Equation Group, la madre de todas las ciberarmas

A los interesados en el ciberpoder, seguramente les suenen los nombres Stuxnet y Flame. Programas maliciosos desarrollados y utilizados para llevar a cabo ataques de ciberespionaje contra compañías y gobiernos extranjeros. Ahora Kaspersky Lab ha dado a conocer una ciberarma que supera todo lo conocido en términos de complejidad y sofisticación de las técnicas de ciberespionaje: Equation Group.

Según los investigadores de Kaspersky Lab, este malware, que lleva activo casi dos décadas, es único en casi todos sus aspectos. Utiliza herramientas muy complicadas y caras de desarrollar, con el fin de infectar a las víctimas, recuperar datos y ocultar su actividad de una manera extraordinariamente profesional, empleando técnicas de espionaje clásicas para infectar a las víctimas.

Para ello, Equation Group utiliza un potente arsenal de troyanos, incluyendo los siguientes, detectados por la firma de ciberseguridad rusa: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish.

Pero lo que hace único a Equation Group son dos cosas: su persistencia y su invisibilidad. El malware es capaz de reprogramar el firmware del disco duro de más de una docena de las marcas más populares. Reprogramando el firmware de disco duro (es decir, volviendo a escribir el sistema operativo del disco duro), Equation Group logra dos propósitos: un extremo nivel de persistencia que ayuda a sobrevivir al formateo del disco y la reinstalación del sistema operativo y, en segundo lugar, la imposibilidad de detectar los discos duros que han sido infectados por este malware.

Para los investigadores, existen vínculos sólidos que indican que Equation Group ha interactuado con otras poderosas ciberarmas, como Stuxnet y Flame, en general desde una posición de superioridad. Equation Group tuvo acceso a vulnerabilidades de día cero antes de que fueran utilizadas por Stuxnet y Flame, y en algún momento compartieron ataques.

Esta herramienta de ciberespionaje emplea una vasta infraestructura que incluye más de 300 dominios y más de 100 servidores, alojados en varios países, incluidos Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y República Checa. Desde 2001, ha infectado a decenas de miles de víctimas en más de 30 países en todo el mundo, de sectores como instituciones gubernamentales, telecomunicaciones, energía, activistas, militares, académicos, medios de comunicación, bancos y empresas que desarrollan tecnologías de cifrado.

Visto la complejidad y potencia de esta ciberarma, Dimitri Bestuzhev, director de Análisis e Investigación de Kaspersky en América Latina, cree que sólo un Estado puede estar detrás de ella. “Por su tremendo poder, tanto matemático, científico, de visión, coordinación, planificación, control, intereses, distribución y mantenimiento, cuesta muchos recursos de todo tipo desarrollarla”.