LA GUERRA CIBERNÉTICA: SUS ARMAS Y SU SUBMUNDO

Quienes seguimos de cerca los acontecimientos que se desarrollan en el campo de la defensa y de la táctica y estrategia de la guerra, deberemos habituarnos a informarnos sobre las armas que comienzan a usarse en un nuevo y - permítasenos decirlo así - fascinante campo de batalla: el ciberespacio.

Últimamente hemos brindado información sobre algunas de las armas cibernéticas: Stuxnet; Duqu; Gauss; Flame; miniFlame; Wiper y Shamoon. Las cinco primeras tienen algo en común: hay muchos indicios de que proceden de la misma “fábrica” de malware. El Shamoon, como ya lo dijimos en otro artículo, parece ser obra de aficionados.

Como el miniFlame tiene la capacidad de actuar como un programa autónomo o de ser utilizado como un complemento (plug-in), ya sea de Flame o de Gauss, claramente conecta entre sí a los equipos de desarrollo de Flame y de Gauss. Dado que la conexión entre Flame y Stuxnet / Duqu ya ha sido revelada, se puede concluir que todas estas amenazas avanzadas provienen de la misma fábrica de armas cibernéticas. 

¿Cuáles son los indicios y las pruebas de los forenses informáticos al respecto? Mencionaremos sólo algunos. En el 2009 se descubrió que la primera variante del gusano Stuxnet incluía un módulo que fue creado basándose en la plataforma del Flame.

El miniFlame fue identificado recientemente. Puede ser usado como programa espía independiente o como complemento de Flame y Gauss. Esto revelaría la cooperación entre los creadores de Flame y Gauss.

Por otra parte, Gauss es un sistema modular. La configuración de una combinación específica de módulos para cada sistema se describe en una clave de registro especial. Esta técnica, así como la propia estructura de la configuración, es similar a la utilizada en Stuxnet / Duqu (almacenamiento de la configuración en el registro de Windows) y de Flame (estructura de configuración).

Volvamos al miniFlame. Después de infectar el sistema, el miniFlame comienza a comunicarse con el servidor de comando y control y envía la información que recoge. Es probable que en esta etapa los datos recogidos sean analizados por los operadores: si el sistema afectado es adecuado para el despliegue del "módulo USB", el mismo se instala. El módulo USB infecta discos extraíbles y recoge datos de ellos.

Es importante destacar que el módulo USB no siempre es instalado. Por ejemplo, si una infección Gauss está activa en el sistema junto con el miniFlame, las operaciones con “discos” USB son realizadas por el correspondiente módulo de Gauss, no instalándose el del Flame.

Por otra parte se encontraron algunos indicios de que otro malware, denominado “Wiper”, que atacó computadoras en Irán, estaría relacionado con el programa maligno Duqu. Debido a que el Wiper ha sido diseñado para eliminar todos los rastros de su existencia, el trabajo forense sobre el mismo es una tarea difícil. Las pruebas que relacionan a Wiper con Duqu no son concluyentes pero según los expertos algunas características comunes a ambos difícilmente sean meras coincidencias.

No queremos aburrir al lector con información de informática forense de estos programas malignos, máxime cuando la misma a veces no es de fácil comprensión. Sólo queremos agregar que hay más datos que relacionan a estos programas.

Más allá de los análisis técnicos de este programa hay otro dato fascinante: la mayor parte de los descubrimientos arriba descriptos fueron hechos por la firma rusa Kaspersky Lab. El líder de la firma es Eugene Kaspersky, quien supuestamente habría señalado que los Estados Unidos tenían algo que ver con estos programas.

No importa que un dirigente israelí insinuara que su país tenía algo que ver con este malware ni que funcionarios occidentales afirmaran que eran herramientas de cibersabotaje desarrolladas por los EEUU e Israel. Kaspersky - ya sea por su capacidad, ya sea por su sinceridad - se ganó algunos enemigos.

No tardó en aparecer un prolijo archivo de la vida y obra de Eugene Kaspersky. No vamos a dar detalles de lo que no podemos probar. Pero entre las acusaciones contra él hay una casi risueña. Se insinúa que fueron los servicios secretos rusos los que le aportaron datos sobre la participación estadounidense en el desarrollo de los programas arriba mencionados. Se cuestiona que haya podido obtener tanta información por sus propios medios.

La pregunta final que nos hacemos -  y no por simpatizar con Kaspersky de cuya vida sabemos poco y nada (al menos no de primera mano) - es: ¿quién proveyó tanta información detallada de las presuntas actividades y conexiones del empresario ruso? Como profesional debe ser confiable, entre sus clientes se encuentran algunas de las más grandes firmas estadounidenses de software y soluciones de redes.