Un malague?o tras la pista de un ciberataque a la seguridad de EE UU

Al menos uno de los atacantes hablaba chino y el objetivo no era solo la empresa de seguridad inform¨¢tica RSA. Dos organizaciones relacionadas con la seguridad nacional de Estados Unidos estaban tambi¨¦n en el punto de mira.

La curiosidad de un analista de virus finland¨¦s y del malague?o Bernardo Quintero, fundador del servicio VirusTotal, han sacado a la luz nuevos datos que dan un giro a esta ya de por s¨ª novelesca historia.

En marzo, diversos empleados de la compa?¨ªa RSA recibieron un correo con un archivo adjunto que les promet¨ªa un empleo. Al menos uno de ellos lo abri¨® y, en segundos, un programa malicioso instal¨® una puerta trasera en su ordenador. Ser¨ªa la v¨ªa de entrada de un grupo de hackers a la red corporativa de RSA. Su objetivo era robar informaci¨®n secreta sobre los token SecureID, producto estrella de la compa?¨ªa.

Un token es un aparato que genera contrase?as para autorizar la entrada en redes, por ejemplo de un banco, de forma que solo quien tiene el token sabe la contrase?a. Pero la aventura de esta "tropa de ¨¦lite", como la llam¨® RSA, no acababa en un simple espionaje industrial.

Robar el c¨®digo que genera las contrase?as de los token les daba paso a las redes de los muchos e importantes clientes de RSA, entre ellos fabricantes de armamento para el Departamento de Defensa de Estados Unidos, como Lockheed-Martin y Northrop-Grumman.

Fue entonces cuando saltaron las alarmas en RSA y a alguien se le ocurri¨® mandar el correo malicioso a VirusTotal. Pero el informe de VirusTotal fue "no infectado", ya que el fichero era un 0day, un c¨®digo malicioso tan nuevo que era desconocido para antivirus.

Rutinariamente, el mensaje y su adjunto se guardaron en los archivos de VirusTotal y, despu¨¦s de eliminar su procedencia, se compartieron con las empresas antivirus que colaboran con el servicio. Hasta que Timo Hirvonen, analista de la compa?¨ªa finlandesa de seguridad F-Secure, dio con ellos en agosto.

Para Hirvonen, el ataque a la RSA era "uno de los mayores hacks de la historia" y estaba emperrado en analizar el correo que lo empez¨® todo. Nadie en la industria antivirus lo hab¨ªa visto, as¨ª que invirti¨® meses busc¨¢ndolo en los archivos de F-Secure, donde se guardan decenas de millones de ficheros con virus procedentes de diversas fuentes, entre ellas VirusTotal.

A ra¨ªz del descubrimiento de Hirvonen, Bernardo Quintero rebusc¨® en VirusTotal y encontr¨® dos ficheros m¨¢s, id¨¦nticos al que infect¨® a la RSA, pero con distinto nombre: "Preguntas-encuesta_2011.xls". Ambos se enviaron a VirusTotal el 4 de marzo, un d¨ªa despu¨¦s del ataque a RSA: "Debieron sospechar del fichero nada m¨¢s recibirlo", supone Quintero. Esto demuestra que los atacantes fueron a la vez a diversos sitios.

"Tras correlacionar todos los datos, se identifica que los destinatarios de esos dos ataques, hasta ahora desconocidos, guardan relaci¨®n directa con organismos de la seguridad nacional de EE UU", explica Quintero.

Su investigaci¨®n ha dado tambi¨¦n con el posible origen de los atacantes: el fichero infectado contiene un metadato que testifica que se cre¨® con una versi¨®n en chino de Microsoft Excel, concretamente de Singapur.

Aunque se podr¨ªa haber falseado para despistar, Quintero lo duda: "Una vez analizado en profundidad, se tratar¨ªa de un simple descuido del atacante. No ser¨ªa la primera vez que descubrimos as¨ª al autor de un virus".