Vladimir Platov*
En diciembre pasado, el presidente de los Estados Unidos, Donald Trump, firmó un decreto que prohíbe el uso del software Kaspersky Lab dentro de las agencias del gobierno de los EE.UU. Esta última versión de las sanciones contra Rusia exigió que todas las personas empleadas por Washington eliminen el software antivirus de renombre mundial de sus computadoras dentro de los 90 días posteriores a la firma del decreto.
Hay que decir que el último programa informativo de TI, Kaspersky Lab, que recibió reconocimiento por sus logros en la lucha contra todo tipo de malware, no se desechó por auténticas preocupaciones de seguridad, sino como parte de los constantes esfuerzos de propaganda contra Rusia, de los que hemos sido testigos últimamente en todo Occidente. También está claro que a Washington no le importan los esfuerzos que Kaspersky Lab ha llevado a cabo para contrarrestar el ciberespionaje de alto perfil y las actividades maliciosas en Internet a las que las agencias de inteligencia estadounidenses han estado expuestas.
Dichas conclusiones se pueden basar en los resultados durante la reciente Kaspersky Security Analyst Summit (SAS), donde los expertos de Kaspersky Lab dejaron al descubierto el sofisticado programa de spyware conocido como Slingshot . Resultó que este malware ha estado en funcionamiento desde 2012, pero las empresas de seguridad informática tardaron años en detectarlo. Y fue la empresa rusa Kaspersky Lab la que expuso este spyware del diseño de la agencia de inteligencia de los EE.UU. para establecer una vigilancia total a través de Internet, como lo señaló The Times.
Según esta publicación británica, Kaspersky Lab, ahora excluido de los mercados estadounidenses, descubrió este software malicioso que permite a las agencias estadounidenses acceder a los enrutadores para monitorear la actividad de los usuarios en la web.
Originalmente, Slingshot fue creado por el ejército de los EE.UU. para rastrear a presuntos terroristas que utilizarían cibercafés en todo el Medio Oriente y el norte de África para coordinar sus actividades. Este malware se implementó en Afganistán, Irak, Kenia, Sudán, Somalia, Turquía y Yemen y, según algunos expertos, en solo seis años de lanzamiento de Slingshot, una gran cantidad de individuos y agencias gubernamentales sufrieron en todo el Medio Oriente y África.
Este spyware de Slingshot es similar al programa creado por la NSA para establecer una vigilancia total en el segmento occidental de Internet. Expertos de CyberScoop, al citar agentes de inteligencia estadounidenses anónimos (retirados y en funciones), informan que Slingshot es una operación especial lanzada por el Comando Conjunto de Operaciones Especiales (JSOC), un componente del Comando de Operaciones Especiales de los Estados Unidos (USSOCOM). Los investigadores también están de acuerdo en que los algoritmos utilizados por Slingshot son similares a los utilizados por grupos de hackers como Longhorn y The Lamberts afiliados a la CIA y la NSA, desarrollados con las herramientas de los dos grupos antes mencionados que fueron revelados por WikiLeaks.
Los expertos de CyberScoop y sus fuentes creen que Kaspersky Lab no podía saber con certeza, pero sospechaba que uno de los países de la alianza de inteligencia Five Eyes, que incluye a Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos, estaba detrás del desarrollo.
Según los expertos en seguridad cibernética, Slingshot es una plataforma extremadamente compleja para ataques que no se podría desarrollar sin invertir grandes cantidades de esfuerzo, tiempo y dinero. Según esos mismos analistas, la complejidad de Slingshot hace palidecer incluso al Proyecto Sauron y Regin en comparación, lo que significa solo hackers patrocinados por el gobierno podrían desarrollar algo como esto.
De acuerdo con la declaración publicada por Kaspersky Lab:
Mientras analizábamos un incidente que involucraba a un presunto keylogger, identificamos una biblioteca maliciosa capaz de interactuar con un sistema de archivos virtual, que generalmente es el signo de un actor avanzado de APT. Resultó ser un cargador malicioso denominado internamente 'Slingshot', parte de una plataforma de ataque nueva y altamente sofisticada que rivaliza con Complex Sauron y Regin en complejidad.
El cargador inicial reemplaza la biblioteca legítima de Windows de la víctima 'scesrv.dll' por una maliciosa de exactamente el mismo tamaño. No solo eso, interactúa con muchos otros módulos, incluyendo un cargador ring-0, sniffer de red en modo kernel, propio empaquetador independiente de la base y sistema de archivos virtual, entre otros.
Si bien para la mayoría de las víctimas, el vector de infección de Slingshot sigue siendo desconocido, pudimos encontrar varios casos en los que los atacantes tuvieron acceso a los enrutadores Mikrotik y colocaron un componente descargado por Winbox Loader, una suite de gestión para los enrutadores Mikrotik. A su vez, esto infectó al administrador del enrutador.
Lo que está claro es que este malware está destinado a secuestrar todo tipo de información sensible, incluido el tráfico de la red, capturas de pantalla y contraseñas, mientras controla su propia invisibilidad. Volver a flashear el firmware no ayuda al usuario a deshacerse de este malware, ya que Slingshot es capaz de autocopiarse y emplear todo tipo de trucos para mantenerse operativo, algunos de los cuales no han sido completamente expuestos. Para desviar la atención del software antivirus, Slingshot inicia de forma independiente las comprobaciones de seguridad, lo que le permitió ocultar su presencia a partir de 2012.
En los últimos años, Slingshot ha sido utilizado activamente por las agencias de inteligencia de los EE.UU. para establecer un control total sobre Internet al espiar a ciudadanos estadounidenses y en el extranjero, incluso entre los "aliados" de Washington.
Y dado que Kaspersky Lab fue capaz de rastrear los spyware que Washington invirtió en tantos recursos para desarrollar, no es de extrañar que Trump decidiera poner fin a las operaciones de esta compañía con sede en Rusia en los Estados Unidos, tratando de llevar a cabo en sus mentiras sobre "hackers rusos" que nadie ha visto o rastreado, mientras continúa con las actividades criminales de ciberespionaje de Estados Unidos al más alto nivel.
*experto en Medio Oriente
