El ciberespionaje es una práctica que cada vez cuenta con más adeptos. Una guerra en las sombras que libran tanto organizaciones criminales como gobiernos, y que tiene como objetivo el robo de datos o sabotaje de empresas, servicios secretos o organismos de gobierno. El último ejemplo que ha saltado a la luz es Carbon System, un programa malicioso que ha servido para llevar a cabo una de las operaciones de ciberespionaje más serias hasta la fecha, con cientos de ordenadores infectados en numerosos países. G Data ha analizado el funcionamiento de Carbon System y ha determinado que este programa tiene el mismo origen que otras herramientas muy populares en este campo, Uroburos, ComRAT y Agent.BZ. Te contamos sus conclusiones.
La operación «Epic Turla» como la denominaron los expertos de Kaspersky que investigaron este ataque terminó con la infección de cientos de ordenadores en más de 40 países a lo largo de casi un año. Esta operación a gran escala incluía objetivos como instituciones de gobierno, embajadas o incluso empresas farmaceúticas. Además de herramientas como Uroburos, también se citaba en la investigación el uso de un programa malicioso denominado Carbon System. La compañía alemana G Data ha querido analizar el funcionamiento de esta peligrosa herramienta y clarificar sus conexiones con otras herramientas similares. La primera conclusión que surgió rápido es que este programa esta desarrollado por el mismo grupo detrás de Agent.BTZ, ComRAT y Uroburos. Este grupo fue el responsable de uno de los primeros grandes ataques ciberespía, que tuvo como objetivo al Pentágono (en 2008).
¡SUSCRIBETE A NUESTRO NEWSLETTER!
Cada semana mandamos un único e-mail con el resumen de las noticias a +4.000 suscriptores.
Según las investigaciones de la compañía alemana, Carbon System se creó en el lapso de tiempo entre la aparición de Agent.BZ y Uroburos. Se trata de un programa menos peligroso que Uroburos, ya que en vez de atacar directamente el kernel del sistema mantiene su ataque a nivel de usuario. Este programa malicioso no es el responsable de llevar a cabo la infección. El primer paso que deben llevar a cabo los cibercriminales es un ataque de phishing (páginas o archivos maliciosos que son aparentemente legítimos) o la introducción de un exploit dentro de un sistema de intercambio de archivos, por poner dos de los ejemplos más comunes para abrir la puerta al ordenador de la víctima. Una vez dentro, estos programas instalan un programa malicioso cuya función es llevar a cabo un reconocimiento del PC y analizar cuál es el programa más indicado para el ataque (Carbon System o Uroburos).
Y ése es el momento en el que Carbon System realiza su aparición. Este malware inyecta varios archivos y librerías en el sistema, uno de ellos dentro de la carpeta System (por lo que es necesario que los cibercriminales hayan conseguido obtener privilegios de usuario). Y a partir de ahí el ataque puede ser de numerosos tipos, sobre todo labores de ciberespionaje como el robo de datos o el sabotaje. Y es que una de las claves de estos programas que hemos nombrado es su naturaleza modular, lo que quiere decir que los criminales que los utilizan tienen la capacidad de personalizar el malware y añadir nuevas funciones según sus necesidades.
