VirusTotal aporta nuevos datos a la investigación de uno de los mayores "hacks" de la historia

08/09/2011 11:06:19

EL SITIO MALAGUEÑO VIRUSTOTAL APORTA NUEVOS DATOS A LA INVESTIGACIÓN DE UNO DE LOS MAYORES "HACKS" DE LA HISTORIA

Mercè Molist
Al menos uno de los atacantes hablaba chino y el objetivo no era sólo la empresa de seguridad informática RSA: dos organizaciones relacionadas con la seguridad nacional de Estados Unidos estaban también en el punto de mira. La curiosidad de un analista de virus finlandés y del malagueño Bernardo Quintero, fundador del servicio VirusTotal, ha sacado a la luz nuevos datos que dan un giro a esta ya de por sí novelesca historia.

Primero fue un culebrón de ciberespías que robaron secretos militares de Estados Unidos. Ahora se parece a un folletín de Agatha Christie, donde todos los asesinados mandaron una nota al mismo sitio: VirusTotal, un servicio de la empresa española Hispasec Sistemas, que analiza gratuitamente ficheros sospechosos de tener virus. Con siete años de vida, desde expertos hasta simples internautas le mandan diariamente 200.000 archivos.

El pasado marzo, diversos empleados de la compañía RSA recibían un correo electrónico con un archivo adjunto que les prometía un nuevo empleo. Al menos uno de ellos abrió el adjunto y, en segundos, un programa malicioso instaló una puerta trasera en su ordenador. Sería la vía de entrada de un grupo de hackers a la red corporativa de RSA.

Su objetivo era robar información secreta sobre los "tokens" SecureID, producto estrella de la compañía. Un "token" es un aparato que genera contraseñas para autorizar la entrada en redes, por ejemplo de un banco, de forma que sólo quien tiene el "token" sabe la contraseña. Pero la aventura de esta "tropa de élite", como la ha llamado RSA, no acababa en un simple espionaje industrial.

Robar el código que genera las contraseñas de los "tokens" les daba paso franco a las redes de los muchos e importantes clientes de RSA, entre ellos fabricantes de armamento para el Departamento de Defensa de los Estados Unidos, como Lockheed-Martin y Northrop-Grumman, quienes semanas después sufrieron sendos ataques destinados a robarles secretos militares.

Fue entonces cuando saltaron las alarmas en RSA y alguien mandó el "mail" con el adjunto malicioso a VirusTotal, posiblemente en el marco de una investigación interna. Pero el reporte de VirusTotal fue "no infectado", ya que el fichero era un "0day", un código malicioso tan nuevo que era desconocido para los antivirus.

Rutinariamente, el mensaje y su adjunto se guardaron en los archivos de Virustotal y, después de eliminar su procedencia, se compartieron con las empresas antivirus que colaboran con el servicio. Hasta que Timo Hirvonen, analista de de la compañía finlandesa de seguridad informática F-Secure, dio con ellos la última semana de agosto.

Para Hirvonen, el ataque a la RSA era "uno de los mayores 'hacks' de la historia" y estaba emperrado en analizar el "mail" que lo empezó todo. Nadie en la industria antivirus lo había visto, así que invirtió meses buscándolo en los archivos de F-Secure, donde se guardan decenas de millones de ficheros con virus, procedentes de diversas fuentes, entre ellas VirusTotal.

A raíz del descubrimiento de Hirvonen, Bernardo Quintero rebuscó en VirusTotal y encontró dos ficheros más, idénticos al que infectó a RSA pero con distinto nombre: "Preguntas-encuesta_2011.xls". Ambos se enviaron a VirusTotal el 4 de marzo, un día después del ataque a RSA: "Debieron sospechar del fichero nada más recibirlo", supone Quintero. Esto demuestra que los atacantes fueron al mismo tiempo contra diversos sitios.

"Tras correlacionar todos los datos disponibles, se identifica que los destinatarios de esos dos ataques, hasta ahora desconocidos, guardan una relación directa con organismos íntimamente relacionados con la seguridad nacional de EEUU", explica Quintero, quien no puede revelar la identidad de estos organismos, por la política de privacidad de VirusTotal: "Anonimizamos la fuente de los envíos y sólo compartimos con los laboratorios antivirus datos estadísticos y cuantitativos".

La investigación de Quintero ha dado también con el posible origen de los atacantes: el fichero infectado contiene un metadato que testifica que se creó con una versión en idioma chino de Microsoft Excel, concretamente de Singapur. Aunque se podría haber falseado este dato para despistar a los investigadores, Quintero lo duda: "Una vez analizado en profundidad, se trataría de un simple descuido por parte del atacante. No sería la primera vez que descubrimos así el origen del autor de un virus".

How We Found the File That Was Used to Hack RSA
http://www.f-secure.com/weblog/archives/00002226.html

VirusTotal
http://www.virustotal.com

Copyright 2011 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

<<