse en susredes para para fisgarsobre algunos de sus servicios, averiguar detalles de sus investigaciones e investigar sobre sus métodos de detección y análisis.

Según el medio americano, Duqu 2.0 utilizaba al menos una vulnerabilidad de día cero (desconocido para el fabricante, de forma que no lo ha podido arreglar) de Windows que Microsoft no solucionó hasta este martes, y posiblemente otras dos que arregló a finales del año pasado, después de que los atacantes se infiltrasen en la red. La infección se produjo a través del ordenador de un trabajador de Kaspersky destinado en una de las oficinas de la compañía en la zona de Asia y el Pacífico.

"Son buenas y malas noticias"

Para Kaspersky, esto es una mezcla de buenas y malas noticias. La mala, y más obvia, es el hackeo. La buena es que aseguran que ninguno de sus servicios se ha visto comprometido, y que el hecho de haber detectado el ataque les ha dado la oportunidad de averiguar el tipo de herramientas en las que trabajan los hackers. La compañía está segura de que los atacantes no contaban con la posibilidad de ser descubiertos, ya que utilizaron una buena cantidad de trucos que lohacían casi imposible, y ahora han perdido la ventajade la clandestinidad: "Han perdido una herramienta muy cara y avanzada que debió llevarles años desarrollar".

Con un toque de humor, el post continúa explicando por qué este ataque no ha sido un movimiento muy inteligente: "han tratado de espiar nuestras tecnologías... ¡que son accesibles simplemente pagando una licencia (al menos algunas de ellas)!Hemos descubierto algo realmente gordo. El coste de desarrollar y mantener un framework tan malicioso es colosal. Los conceptos que hay detrás están una generación por delante de lo que hemos visto hasta ahora".

El grupo detrás del Duqu 2.0 también trató de espiar a varios objetivos importantes, como los participantes en las negociaciones internacionales sobre el programa nuclear de Irán o los del 70 aniversario de la liberación del campo de concentración de Auschwitz. La investigación sigue adelante, pero desde Kaspersky están convencidos de que el alcance del ataque fue amplio y pudo afectar a más objetivos de relevancia de varios países.

"También creo que es muy probable que los responsables se retirasen y borrasen el rastro de su presencia de las redes infectadas cuando se dieron cuenta de que los habíamos descubierto". Lo aprendido de este ataque, asegura Kaspersky, será muy útil para mejorar sus tecnologías defensivas. "El nuevo conocimiento siempre es útil. Ya hemos añadido la detección de Duqu 2.0 a nuestros productos, así que de hecho no hay demasiadas malas noticias después de todo".

Como decimos, la investigación sigue en marcha, y serán necesarias unas cuantas semanas más para tener todos los detalles de lo ocurrido. "Sin embargo, hemos verificado que el código fuente de nuestros productos está intactoy podemos confirmarque las bases de datos de malware no han sido afectadas y que los atacantes no han accedido a los datos de nuestros clientes".

El momento en que se dieron cuenta

Los expertos de Karspersky comenzaron a sospechar que estaban siendo espiados en febrero, después de volver de una conferencia internacional de seguridad donde precisamente habían expuesto un ataque apoyado por un estado y con conexión con Stuxnet. De vuelta en las oficinas, uno de sus ingenieros ponía a prueba un nuevo prototipo de software, creado para detectarlas llamadas amenazas avanzadas persistentes (APT por sus siglas en inglés), ataques bien organizados y muy sofisticados que suelen ser puestos en marcha por grupos con buena financiación.

Durante las pruebas, el ingeniero se dio cuenta de que su propio ordenador estaba manteniendo interacciones poco habituales con la red de la empresa. "Para el desarrollador, era importante descubrir el por qué de esas interacciones. No pensó que la máquina pudiese estar infectada por malware real, pero al final encontramos un módulo ajeno que no debía estar allí, que se mantenía escondido detrás de módulosde Microsoft de apariencia legítima. Ahí fue cuando nos dimos cuenta". Resultó que el programaque estaban desarrollando para detectar APT era uno de los productos que interesaban a los atacantes.

En un post publicado el mismo miércoles, Symantec asegura que el mismo malware ha infectado a otras compañías en lo que parece un ataque selectivo a varios objetivos. La lista incluye una operadora europea de telecomunicaciones, otra del norte de África y un fabricante de componentes electrónicos del sudeste asiático, además de organizaciones en Estados Unidos, Reino Unido, Suecia, India y Hong Kong.

Un país detrás del ataque

En cuanto a quiénes pueden estar detrás del ataque, Kaspersky asegura no querer entrar en acusaciones ("Nosotros no atribuimos ataques. Somos expertos en seguridad -los mejores- y no queremos diluir nuestras competencias fundamentales entrando en temas políticos"), pero parece seguro de que ha sido un país el responsable de la intrusión: "que los gobiernos ataquen a firmas de seguridad informática es simplemente indignante. Se supone que estamos del mismo lado que las naciones responsables, compartiendo un objetivo común de un cibermundo seguro [...] pero ahora vemos como algunos miembros de esta comunidad no respetan las leyes, la ética profesional o el sentido común".

'Recuerda que hay dos tipos de compañías: las que han sido atacadas y las que no saben que han sido atacadas'

En su opinión, esto evidencia la necesidad de unas reglas del juego comúnmente aceptadas para frenar el espionaje digital y la ciberguerra. "Si grupos turbios -muchas veces relacionados con gobiernos- tratan internet como si fuese el salvaje oeste, sin reglas y corriendo a lo loco con impunidad, esto pondrá el desarrollo global de las tecnologías de la información en serio riesgo".

En ese mismo post, Kaspersky responde a los que le preguntan por qué hacer público el ataque si no ha tenido consecuencias y si no teme que esto dañe su reputación. "No reconocerlo habría sido como no informar de un accidente de coche con víctimas por no perjudicar tu bono de no accidentes del seguro", responde. "Además, sabemos lo suficiente de la anatomía de este tipo de ataques como para saber que no hay nada malo en reconocerlo, le puede ocurrir a cualquiera. Recuerda que hay dos tipos de compañías: las que han sido atacadas y las que no saben que han sido atacadas".