Operación “Octubre Rojo”

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Hace unos días hablaba en otro post:

 

Campo de Batalla: La Red

 

sobre el auge del malware a gran escala y diseñado para atacar infraestructuras críticas de países.  Hoy nos despertamos con el descubrimiento de una campaña de espionaje de proporciones internacionales a la que se le ha dado un nombre tan cinematrográfico como “Octubre Rojo”.

Según los investigadores, esta operación lleva 5 años en funcionamiento durante los que probablemente habrá capturado cientos de terabytes de información confidencial, incluyendo credenciales, datos de embajadas y gobiernos.

Se han descubierto más de 1000 módulos distintos y desconocidos hasta ahora diseñados expresamente para atacar diferentes perfiles de víctimas.  Estos módulos se inyectaban en PCs, equipamiento de red e incluso smartphones, y no sólo se usaban para recopilar información, sino que también dejaban el dispositivo bajo el control de sevidores C&C (Command and Control) con una estructura tan compleja como la de Flame.

Poco se sabe de quiénes son los responsables.  Al parecer, los desarrolladores de malware hablaban en ruso, mientras que muchos de los exploits para secuestrar los ordenadores de las víctimas fueron creados inicialmente por programadores chinos.

El objetivo principal ha sido la Federación Rusa, pero en total han sido atacados 39 países, entre ellos España.  Para mantener el control de los PCs durante cinco años y resistir los intentos de ser desactivada, se ha usado una estructura de proxies multinivel que hacía muy difícil encontrar el centro de operaciones.  Aún hoy, los investigadores saben muy poco al respecto.

Llama la atención la diversidad de dispositivos que era capaz de infectar, desde PCs hasta smartphones (iPhone, Nokia y Windows Mobile, aún no hay constancia de Android) pasando por dispositivos de red de Cisco.  Sin embargo, su principal característica era la capacidad de personalizar el ataque para cada víctima.  A cada dispositivo infectado se le asignaba un identificador único de forma que  se podían personalizar diferentes atributos del ataque para adaptarlos.  Uno de los vectores de inyección de malware ha sido un módulo que creaba una extensión para Word y Adobe Reader.  Las opciones de personalización llegaban hasta el punto de poder seleccionar los documentos infectados de forma que fueran interesantes para la víctima y así colarse en su dispositivo.

En principio, no hay evidencia de que el ataque haya sido promovido por algún país., pero la información que era capaz de capturar era de interés para muchos gobiernos y podía alcanzar un gran valor en subastas en el mercado negro.