Desenmascarando a Careto, una operación de ciberespionaje que permaneció oculta durante 5 años

¿Os acordáis de Duqu? En 2011, este malware causó estragos en ordenadores de todo el mundo. Pero parece que ya tiene sustituto en cuanto a profesionalismo y virulencia.

Kaspersky Lab ha detectado la existencia de una campaña de ciberespionaje que llevaría “al menos cinco años” activa, si bien hay alguna muestra fechada en 2007.

Ésta se sostendría en pie auspiciada por toda una serie de herramientas como “un programa malicioso extremadamente sofisticado, un rootkit, un bootkit, y versiones de Mac OS X y Linux y, posiblemente, para Android y iOS”.

Esta complejidad junto a su capacidad para haberse mantenido oculta y no ser detectada le habrían valido los nombres de Careto o La Máscara.

Para llevar a cabo sus fechorías optaría por enviar mensajes de phishing que remiten a webs cargadas de malware y que finalmente abren la puerta al robo de información sensible, desde configuraciones VPN hasta claves SSH o archivos RDP.

Se intuye que sus autores son “nativos hispanohablantes”, sin que se descarte la implicación de algún Gobierno.

“Existen varias razones que nos hacen creer que esto podría ser una campaña patrocinada por un Estado”, señala el director del Equipo de Investigación y Análisis Global de Kaspersky Lab, Costin Raiu, “desde la gestión de la infraestructura, el cierre de la operación, evitando las miradas curiosas a través de las reglas de acceso y la limpieza en lugar de la eliminación de los archivos de registro”.

“Esta combinación sitúa a La Máscara por delante de la APT de Duqu en términos de sofisticación, por lo que es una de las amenazas más avanzadas en este momento”, advierte el directivo.

Sus víctimas ya están repartidas por 31 países, entre las que se encuentran objetivos españoles. Más que buscar usuarios corrientes, Careto actúa contra organizaciones públicas, cargos diplomáticos, activistas, investigadores y el sector energético.