Países como España están entre los afectados por este malware que ha robado información sensible durante más de 20 años.
Ciberataques
El FBI consigue una nueva victoria frente a otra banda de ciberdelincuentes rusos, una de las más resistentes. Tras los golpes perpetrados contra las bandas de hackers Hive, acusados de robar más de 90 millones de dólares, o REvil, los cuales cayeron en una trampa conjunta entre países, ahora se ha llevado a cabo la operación denominada Medusa para detener un peligroso malware que llevaba décadas espiando a los gobiernos de medio mundo, incluida España.
La agencia estadounidense ha anunciado esta semana la operación contra el grupo de piratas informáticos ruso Turla. La agencia estadounidense ha conseguido desarticular una red de hackeo que la banda llevaba usando años para robar información sensible de al menos 50 países entre los que estarían los Gobiernos de las naciones de la OTAN donde participa España.
El grupo de ciberdelincuentes utilizaba una sofisticada herramienta para pasar los controles de seguridad e infiltrarse en las agencias diplomáticas y militares de estos países principalmente occidentales. Así habría operado durante más de dos décadas como una unidad dentro del Servicio Federal de Seguridad de la Federación Rusa, conocida durante años como uno de los principales equipos de ciberespionaje de Rusia, según detalla el FBI.
Los hackers actualizaban continuamente una herramienta malware conocida como Snake creada en 2004. Así mantenían al día sus ataques contra las renovadas medidas de seguridad de los departamentos gubernamentales a los que robaban información confidencial. En 2014 la empresa de ciberseguridad Kaspersky informaba sobre el método de ataque de Snake contra las instituciones españolas y europeas.
Aseguraban que “los atacantes utilizan tanto correos electrónicos de spear phishing directos como ataques de abrevadero para infectar a sus víctimas”, es decir, webs infectadas que las víctimas visitan con frecuencia.”En total, hemos observado más de 100 sitios web inyectados. Por ejemplo, muchos de los sitios web en español infectados pertenecen a gobiernos locales” decía Kaspersky en su momento
Durante la operación Medusa, el FBI entró en algunos de los ordenadores comprometidos por Snake para estudiar este malware y poder desarrollar un contraataque, una herramienta que bautizaron como Perseus y sirve para descifrar y decodificar las comunicaciones de Snake. La operación culmina el pasado lunes 8 de mayo cuando el FBI usó Perseus para engañar a Snake y obligar la malware a sobrescribir sus propios componentes vitales sin afectar al ordenador anfitrión u otras aplicaciones legítimas de la máquina, tal y como han explicado en el comunicado de prensa este martes.
Para poder llevar a cabo el ataque, el FBI ha contado con una orden judicial que les ha permitido acceder a ordenadores de múltiples jurisdicciones que estaban infectadas con el malware. Según la declaración jurada, el FBI pudo identificar 19 direcciones IP asociadas con ordenadores estadounidenses que habían sido infectados con Snake, pero no han detallado el número total de máquinas afectadas en este y el resto de países. La agencia llevaría desde 2015 trabajando con varias organizaciones de víctimas para obtener más información sobre Snake.
“El Departamento de Justicia, junto con nuestros socios internacionales, ha desmantelado una red global de computadoras infectadas con malware que el gobierno ruso ha utilizado durante casi dos décadas para realizar ciberespionaje, incluso contra nuestros aliados de la OTAN”, dijo el fiscal general Merrick Garland. Tanto las agencias gubernamentales de Estados Unidos como sus iguales en el resto de países afectados han compartido un aviso de seguridad explicando el funcionamiento de Snake y cómo mitigarlo para detener su actividad de forma definitiva.