¿Qué hay detrás del virus que ataca datos bancarios de Medio Oriente?
Los investigadores del mismo laboratorio de ciberseguridad que anunciaron el descubrimiento del virus Flame (Flama) en mayo creen haber descubierto un conjunto de códigos que funciona como un troyano, por lo que piden a la comunidad criptográfica ayuda para descifrarlo.
El código recién descubierto, nombrado Gauss, parece ser un conjunto de herramientas de ciberespionaje con la habilidad de interceptar contraseñas, robar información de configuración del sistema de la computadora y acceder a información de credenciales para los bancos ubicados en Medio Oriente. Después de atacar y contagiar a otros equipos, se autodestruye . Pero los investigadores en Kaspersky Lab, en Rusia, consideran que podría ir más lejos.
“Hablamos de un paquete complejo”, dice el investigador de seguridad, Kurt Baumgartner, y agrega que el código parece haber sido creado por una nación-estado . “Es único y diferente en algunas formas; mantiene el código y tiene funcionalidad similar a la de los virus Flame y Stuxnet ”.
Flame y Stuxnet son virus de computadora que tienen la habilidad de reescribir códigos . Stuxnet eligió como blanco al programa nuclear de Irán . Reescribió el código que causó que las centrífugas enriquecidas giraran sin control, inutilizándolas finalmente. Estados Unidos e Israel fueron señalados como autores de ese virus.
Baumgartner dice que los investigadores han tenido más dificultades para entender para qué fue creado Gauss, o cuál es realmente su carga útil, la cual es una parte del código o tecnología que se envía dentro de un paquete de software. Baumgartner dice que el robo de credenciales y la capacidad de monitoreo puede ser sólo una cortina de humo para algo más siniestro.
“Es muy probable que esté destinado a cubrir o esconder cualquiera que sea la carga útil”, dice Baumgartner, quien añade que es posible que el código fuera diseñado para evitar la detección hasta que alcance su objetivo final.
Kaspersky Lab publicó en su sitio web un llamado para que los expertos en encriptación ayuden a descifrar el código. Dicen que han recibido varias respuestas de “personas talentosas”.
“Podríamos especular mucho sobre lo que realmente hay en la carga útil”, dice Baumgartner. “Pero que una masa de datos encriptados resida dentro de una parte del código que está relacionada con el virus Stuxnet y que se haya expandido a miles o decenas de miles de máquinas en esa región, sugiere que hay una carga útil más importante o más significativa”.
Hasta ahora, Kaspersky dice que la mayoría de las detecciones de Gauss fueron en Líbano y un pequeño número reportado en Israel.
Los investigadores no tienen idea de cómo se extiende el código, pero dicen que tiene la habilidad de infectar puertos USB que, una vez que son infectados, pueden expandirse hasta 30 computadoras antes de que el código se autodestruya.
El conjunto de herramientas tiene ese nombre por las referencias descubiertas dentro del código que rinden homenaje a los matemáticos y filósofos. Johann Carl Friedrich Gauss era un matemático alemán.