EL MALWARE SHAMOON ATACA NUEVAMENTE A ARABIA SAUDITA

En nuestro artículo del 20 de octubre del 2012 "¿QUÉ PRUEBAS TIENE PANETTA DE UN COMPLOT CIBERTERRORISTA CONTRA LOS ESTADOS UNIDOS?" geoestrategia.webnode.es/news/%C2%BFque-pruebas-tiene-panetta-de-un-complot-ciberterrorista-contra-los-estados-unidos-/ describíamos un malware de nombre Shamoon que atacó unas 30.000 computadoras de la compañía petrolera saudí Aramco. En ese momento la empresa de seguridad informática rusa Kaspersky Lab analizó al Shamoon y afirmó que era más bien un trabajo “rápido y sucio” hecho por aficionados con talento que un producto de profesionales. La firma de seguridad afirmó que los diseñadores de Shamoon habían hecho su trabajo con descuido, incluyendo una serie de errores "tontos" de programación.

 

En ese momento Kaspersky Lab logró encontrar algunos indicios de que otro malware, denominado “Wiper”, que atacó computadoras en Irán, estaría relacionado con el programa maligno Duqu. Probablemente el Duqu estaba emparentado con el virus Flame, presuntamente una desarrollo conjunto de expertos estadounidenses e israelitas. Ahora bien, Wiper y Shamoon utilizan tácticas de borrado de discos similares, pero no hay ninguna otra relación entre ambos. El primero es obra de un equipo de profesionales, el segundo una improvisación de aficionados. Al parecer los autores de Shamoon simplemente copiaron como pudieron alguna de las tácticas de Wiper. Algunos vieron el accionar de Shamoon como una venganza de hackers por-iraníes por los ataques de Wiper contra Irán.

 

Ahora, cuatro años más tarde, varios organismos gubernamentales e instalaciones vitales experimentaron un ataque del malware Shamoon, también conocido como Disttrack. No se trata de la versión original del malware, sino de una versión a primera vista más avanzada, pero, según los expertos, claramente relacionada a la original. Esta vez el ataque implicó la actuación de malware como una bomba de tiempo, configurada para comenzar borrado de los datos el 17 de noviembre a las 8:45 pm, al final de la semana de trabajo en el país árabe, según la firma de seguridad Symantec. Por otra parte los ataques tuvieron lugar en la noche más santa del año para los musulmanes. Ambos factores contribuyeron a que ciertos empleados no estuvieran en el trabajo y por ende no pudieran frenar la propagación del malware. La nueva variante del malware utiliza una función de borrado de sistema que reemplaza los datos con la imagen de un niño refugiado sirio de 3 años de edad que se ahogó en el mar Mediterráneo el año pasado. El gusano también impide el reinicio de las computadoras atacadas.

 

El Shamoon actúa difundiéndose a través de la red de la víctima y se va copiando a nuevas computadoras. Según Symantec el malware fue configurado con contraseñas que parecen haber sido robado de las organizaciones afectadas. Se especula con ataques de phishing en incluso con la ayuda de empleados de los organismos afectados. Si bien no nos atrevemos a inclinarnos por ninguna de estas afirmaciones, se sabe que las credenciales eran secretas y robustas. Tampoco queremos apresurarnos a señalar a un culpable, creemos que los juicios deben hacerse en base a pruebas, no a conjeturas. Sea como fuere, el ciberespacio se está convirtiendo en un campo de batalla más y sus consecuencias no son necesariamente virtuales.