Casper, un malware de perfilado que provendría de la inteligencia francesa

, Author


Casper, ese pequeño y encantador fantasma

En enero, la inteligencia canadiense había indicado que había encontrado un malware, llamado «Babar», particularmente avanzado y vinculado a priori bien a un grupo de hackers con vínculos con el gobierno francés, o bien al propio gobierno. La información no era sorprendente, ya que los casos de Stuxnet y Flame habían demostrado que el apoyo de los gobiernos era real y permitía lanzar ataques precisos y eficaces, incluso contra el programa nuclear iraní. Edward Snowden, además, había abordado varias veces el tema de la inteligencia y el espionaje, indicando que Estados Unidos estaba lejos de ser el único que se dedicaba a estas actividades.

Según un artículo de Motherboard que concentra varios testimonios de expertos en seguridad, entre ellos de Kaspersky y ESET, otro programa malicioso bien podría formar parte del ciberarsenal del Hexágono. Llamado Casper, actúa como un «primer implante que se envía a las víctimas para averiguar quiénes son», explica Costin Raiu, director de investigación de Kaspersky. Según la información recabada por el editor, Casper fue encontrado notablemente en la web oficial del Ministerio de Justicia sirio en abril de 2014.

Dos fallos 0-day en el reproductor Flash explotados en una web oficial siria

Este hallazgo ha sido realizado por otros expertos, entre ellos Joan Calvet de ESET. Así, explica que Casper se encontraba oculto en una carpeta, esperando a que cualquier usuario se infectara, a través de un enlace en una página web, por ejemplo. La eficacia de Casper se debe al uso de dos vulnerabilidades de día 0 en el reproductor Flash de Adobe. Ahora bien, estos fallos son poco frecuentes según los expertos, y explotar dos de forma simultánea sugiere que el grupo detrás del malware cuenta con importantes recursos.

En cuanto al interés de Casper, es bastante sencillo: establecer un perfil lo más completo posible de la víctima. El malware es capaz de proporcionar mucha información técnica, y Calvet cree que los autores son capaces de saber si el balance de estos datos apunta a un objetivo interesante. Además, Casper estaba específicamente en el sitio que permitía a los internautas sirios escribir quejas sobre el régimen de Bashar al-Assad. Para los expertos, el interés habría sido, por tanto, recabar información sobre todos los que acudieron a escribir quejas.

Desde la implicación de Francia

Para Costin Raiu, la situación es muy clara: «Cuando se tiene una operación de tal envergadura, que funciona desde hace años y que utiliza múltiples fallos de día 0, sin el más mínimo retorno financiero para la clave, es obvio que está apoyada por un Estado, es necesariamente. En cuanto a la vinculación de la operación, y por tanto de Casper, con Francia, no hay certeza, sólo un cúmulo de similitudes que acercan el malware a Babar.

Casper y Babar, ambos referentes de programas infantiles, se cree que tienen su origen en el mismo grupo de hackers, denominado «Animal Farm». Según ESET, Kaspersky y otros, el grupo es francés o de un país francófono, por ciertas referencias encontradas en el código. Además, parte del código de Casper es idéntico al encontrado en NBOT y Bunny, otro malware que se cree que procede del grupo Animal Farm, así como algunos elementos de la infraestructura de control.

Nos pusimos en contacto con la DGSE (Dirección General de Seguridad Exterior) para ver si querían responder. Nicolas Wuest-Famôse, encargado de la comunicación, nos respondió: «Comprendo perfectamente su petición, desgraciadamente la DGSE, un servicio de inteligencia extranjero, no puede expresarse sobre sus actividades, reales o supuestas». Una respuesta previsible y similar a las de la NSA y el GCHQ británico tras idénticas peticiones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *