DEFENSA CIBERNÉTICA. GRUPO EQUATION

DEFENSA CIBERNÉTICA.

GRUPO EQUATION.

¿Una amenaza real o una oportunidad oculta?

El grupo Equation se presupone que fue creado en el año 2001, desde entonces se calcula que ha actuado en mas de 30 países distribuidos por todo el mundo, infectando millones de equipos en todos los sectores, desde telecomunicaciones, transportes, instituciones financieras, petrolíferas, aeroespacial, medios de comunicación, hasta incluso a equipos gubernamentales.

Para ello, Grupo Equation utilizo una estructura C&C (Comando y control) que consiste en el uso de dominios y servidores, distribuidos por varios países. Además cuenta con el apoyo externo de otros cibercriminales como Stuxnet y Flame

Ataca mediante exploits, en un sistema de ataque continuo, atacan primero con uno. Si falla utilizan un segundo, si vuelve a fallar, utilizan el ultimo, si este tercero falla, se detiene el ataque.

La herramienta mas poderosa con la que cuenta este grupo y que la diferencia de otros grupos, es un poderoso malware capaz de infectar discos duros, estos módulos permiten la reprogramación del firmware. Con ello logran dos cosas:

• Sobrevivir en caso de reformateo del disco duro y reinstalación del sistema operativo.
• Pueden crear áreas ocultas en el disco para guardar información.

Los ataques incluyen el robo de las formulas para el cifrado de maquinas y por tanto conseguían el desbloqueo de contenidos cifrados. Al sobrevivir en caso de formateo, una vez infectado el equipo no hay antivirus ni controles de seguridad que puedan parar estas amenazas, ya que además tienen una enorme facilidad para resucitar al estar mas ligadas al hardware que al software.

Entre las herramientas utilizadas se encuentran algunas que permiten infectar equipos no conectados a Internet. En palabras de Kaspersky, Equation Group "sobrepasa a cualquier cosa conocida en términos de complejidad y sofisticación en cuanto a técnicas". Esto lo conseguían gracias en parte a uno de los troyanos descubiertos, Fanny, que contenía una puerta trasera diseñada para reconocer a los equipos sin conexión a Internet. Cuando un disco USB se conectaba, el malware se hacía con su propio espacio secreto de almacenamiento para guardar información básica acerca del sistema.

Destaca que en sus ataques no se hayan infectados las direcciones IP de Jordania, Turquía y Egipto.

Por ello, los indicios apuntan a la NSA como impulsora de este programa de ciber espionaje. Las técnicas empleadas tienen relación con las que practicaba Stuxnet, el malware que causó graves perjuicios al programa nuclear de Irán hace unos años y cuya autoría se atribuye a los servicios secretos de Estados Unidos e Israel. Además, de la relación de Fanny con Stuxnet es otro de los indicios que apuntan directamente hacia la NSA.

¿Por qué Kaspersky sabía de ello y no lo freno?

Quizás la explicación lógica para no frenarlo fue el ímpetu por buscar ser la mejor solución en defensa cibernética, para ello se centro en técnicas de espionaje, en sacar conclusiones tras cada ataque, en analizar cada movimiento al detalle, en ningún momento busco anticiparse.  

Inteligencia para la defensa cibernética.

Por ello, como conclusión quiero extraer la necesidad de aplicar también la inteligencia para este ámbito, como en un caso menor (pero también en una situación de ataque) realizo telefónica, como fue la contratación del hacker que consiguió volcarles.

Por eso, a veces con la simple idea de la contratación de quien obtiene tus puntos débiles o los de muchos equipos (como Equation) consigues que quien puede ser tu máximo rival, pase a ser tu mejor aliado, ya que quien crea las armas de ataque sabe las herramientas para poder frenarlas. Y esto ultimo es el resultado que busca toda empresa de defensa cibernética.

...