matrioshka

El gobierno ruso podría estar tras la expansión del malware Duke. Eso es lo que se desprende de un informe publicado hoy por la empresa F-Secure, quienes aseguran que el gobierno de Vladmir Putin llevaría siete años de campaña para intentar entrar en ordenadores colocados en objetivos estratégicos. Los ordenadores destinatarios se encontrarían en objetivos en Chechenia, la OTAN y posiblemente el Departamento de Estado estadounidense. Ahí es nada.

El informe de F-Secure data 2008 como el año de nacimiento de Duke como malware activo, y une el virus a más de una docena de incidentes distintos. El equipo encargado de desarrollar el malware creó nueve variantes distinas del mismo, cada una diseñada para sistemas y situaciones específicas. Cada una de las variantes ha sido estudiada en distintos informes a lo largo de los años, pero lo publicado hoy por F-Secure intenta conectar a Duke directamente con el gobierno ruso que, si bien no es responsable directo, tampoco ha hecho nada por frenarlos.

¿Cómo han llegado a esa conclusión? Desde luego no ha sido algo repentino: se han requerido años de investigación de Duke por parte de las firmas de seguridad y una serie de casualidades indicativas:

    • Un mensaje de error en ruso se encontró en el código del malware.
    • El grupo que hacía funcionar los programas trabajaba en husos horarios de Moscú, lo que sugiere que los atacantes son rusos -aunque eso no significa que estén vinculados con el gobierno-.

    ¿Hay un gobierno detrás?

    Tomando lo que acabamos de exponer como punto de partida, en F-Secure sí detectaron algo que les hizo sospechar de que hubiese una tercera parte poderosa implicada, y si no poderosa, al menos con mucho dinero: El crecimiento de Duke sugiere un flujo importante de recursos dirigidos a una parte de objetivos relacionados con gobiernos: embajadas, parlamentos y ministerios de defensa.

    Los gobiernos, en el punto de mira de la seguridad informáticaLos gobiernos, en el punto de mira de la seguridad informática

    El grupo nunca atacó al gobierno ruso, lo que tiene su lógica —un hacker no ensucia el lugar donde come, por decirlo suavemente—. Este modus operandi no cambió ni siquiera cuando las distintas firmas de seguridad hicieron público a Duke, lo que parecía dar a entender que no les importaba que les descubriesen.

    En F-Secure creen que sí

    Según se puede leer en el informe publicado por F-Secure:

    Basándonos en la misión principal del grupo [que estaba detrás de Duke], creemos que el benefactor (o benefactores) principales de su trabajo es un gobierno. Pero, ¿es el equipo Duke un equipo [de hackers] o un departamento de una agencia gubernamental? ¿Un contratista externo? ¿Una banda criminal que vende al mejor postor? ¿Un grupo de patriotas conocedores de la tecnología? No lo sabemos.

    El Kremlin, la sede del gobierno rusoEl Kremlin, la sede del gobierno ruso

    En F-Secure se cuidan mucho de nombrar al gobierno ruso como responsable directo, pero sí reconocen que se trata del candidato más probable:

    Todas las pruebas disponibles, sin embargo, sugieren que el grupo opera de parte de la Federación Rusa. Además, no tenemos constancia de ninguna prueba que desautorice esta teoría.

    En el informe no se menciona ninguno de los ataques al Departamento de Estado o al sistema informático de la Casa Blanca que recogieron en el medio The Verge. Ambos ataques están vagamente vinculados a Duke, pero la naturaleza sensible de los datos que se han intentado comprometer hace que la investigación de los ataques resulte difícil. Los investigadores de F-Secure creen que el grupo autor de Duke está detrás, pero es difícil de asegurar.

    Y si no es el gobierno ruso…

    Estos ataques se han intentado vincular a la figura del gobierno ruso, pero es imposible estar seguro. Puede que no haya autorizado la campaña Duke, pero tampoco ha hecho nada por frenarla. Quizá incluso no conocían su existencia —o nieguen que la conocían—. Entonces, si no son ellos, ¿quién ha sido?

    Hay una teoría que apunta a la Russian Business Network o RBN. Sobre la RBN hay muchas leyendas urbanas, aunque si hay algo cierto es que se trata de la organización cibercriminal más grande del mundo, y han sido catalogadas por la empresa de seguridad veriSign como “lo peor entre los malos”.

    Los orígenes oficiales de la RBN se datan en 2006, cuando la organización se registró como un sitio web en Internet. Una de las leyendas en torno a la RBN es que su fundador —conocido como Flyman— es sobrino de un político ruso poderoso y con muchos contactos. Esta leyenda podría haber cobrado fuerza debido a teorías que hablan de servidores intervenidos por la RBN de forma muy oportuna para impedir trámites legales con organismos extranjeros y asuntos similares.

    Volviendo a qué hace la RBN, sus principales actividades pasan por spam, pornografía infantil, casinos online, estafas de phishing y robo de identidad. Estas son actividades típicas de un grupo cibercriminal, pero no se ha podido vincular de momento a la RBN con ataques a entidades gubernamentales o con el comercio de información gubernamental sensible.

    La nacionalidad no sería una sorpresa

    El caso es que a nadie le sorprendería que fuese una organización rusa. Rusia se ha revelado como la meca del cibercrimen en los últimos años. Se trata de un país donde, incluso en la actualidad, el acceso a la tecnología y a la información es muy limitado: siguen faltando muchas libertades.

    El hacktivismo en Rusia es algo frecuenteEl hacktivismo en Rusia es algo frecuente

    En un entorno político así no es de extrañar que aparezcan muchos individuos con altos conocimientos informáticos, de forma que puedan burlar las restricciones impuestas por el gobierno y acceder a cualquier parte sin importar las barreras -ya sea por hacktivismo o por razones más turbias-. Si a eso le sumamos que la corrupción en Rusia es flagrante a todos los niveles —cuesta creer que sea superior a la española, pero sí, lo es—, lo que tenemos es un caldo de cultivo de organizaciones dedicadas al cibercrimen, con la ya citada RBN como máximo exponente.

    Sea como fuere, la campaña de Duke aún no ha terminado. Sólo se ha conseguido identificar las variantes y conectarlas a una causa mucho mayor, pero esto no significa que hayan conseguido pararla.

    Relacionados

    Nos encanta escucharte ¿Nos dejas tu opinión?