Descubren un grupo de ciberespionaje que ha estado activo cerca de dos décadas
Equation es el nombre del grupo considerado el predecesor de Stuxnet y Flame, cuyas técnicas superan en sofisticación y complejidad todo lo visto hasta ahora. Para infectar a sus víctimas, el grupo de ciberespionaje emplea un potente arsenal de troyanos y múltiples vías, tanto online como físicas.
- El ciberespionaje político e industrial "cada vez es más intenso"
- Operation TooHash, campaña de ciberespionaje a empresas chinas
- Alertan de nuevos ataques del grupo de ciberespionaje Sednit
- Kaspersky destapa una campaña de espionaje llamada Darkhotel
- "Ninguna empresa está a salvo del ciberespionaje"
Durante varios años, el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab ha seguido de cerca de más de 60 autores de amenazas avanzadas, un seguimiento en el que ha visto casi todo, con ataques cada vez más complejos. Sin embargo, los expertos de la compañía han descubierto un grupo de atacantes que supera todo lo conocido en términos de complejidad y sofisticación, y que ha estado activo durante casi dos décadas. Se trata del grupo Equation, que, de acuerdo con los analistas, es único en casi cualquier aspecto de sus actividades, ya que utiliza herramientas que son muy complicadas y caras de desarrollar con el fin de infectar a sus víctimas, sustraer datos y ocultar su actividad.
Para infectar a sus víctimas, el grupo Equation utiliza un potente arsenal de "implantes" (troyanos), incluyendo los implantes EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish que han sido detectados por Kaspersky Lab. Entre ellos, los investigadores han recuperado dos módulos que permiten la reprogramación del firmware del disco duro en más de una docena de discos duros de las marcas más populares. Se trata quizás de la herramienta más potente del arsenal del grupo Equation y el primer malware conocido capaz de infectar a los discos duros.
Por otra parte, los atacantes de Equation utilizaron métodos universales para infectar a sus objetivos, no sólo a través de la web, sino también a través de medios físicos. Por ejemplo, los participantes de una conferencia científica en Houston recibieron una copia de los materiales de la conferencia en un CD-ROM, el cual se utilizó para instalar el implante DoubleFantasy del grupo en el equipo del usuario. Se desconoce el método utilizado para interceptar estos CD.
El grupo Equation utiliza una vasta infraestructura de servidores de comando y control que incluye más de 300 dominios y más de 100 servidores alojados en varios países, incluidos Estados Unidos, Reino Unido, Italia, Alemania y Países Bajos. Activo desde 2001, el grupo ha infectado a decenas de miles de víctimas en más de 30 países en todo el mundo, incluyendo entidades gubernamentales e instituciones diplomáticas, compañías de telecomunicaciones, energía, investigación nuclear, petróleo y gas, nanotecnología, medios de comunicación, transporte, instituciones financieras y empresas que desarrollan tecnologías de cifrado.
Los investigadores de Kaspersky han hallado asimismo vínculos sólidos que indican que el grupo Equation ha interactuado con otros grupos de ciberespionaje, como Stuxnet y Flame, en general desde una posición de superioridad.
