Octubre Rojo: la campaña de ciberespionaje que ha salpicado a medio mundo

Foto cc Markusram/flickr

39 países, 250 direcciones IP afectadas, 55.000 conexiones de víctimas: ese es el balance de Octubre Rojo (Rocra, por sus siglas en inglés), la campaña de ciberespionaje a gran escala que han detectado los laboratorios de Kaspersky Lab el pasado mes de octubre (de ahí el nombre) y sobre la que la compañía de seguridad acaba de publicar información. Aunque los países de la antigua Unión Soviética y los de Asia Central parecen ser – por el volumen de incidencias – los targets principales del ataque, Europa Occidental y Norteamérica también están entre los afectados. España, de hecho, representa el 2% de las infecciones.

Click para ampliar

Poco se sabe sobre quién está detrás del ataque, aunque sí pueden sostener que los desarrolladores del código empleaban ruso como idioma. Uno de los comandos del troyano, según Kaspersky, cambia el código de la página de un equipo infectado a 1251, que es lo necesario para poder emplear el alfabeto cirílico. Esto no implica que necesariamente detrás del ataque esté Rusia: en el terreno de los ataques cibernéticos funciona un mercado en el que se compra y se vende todo y en el que se externalizan servicios. Como tampoco se sabe quién está detrás del ataque, tampoco se puede afirmar (todavía) que sea un país quien esté detrás.

Aunque la información que buscaban los atacantes es muy específica. Los ciberdelincuentes querían hacerse con documentación sensible de aquellos que se veían comprometidos por el ataque. Así, se buscaba información de inteligencia geopolítica y claves de acceso a sistemas clasificados en ordenadores, a dispositivos móviles personales y a equipos de red. La información extraída de esas redes infectadas se usaba también para acceder a otros sistemas. Entre las víctimas están agencias diplomáticas y gubernamentales, grupos energéticos y nucleares, instituciones de investigación y objetivos de comercio y aeroespaciales.

Los ataques, aunque descubiertos ahora, no son tampoco son de ayer: la operación se remonta a 2007. Los ciberdelincuentes empleaban campañas de phishing personalizadas con las que atacaban a aquellas víctimas que eran necesarias. Se enviaba un mail a la víctima con un troyano en un archivo, explotando vulnerabilidades de Office y de Excel. Rocra es bastante sofisticado. Los atacantes, según Kaspersky, crearon una plataforma de ataque multifuncional en la que se incluían diferentes extensiones y archivos maliciosos, con los que se adaptaban rápidamente a la configuración de diferentes sistemas. Es la primera vez que los analistas de Kaspersky detectan una plataforma como esta.

¿Qué permitía esta completa plataforma a los cibercriminales? Rocra contaba con un módulo de resurrección, que permitía a los atacantes volver a poner en marcha los equipos infectados cuando eran parcheados o se eliminaba el malware; con módulos criptográficos de espionaje avanzado, que empleaban sistemas de encriptación empleados en varias ocasiones previas; y con potencia en dispositivos móviles, para robar información en Windows Mobile o en iOS.

Etiquetas

Contenidos Relacionados

Top