Sean Brian Townsend es un investigador independiente en el campo de la seguridad informática y de la información, miembro y portavoz de la Alianza Cibernética de Ucrania; explicó cómo Kaspersky Lab y el FSB piratearon y filtraron las herramientas secretas de la NSA bajo la fachada del grupo de hackers de “The Shadow Brokers”. Estas filtraciones se convirtieron en el origen de los ataques de “ransomware” WannaCry, NotPetya y BadRabbit.
Los editores de InformNapalm pueden no compartir las opiniones de los autores en la sección [opinión], y no altera el estilo original de los artículos.
SOFTWARE ANTIVIRUS
Mitos y realidad.
Las actividades de las compañías antivirus (AV) están impregnadas de mitos. Los usuarios tienden a acusarlos de dos pecados capitales: que ellos mismos desarrollan virus para su propio enriquecimiento, y que el software AV se puede usar para la vigilancia. Estos mitos son falsos pero muy tenaces, y los desarrolladores AV han estado luchando para disipar estas teorías de conspiración durante décadas. Los orígenes de la sospecha radican en el hecho de que los usuarios se ven obligados a confiar ciegamente en el software AV.
Kaspersky Lab ha jugado limpio durante 25 años, pero un día cayó en la tentación. Y ahora este vendedor de AV no será recordado en el futuro como defensor. Su fama será como la del constructor irlandés, en la broma «…fuck just one goat», es decir, que esta será una culpa que permanecerá con ellos, por más que haya sido una sola vez, y hayan tratado de redimirla.
MITOS DE HACKER.
Los mitos sobre los hackers son tan abundantes. En la cultura popular, el pirateo se percibe como un «súper poder». Como dijo una vez Arthur Clarke, «la tecnología suficientemente avanzada es indistinguible de la magia». El personaje bajo la máscara de Guy Fawkes, con unos pocos toques de teclado, recupera contraseñas «de debajo de los asteriscos», transfiere un millón de dólares, o redirige el tráfico en un túnel en la dirección opuesta, cundiendo el pánico y la destrucción. Esto nunca sucede realmente. O más bien, sucede, pero no exactamente así.
La mayoría de los piratas informáticos se especializan en un área específica y logran sus objetivos con el número, la persistencia y la simplicidad de las tecnologías utilizadas, en lugar de con algún vudú informático esotérico. Todo se basa en simples reglas económicas y estadísticas, donde es más fácil ganar un dólar mil veces que mil dólares una vez. Y el costo de un ataque dirigido comienza en varios miles de dólares. El desarrollo de herramientas de piratería requiere tiempo, lo que equivale a dinero, y todo se puede gastar en algo más útil que tratar de romper una pared con la cabeza.
Todo esto significa que hay patrones de comportamiento bien conocidos que distinguen a los piratas informáticos reales de aquellos que solo fingen. Y siempre existe la tentación de culpar a los propios errores de un ataque de hackers («Fui hackeado», «Un virus corrompió ese borrador del presupuesto», «Los Shadow Brokers lo hicieron»). Pocas personas entienden cómo operan los hackers, por lo tanto, tales excusas parecen bastante plausibles. Las agencias de inteligencia, por otro lado, necesitan información muy específica, no están limitadas por tiempo, dinero o consideraciones éticas. Su única preocupación es la seguridad nacional de sus países.
La historia con la filtración de la Agencia de Seguridad Nacional (NSA) ha estado desarrollándose durante años. En febrero de 2015, Kaspersky Lab publicó un informe sobre el Equation Group (un nombre clave acuñado por Kaspersky para la unidad de la NSA que presuntamente realiza inteligencia cibernética). En marzo de ese año, la NSA acababa de recuperarse después de la fuga de Snowden, por lo que enviaron una advertencia bastante clara a los espías rusos para que se mantuvieran alejados. Bloomberg publicó un artículo: «La empresa que protege su internet tiene lazos cercanos con los espías rusos». El fundador de la compañía, Eugene Kaspersky, fingió no darse cuenta.
El solo hecho de la cooperación entre Kaspersky y las agencias de inteligencia rusas no es un secreto. El negocio de Kaspersky comenzó con una bendición de su antiguo maestro en la Escuela Superior de KGB Reshetnikov. Y los empleados de la compañía no solo no ocultan su cooperación con los servicios secretos, sino que están orgullosos de ello.
¿POR QUÉ LA NSA NO SE OCUPÓ DE KASPERSKY CON ANTERIORIDAD?
Un lector podría preguntarse: «¿Por qué se tardó hasta 2017 en que la NSA prohibiera el software de Kaspersky, si es un espía de KGB?» La razón es que, en aquel momento, la historia era sobre muestras de malware. Una «muestra» en la jerga profesional significa un fragmento de una suite de software más grande. Ese es el virus que los antiviruses deben atrapar. Tantos virus aparecen hoy en el mundo que ninguna persona o compañía podría analizarlos a todos. La mayoría de los virus se detectan mediante la automatización, y el software AV usa decenas de miles de reglas confusas. Cuando un archivo parece sospechoso, el AV lo envía a su compañía para su análisis. Así es como funcionan la mayoría de los antivirus.
Las agencias de inteligencia de varios países han sido repetidamente descubiertas como creadores de malware, y sus virus se encuentran entre los identificados por el software AV. Si esto se hubiera limitado solo a las muestras, las agencias de seguridad de EE. UU. Habrían mantenido silencio y no habrían recurrido al envío de señales a Kaspersky a través de la prensa. Pero ya comenzaron a sospechar que esta vez era diferente. Después de que el DNC fuera pirateado en el verano de 2016, los rusos fueron acusados de piratear. Y luego, en agosto, un grupo de piratas informáticos desconocido previamente, apareció y afirmó que habían pirateado el «Equation Group». Y luego comenzaron a publicar no solo investigaciones o muestras, sino también suites completas de software de hackeo junto con la documentación. El dinero, como fue más tarde el caso con NotPetya, no era el propósito.
HACKERS O SERVICIOS DE INTELIGENCIA.
Análisis de comportamiento no comparativo.
Fue un grave error. Si hubieran sido hackers reales, habrían dicho que habían pirateado la NSA o a la Oficina de Operaciones de Acceso Adaptado (o TAO, por sus siglas en inglés), pero ciertamente no habrían llamado a la organización a la que apuntaron utilizando el nombre del código acuñado por Kaspersky. Pero, lo que es más importante, los verdaderos hackers no habrían hecho públicas las herramientas que valían millones de dólares. Y hay otra cosa que no tiene sentido: piratear una computadora, ¿pero no entender a quién pertenece? La NSA algunas veces se puede llamar a sí misma «No Such Agency» o “No hay tal Agencia”, pero ciertamente no es el sobrenombre de «Equation Group» inventado por algún ruso.
O bien las personas detrás de “The Shadow Brokers” no pudieron apreciar la importancia de las herramientas publicadas, o, por el contrario, fueron conscientes de que las vulnerabilidades como Eternal Blue y Eternal Romance serían utilizadas de inmediato por los hackers de “black hat”. O por aquellos que eligen fingir ser hackers de “black hat”. Y esto distraería al público de los escándalos de Trump, los hackers rusos y las operaciones de espionaje. Y eso es exactamente lo que sucedió, con los ransomware WannaCry, NotPetya y BadRabbit; utilizando las herramientas de la NSA filtradas por «The Shadow Brokers».
Sin embargo, el «escándalo de los piratas informáticos» no desaparecería. Los Shadow Brokers continuaron filtrando herramientas de la NSA. Y la agencia finalmente se cansó. En la primavera de 2017, se propuso por primera vez la prohibición del uso de Kaspersky AV por parte de las agencias federales de EE. UU. Y, después de su declaración, los grandes minoristas estadounidenses también detuvieron las ventas del software AV ruso. ¿Por qué tan tarde? Los rusos y los estadounidenses no son los únicos participantes en la guerra cibernética. En el mismo 2015, las agencias de inteligencia israelíes (con nombre clave Duqu) se unieron a la refriega.
Los israelíes han pirateado Kaspersky Lab y varias otras compañías tecnológicas importantes. El hack se detectó en junio de 2015 (Kaspersky Lab investiga el ataque de hackers en su propia red). E Israel tenía razones para intervenir. No fue la primera vez que Kaspersky lanzó una llave inglesa en los trabajos de sus operaciones de inteligencia (Stuxnet). Por lo tanto, atrajo la atención de los jugadores más fuertes. La soga se tensó con fuerza.
¿QUÉ SUCEDIÓ?
Mi versión.
Aparentemente, el mercado de AV se volvió demasiado pequeño para Kaspersky. Agregar un troyano bancario después del siguiente a la base de datos se volvió demasiado tedioso. Entonces, Kaspersky Lab se metió en juegos de espionaje. Del catálogo ANT NSA (Snowden, diciembre de 2013 (!)) Aprendieron los nombres en clave del software secreto de la NSA, tal como COTTONMOUTH. Como siguiente paso, solo busca esta palabra clave entre los archivos sospechosos acumulados (Kaspersky tiene decenas, si no cientos de millones). O puede agregar un procedimiento especial a la base de datos del AV.
Además de las plantillas de búsqueda, las bases de datos en AV modernos también contienen código. Y cuando Kaspersky sugiere que los estadounidenses verifiquen el código de su AV para detectar la presencia de puertas traseras, simplemente está siendo astuto. Hay miles de subrutinas en la base de datos de AV, no hay forma de verificarlas todas y pueden cambiar fácilmente con la próxima actualización. El código también podría hacer algo como esto: cualquier archivo que contenga una palabra de 11 letras que sumen 164 (A = 1, B = 2, …) debe enviarse al «HQ» para un análisis adicional. Por lo tanto, cualquier archivo que contenga la cadena «COTTONMOUTH» se enviará a KSN (Kaspersky Security Network – almacenamiento de archivos sospechosos). Podría haber un algoritmo un poco más complejo que una simple adición, y ningún análisis de código encontrará ninguna evidencia de que Kaspersky estaba buscando una herramienta secreta de pirateo estadounidense, y no algún virus prehistórico de MS-DOS.
Cuando los estadounidenses se dieron cuenta de que Kaspersky estaba estudiando intencionalmente sus virus, enviaron la advertencia a través de Bloomberg. Nadie se habría molestado con una sola violación al azar, para evitar comprometer aún más el secreto. Pero los israelíes que piratearon el laboratorio aparentemente encontraron documentación y fragmentos de códigos auxiliares no maliciosos en lugar de solo muestras de virus. Significaba que Kaspersky había identificado no solo los virus, sino también las computadoras en las que se habían desarrollado y probado. Por qué y cómo Kaspersky Antivirus terminó en estas computadoras es una conversación separada. Eugene Kaspersky no pudo resistir la tentación y violó el primer mandamiento de las compañías AV: no usar su propio producto para hackear. Vació todo lo almacenado en esas computadoras. Y luego, probablemente, llevó a chantajear: «O deja de culpar a los hackers rusos, o The Shadow Brokers va a filtrar cómo hackear a los demás».
Yo acuso… Estoy absolutamente seguro de que Kaspersky Lab y el «grupo de hackers» de The Shadow Brokers son uno y el mismo. No importa ahora si el FSB está detrás de las actividades de Kaspersky, o él mismo hizo todo. Aquí hay una historia paralela: CyberBerkut y la piratería de la Comisión Electoral Central de Ucrania en mayo de 2014. CyberBerkut es un grupo de baja tecnología, principalmente utilizado para filtraciones. Pero después de la piratería dijeron que habían usado un exploit de cero días de Cisco. Podrían haber dicho cualquier cosa, podrían haber permanecido en silencio, pero eligieron escribir exactamente eso. Nadie les creyó entonces. Pero la NSA tenía exploits de día cero para Cisco, y fueron publicados por The Shadow Brokers en el primer volcado de Equation Group.
Algunas de las conclusiones son especulativas por ahora, pero el panorama general se ve exactamente como esperaba. Ahora tenemos todas las partes del rompecabezas: la Administración presidencial rusa, que establece la agenda política general, los diversos hackers de sombrero negro, utilizados en un caso particlar, que pueden ser piratas informáticos reales y solo una historia de portada, y el Servicio Federal de Seguridad de Rusia, que coopera estrechamente con los desarrolladores de software y con las empresas de seguridad de la información.
Y aquí, una persona aparentemente inteligente cometió un error prácticamente fatal. Eugene Kaspersky en una entrevista a Associated Press confirmó el hecho de que no solo tenía muestras de virus (podría haberlas obtenido en el curso normal de los negocios), sino también software adicional y documentos clasificados que solo podían obtenerse a través de un hack. Kaspersky afirmó que los archivos terminaron en manos de los especialistas de la compañía durante la recopilación de información sobre los hackers de Equation Group, que luego se expusieron como un brazo de la NSA. Según el empresario, después de conocer el hallazgo inesperado, ordenó eliminar de inmediato estos datos.
No importa si fueron eliminados o no (no lo fueron). Lo que importa es que Kaspersky admitió públicamente algo muy poco cercano al asesinato, específicamente que usó el antivirus para piratear y espiar. Y luego provocó (si no se organizó) un ataque de virus. Abrió la caja de Pandora, para encontrar que no había esperanza en su interior.
Una vez que se rompe un acuerdo (al igual que con el Memorando de Budapest), el sistema de seguridad colectiva basado en la confianza ya no funciona. Lo que estamos presenciando ahora, no es un duelo de espías habitual, es la guerra cibernética mundial. Como en el caso de la guerra ruso-ucraniana, los rusos ni siquiera se dieron cuenta de que habían cruzado una línea invisible pero muy importante. Y ahora pueden actuar todos sorprendidos por la gravedad de la reacción violenta, pero ya no importa porque el mundo entero ha cambiado irreversiblemente a través de sus acciones insanas.
Los editores de InformNapalm pueden no compartir la opinión de los autores en las secciones de [opinión] y [sociedad civil].