{"id":14660,"date":"2017-10-25T16:43:23","date_gmt":"2017-10-25T14:43:23","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=14660"},"modified":"2022-05-05T12:03:50","modified_gmt":"2022-05-05T10:03:50","slug":"internal-investigation-preliminary-results","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/internal-investigation-preliminary-results\/14660\/","title":{"rendered":"Resultados preliminares de la investigaci\u00f3n interna sobre los supuestos incidentes de los que inform\u00f3 la prensa estadounidense (actualizado con nuevos resultados)"},"content":{"rendered":"<p>*<strong> Texto actualizado el 16 de noviembre de 2017 para incluir nuevas conclusiones. Para acceder a los detalles t\u00e9cnicos, <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">consulta el informe de Securelist<\/a>.<\/strong><\/p>\n<p><strong>El art\u00edculo ha sido actualizado para incluir las preguntas m\u00e1s frecuentes (FAQ\u00b4s).<br>\n<\/strong><\/p>\n<p><strong>FAQ\u00b4s<\/strong><\/p>\n<p><strong>\u00bfDe qu\u00e9 trataba esta investigaci\u00f3n?\u00a0 <\/strong><\/p>\n<p>A principios de octubre, The Wall Street Journal publicaba que el software de Kaspersky Lab se us\u00f3 supuestamente para descargar datos clasificados del ordenador particular de un empleado de la NSA. Kaspersky Lab, que lleva trabajando en la lucha contra el ciberespionaje y el cibercrimen m\u00e1s de 20 a\u00f1os, ha tratado el incidente con mucha seriedad y ha puesto en marcha una investigaci\u00f3n interna para recopilar hechos y resolver dudas.<\/p>\n<p><strong>\u00bfHab\u00e9is encontrado informaci\u00f3n al respecto?<\/strong><\/p>\n<p>No, no hemos encontrado nada sobre ning\u00fan incidente en 2015. No obstante, hubo un incidente en 2014, parecido al que describi\u00f3 recientemente la prensa.<\/p>\n<p><strong>\u00bfQu\u00e9 pas\u00f3 exactamente?<\/strong><\/p>\n<p>Nuestro producto detect\u00f3 el\u00a0<em>malware<\/em> Equation en el sistema de un usuario. Luego, en el mismo sistema, se detect\u00f3 una puerta trasera que no era Equation, sino que se origin\u00f3 por usar una copia pirata de Microsoft Office y un archivo 7-Zip que conten\u00eda muestras de un <em>malware<\/em> previamente desconocido. Despu\u00e9s de haberlo detectado, nuestro producto envi\u00f3 el archivo a nuestros investigadores de virus para su an\u00e1lisis. Como resultado, el archivo conten\u00eda c\u00f3digo fuente de <em>malware<\/em> que parec\u00eda estar relacionado con el Equation Group, as\u00ed como varios documentos Word con marcas de clasificaci\u00f3n.<\/p>\n<p><strong>\u00bfQu\u00e9 era la puerta trasera?<\/strong><\/p>\n<p>Era la Puerta trasera de Mokes, tambi\u00e9n conocido como \u201cSmoke Bot\u201d o \u201cSmoke Loader\u201d. Lo interesante de este <em>malware<\/em> es que se pod\u00eda comprar en foros clandestinos en 2011. Cabe destacar que los servidores de mando y control de este <em>malware<\/em> estaban registrados por una supuesta entidad china llamada Zhou Lou durante el periodo de septiembre a noviembre del 2014.<\/p>\n<p><strong>\u00bfFue el \u00fanico <em>malware<\/em>\u00a0con el que se infect\u00f3 el PC en cuesti\u00f3n? <\/strong><\/p>\n<p>Es dif\u00edcil de saber: nuestro producto se desactiv\u00f3 del sistema durante un largo per\u00edodo de tiempo. Sin embargo, podemos afirmar que mientras nuestro producto estaba desactivado, se reportaron 121 alarmas en diferentes tipos de <em>malware<\/em>\u00a0que no eran Equation: puertas traseras, <em>exploits<\/em>, Troyanos, y <em>adware<\/em>. Al parecer, este PC se convirti\u00f3 en un objetivo bastante popular.<\/p>\n<p><strong>\u00bfEl <em>software<\/em> busc\u00f3 intencionalmente este tipo de archivos, utilizando palabras clave como \u201ctop secret\u201d o \u201cclassified\u201d?<\/strong><\/p>\n<p>No, no lo hizo. El archivo malicioso fue detectado autom\u00e1ticamente por nuestras tecnolog\u00edas proactivas de protecci\u00f3n.<\/p>\n<p><strong>\u00bfHab\u00e9is compartido este archivo o archivos con terceros? <\/strong><\/p>\n<p>No. Adem\u00e1s, eliminamos inmediatamente el archivo por orden del CEO.<\/p>\n<p><strong>\u00bfPor qu\u00e9 eliminasteis los archivos?<\/strong><\/p>\n<p>Porque no necesitamos el c\u00f3digo fuente para mejorar nuestra protecci\u00f3n, mucho menos documentos Word clasificados. Los archivos recopilados (binarios) son m\u00e1s que suficiente para ello, y son los \u00fanicos que permanecen en nuestro almacenamiento.<\/p>\n<p><strong>\u00bfHab\u00e9is encontrado alguna evidencia de que la red corporativa estuviera comprometida<\/strong><\/p>\n<p>Aparte de Duqu 2.0, del cual informamos p\u00fablicamente despu\u00e9s del incidente, no, no hemos encontrado ninguna evidencia.<\/p>\n<p><strong>\u00bfEst\u00e1is dispuestos a compartir vuestros datos con terceros?<\/strong><\/p>\n<p>S\u00ed, estamos preparados para proporcionar toda la informaci\u00f3n para que se lleven a cabo auditor\u00edas independientes. Mientras, en <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">nuestro informe de Securelist<\/a> puedes encontrar m\u00e1s detalles t\u00e9cnicos.<\/p>\n<h3>Resultados completos<\/h3>\n<p>Debido a los supuestos incidentes producidos en 2015 que la prensa ha publicado \u00faltimamente, Kaspersky Lab ha iniciado durante este mes de octubre de 2017 una exhaustiva revisi\u00f3n de sus registros de telemetr\u00eda. Est\u00e1bamos al tanto de un \u00fanico incidente que se produjo en 2014 durante la investigaci\u00f3n de una APT, cuando nuestros subsistemas de detecci\u00f3n detectaron lo que parec\u00edan ser archivos que conten\u00edan el c\u00f3digo fuente del <i>malware<\/i> Equation y decidimos comprobar si hab\u00eda incidentes similares.\u00a0 Adem\u00e1s, investigamos si hubo intrusiones de terceros en nuestros sistemas, aparte de Duqu 2.0, en el momento de este supuesto incidente de 2015.<\/p>\n<p>Hemos llevado a cabo una investigaci\u00f3n a fondo sobre el caso de 2014 y los resultados preliminares revelan lo siguiente:<\/p>\n<ul>\n<li>Durante la investigaci\u00f3n de la APT Equation (amenaza persistente avanzada por sus siglas en ingl\u00e9s), observamos infecciones en m\u00e1s de 40 pa\u00edses.<\/li>\n<li>Algunas de estas infecciones fueron en EE. UU.<\/li>\n<li>Como procedimiento habitual, Kaspersky Lab ha informado a los \u00f3rganos gubernamentales pertinentes de EE. UU. sobre las infecciones APT activas en Estados Unidos.<\/li>\n<li>Una de las infecciones detectadas en EE. UU. consist\u00eda en lo que parec\u00eda ser una variante nueva y desconocida del <i>malware<\/i> empleado por el grupo Equation.<\/li>\n<li>El incidente donde aparecieron nuevas muestras de Equation se detect\u00f3 con nuestros productos dom\u00e9sticos, con KSN activo y la opci\u00f3n habilitada de enviar autom\u00e1ticamente muestras de <i>malware<\/i> nuevo y desconocido.<\/li>\n<li>La primera detecci\u00f3n del malware Equation se produjo el 11 de septiembre de 2014. Se detect\u00f3 la siguiente muestra:\n<ul>\n<li>44006165AABF2C39063A419BC73D790D<\/li>\n<li>mpdkg32.dllVeredicto: HEUR:Trojan.Win32.GrayFish.gen<\/li>\n<li>Nombre:\u00a0HEUR:Trojan.Win32.GrayFish.gen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li>Tras estas detecciones, al parecer el usuario descarg\u00f3 e instal\u00f3 <i>software<\/i> pirata en sus dispositivos, tal y como se indica en un generador de claves de activaci\u00f3n ilegal (conocidos como \u201ckeygen\u201d) para Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4, <a href=\"https:\/\/www.virustotal.com\/#\/file\/6bcd591540dce8e0cef7b2dc6a378a10d79f94c3217bca5f05db3c24c2036340\/detection\" target=\"_blank\" rel=\"noopener nofollow\">en VirusTotal tienes la informaci\u00f3n al respecto<\/a>) que estaba infectado con <i>malware<\/i>. Los productos de Kaspersky Lab detectaron el <i>malware<\/i> con el nombre <strong>Win32.Mokes.hvl<\/strong>.<\/li>\n<li>El malware fue detectado dentro de una carpeta llamada \u201cOffice-2013-PPVL-x64-en-US-Oct2013.iso\u201d. Esto sugiere una imagen ISO montada en el sistema como una unidad\/disco virtual.<\/li>\n<li>Desde 2013, los productos de Kaspersky Lab detectan el Backdoor.Win32.Mokes.hvl (el falso\u00a0<em>keygen<\/em>).<\/li>\n<li>La primera detecci\u00f3n del (falso) <em>keygen<\/em> malicioso en esta m\u00e1quina data del 4 de octubre de 2014.<\/li>\n<li>Para poder instalar y ejecutar este <i>keygen<\/i>, el usuario ten\u00eda desactivados los productos de Kaspersky. Nuestra telemetr\u00eda no nos permite decir cu\u00e1ndo se desactiv\u00f3 el antivirus. Puesto que el <i>malware<\/i> del <i>keygen<\/i> se detect\u00f3 m\u00e1s tarde, creemos que el antivirus se hab\u00eda desactivado o no estaba en funcionamiento cuando se ejecut\u00f3 el <i>keygen<\/i>, pues si el antivirus hubiera estado activo, no se habr\u00eda podido ejecutar.<\/li>\n<li>Mientras el producto estuvo desactivado, el usuario estuvo infectado con este <i>malware<\/i> durante un per\u00edodo de tiempo indeterminado. El <i>malware<\/i> <i>keygen<\/i> era una puerta trasera que podr\u00eda haber permitido el acceso a terceros.<\/li>\n<li>M\u00e1s tarde, el usuario reactiv\u00f3 el antivirus y el antivirus detect\u00f3 (con el nombre \u201c<b>Backdoor.Win32.Mokes.hvl<\/b>\u201c) y bloque\u00f3 el <i>malware<\/i>.<\/li>\n<li>Como parte de la investigaci\u00f3n actual, los investigadores de Kaspersky Lab examinaron m\u00e1s a fondo dicha puerta trasera y la telemetr\u00eda sobre las amenazas no relacionadas con Equation que envi\u00f3 el ordenador. Es de dominio p\u00fablico que la puerta trasera de Mokes (tambi\u00e9n conocido como \u201cSmoke Bot\u201d o \u201cSmoke Loader\u201d) apareci\u00f3 en foros rusos y que en 2011 estaba disponible para compra. La investigaci\u00f3n de Kaspersky Lab muestra que, de septiembre a noviembre de 2014, los servidores de mando y control de este malware estaban registrados, presuntamente, por una entidad china llamada \u201cZhou Lou\u201d. <a href=\"https:\/\/kasperskycontenthub.com\/securelist\/files\/2017\/11\/Appendix_Mokes-SmokeBot_analysis.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Aqu\u00ed encontrar\u00e1s<\/a> el an\u00e1lisis t\u00e9cnico de la puerta trasera de Mokes.<\/li>\n<li>Durante dos meses, el producto instalado en el sistema en cuesti\u00f3n realiz\u00f3 alertas sobre 121 archivos que no eran el malware Equation: puertas traseras, <em>exploits<\/em>, troyanos y <em>adware<\/em>. La cantidad limitada de telemetr\u00eda nos permite confirmar que nuestros productos detectaron las amenazas; no obstante, es imposible determinar si se ejecutaron durante el per\u00edodo en que el producto se desactiv\u00f3. Kaspersky Lab contin\u00faa investigando las dem\u00e1s muestras maliciosas y los resultados se publicar\u00e1n en cuanto se complete el an\u00e1lisis.<\/li>\n<li>Tras infectarse con el <i>malware\u00a0<\/i><b>Win32.Mokes.hvl<\/b>, el usuario analiz\u00f3 el ordenador varias veces y se detectaron variantes nuevas y desconocidas del <i>malware<\/i> de la APT Equation.<\/li>\n<li>La \u00faltima detecci\u00f3n desde esta m\u00e1quina se produjo el 17 de noviembre de 2014.<\/li>\n<li>Uno de los archivos que detect\u00f3 el producto como una nueva variante del <i>malware<\/i> de la APT Equation era un archivo 7zip.<\/li>\n<li>El archivo fue detectado como malicioso y se envi\u00f3 a Kaspersky Lab para su an\u00e1lisis. Una vez all\u00ed, lo proces\u00f3 uno de los analistas y result\u00f3 que conten\u00eda diversas muestras de <i>malware<\/i> y c\u00f3digo fuente, al parecer, del <i>malware<\/i> Equation y cuatro documentos Word con marcas de clasificaci\u00f3n.<\/li>\n<li>Tras descubrir el sospechoso c\u00f3digo fuente del <i>malware<\/i> Equation, el analista inform\u00f3 del incidente al CEO. Siguiendo la petici\u00f3n del CEO, el archivo fue eliminado de todos los sistemas. El archivo nunca se comparti\u00f3 con terceros.<\/li>\n<li>A causa de este incidente, se cre\u00f3 una nueva pol\u00edtica para todos los analistas de <em>malware<\/em>: Ahora deben eliminar cualquier material que pueda ser clasificado que se haya recopilado de manera accidental durante la investigaci\u00f3n <em>antimalware<\/em>.<\/li>\n<li>Hay dos razones por las que Kaspersky Lab borr\u00f3 dichos archivos y lo har\u00e1 de nuevo en el futuro: primero porque solo necesitamos el <em>malware<\/em> en binario para mejorar la protecci\u00f3n y, segundo, porque nos preocupamos por si recopilamos material potencialmente clasificado.<\/li>\n<li>En 2015 no se recibieron m\u00e1s detecciones de este usuario.<\/li>\n<li>Tras nuestro anuncio de Equation en febrero de 2015, muchos otros usuarios con KSN activo aparecieron en el mismo rango de IP que la detecci\u00f3n original. Al parecer, se configur\u00f3 como <i>honeypot<\/i> (sistema trampa) y en cada ordenador se cargaron varias muestras relacionadas con Equation. No se han detectado ni enviado muestras inusuales (no ejecutables) de estos <i>honeypot<\/i>s y las detecciones no se han procesado de ninguna manera especial.<\/li>\n<li>La investigaci\u00f3n no ha revelado ning\u00fan otro incidente relacionado en 2015, 2016 o 2017.<\/li>\n<li>No se detect\u00f3 ninguna otra intrusi\u00f3n de terceros, aparte de Duqu 2.0, en las redes de Kaspersky Lab.<\/li>\n<li>La investigaci\u00f3n ha confirmado que Kaspersky Lab nunca ha creado ninguna regla de detecci\u00f3n en sus productos basados en las palabras clave \u201ctop secret\u201d y \u201cclassified\u201d.<\/li>\n<\/ul>\n<p>Creemos que todo esto es un an\u00e1lisis preciso del incidente desde 2014. La investigaci\u00f3n a\u00fan est\u00e1 abierta y la empresa facilitar\u00e1 m\u00e1s informaci\u00f3n t\u00e9cnica cuando est\u00e9 disponible. Estamos planeando compartir toda la informaci\u00f3n sobre el incidente, incluidos los detalles t\u00e9cnicos con un tercero de confianza como parte de nuestra <a href=\"https:\/\/www.kaspersky.es\/blog\/transparency-initiative\/14633\/\" target=\"_blank\" rel=\"noopener\">Iniciativa Global de Transparencia.<\/a><\/p>\n<p><strong>El texto se actualiz\u00f3 el 27 de octubre de 2017 para incluir referencias temporales y luego el 16 de noviembre de 2017 para incluir nuevas conclusiones. Para acceder a los detalles t\u00e9cnicos, <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">consulta el informe de Securelist<\/a>.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En octubre de 2017, Kaspersky Lab puso en marcha una revisi\u00f3n de nuestros registros relacionados con los supuestos incidentes de 2015 descritos por la prensa.<\/p>\n","protected":false},"author":2706,"featured_media":14699,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[368,2427,1297,2428,1194,2430,2429,1633],"class_list":{"0":"post-14660","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-detectar","10":"tag-duqu","11":"tag-duqu-2-0","12":"tag-equation","13":"tag-generador-de-claves","14":"tag-keygens","15":"tag-puertas-traseras"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/internal-investigation-preliminary-results\/14660\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/internal-investigation-preliminary-results\/11668\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/internal-investigation-preliminary-results\/9727\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/internal-investigation-preliminary-results\/13084\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/internal-investigation-preliminary-results\/12003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/internal-investigation-preliminary-results\/11632\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/internal-investigation-preliminary-results\/14381\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/internal-investigation-preliminary-results\/19108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/internal-investigation-preliminary-results\/4332\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/internal-investigation-preliminary-results\/19894\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/internal-investigation-preliminary-results\/9792\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/internal-investigation-preliminary-results\/8412\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/internal-investigation-preliminary-results\/8742\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/internal-investigation-preliminary-results\/18783\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/internal-investigation-preliminary-results\/18967\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/internal-investigation-preliminary-results\/18956\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/equation\/","name":"Equation"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/14660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=14660"}],"version-history":[{"count":18,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/14660\/revisions"}],"predecessor-version":[{"id":14830,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/14660\/revisions\/14830"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/14699"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=14660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=14660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=14660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}