{"id":5379,"date":"2015-02-17T18:02:55","date_gmt":"2015-02-17T18:02:55","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=5379"},"modified":"2020-02-26T17:27:37","modified_gmt":"2020-02-26T15:27:37","slug":"el-indestructible-malware-de-los-ciberespias-de-equation-esta-aqui-pero-no-se-asusten-de-momento","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/el-indestructible-malware-de-los-ciberespias-de-equation-esta-aqui-pero-no-se-asusten-de-momento\/5379\/","title":{"rendered":"El indestructible malware de los ciberesp\u00edas de Equation est\u00e1 aqu\u00ed \u2013 pero no se asusten (de momento)"},"content":{"rendered":"<p>La investigaci\u00f3n sobre las <a href=\"https:\/\/securelist.com\/blog\/research\/68750\/equation-the-death-star-of-malware-galaxy\/\" target=\"_blank\" rel=\"noopener noreferrer\">actividades de ciberespionaje del grupo Equation<\/a>, que acaba de publicar el equipo GReAT de Kaspersky, revela un buen n\u00famero de maravillas t\u00e9cnicas. Este viejo y poderoso grupo de hackers ha creado una serie de \u201cimplantes\u201d maliciosos, pero el descubrimiento m\u00e1s interesante es la capacidad del malware para reprogramar los discos duros de las v\u00edctimas, haciendo sus \u201cimplantes\u201d invisibles y casi indestructibles.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet \u2013 <a href=\"http:\/\/t.co\/FsaH0Jzq5O\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/FsaH0Jzq5O<\/a><\/p>\n<p>\u2014 Kim Zetter (@KimZetter) <a href=\"https:\/\/twitter.com\/KimZetter\/status\/567400308045647872?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 16, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00c9sta es una de las <a href=\"https:\/\/www.kaspersky.com\/blog\/8-all-time-scariest-looking-viruses\/\" target=\"_blank\" rel=\"noopener nofollow\">historias de terror m\u00e1s veces anticipadas desde hace tiempo en seguridad inform\u00e1tica<\/a>. Un virus incurable que persiste en el hardware del ordenador para siempre fue considerado una leyenda urbana durante d\u00e9cadas, pero parece ser que hay personas que gastan millones de d\u00f3lares para hacerlo realidad. Algunos reportajes period\u00edsticos sobre la historia de Equation van m\u00e1s lejos al decir que esto permite a los hackers \u201c<a href=\"http:\/\/www.reuters.com\/article\/2015\/02\/16\/us-usa-cyberspying-idUSKBN0LK1QV20150216\" target=\"_blank\" rel=\"noopener nofollow\">espiar la mayor\u00eda de ordenadores de todo el mundo<\/a>\u201c. Sin embargo, queremos reducir el nivel de alarma, ya que probablemente esta capacidad ser\u00e1 tan rara como ver a los pandas cruzando la calle.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2015\/02\/05223140\/The-Equation-Group-1024x767.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-5381\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2015\/02\/05223140\/The-Equation-Group-1024x767.png\" alt=\"The-Equation-Group-1024x767\" width=\"1024\" height=\"767\"><\/a>Empecemos explicando qu\u00e9 significa \u201creprogramar el firmware del disco duro\u201d. Un disco duro est\u00e1 formado por dos componentes importantes, un soporte de almacenamiento (discos magn\u00e9ticos para HDD cl\u00e1sicos o chips de memoria flash para SSD) y un microchip, que en realidad controla la lectura y la escritura en el disco, as\u00ed como muchos procedimientos de servicio, como por ejemplo la detecci\u00f3n y correcci\u00f3n de errores. Estos procedimientos de servicio son numerosos y complejos, as\u00ed que el chip ejecuta su propio programa sofisticado y, t\u00e9cnicamente hablando, \u00e9ste es como un peque\u00f1o ordenador en s\u00ed mismo. El chip del programa se llama firmware y a veces el vendedor del disco duro quiere actualizarlo para corregir los errores encontrados o mejorar el rendimiento.<\/p>\n<p>El grupo Equation abus\u00f3 de este mecanismo, siendo capaz de descargar su propio firmware para el disco duro de 12 \u201ccategor\u00edas\u201d distintas (vendedores\/variaciones). Las funciones de este firmware modificado son un misterio, pero el malware tiene la habilidad de escribir y leer datos de\/para \u00e1reas del disco duro dedicado. Suponemos, que esta \u00e1rea se oculta completamente desde un sistema operativo e incluso desde un software forense especial. Los datos en esta \u00e1rea deber\u00edan sobrevivir al formateo del disco duro, adem\u00e1s, el firmware es te\u00f3ricamente capaz de volver a infectar el \u00e1rea de arranque del disco duro infectando a un sistema operativo reci\u00e9n instalado desde el principio. Para complicarlo a\u00fan m\u00e1s, el firmware chequea y reprograma dependiendo del firmware, as\u00ed que es imposible verificar la integridad del firmware o una reinstalaci\u00f3n fiable del firmware en un ordenador. En otras palabras, una vez infectado, el firmware del disco duro es indetectable y casi indestructible. Es m\u00e1s f\u00e1cil y m\u00e1s barato deshacerse del disco sospechoso y comprar uno nuevo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth\u2026<\/p>\n<p>\u2014 Matthew Green (@matthew_d_green) <a href=\"https:\/\/twitter.com\/matthew_d_green\/status\/567473604347326466?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Sin embargo, no corras a buscar el destornillador, no creemos que este tipo de infecci\u00f3n tan novedosa se convierta en algo corriente. Probablemente, hasta el propio grupo de Equation lo ha utilizado en contadas ocasiones, ya que el m\u00f3dulo HDD infectado es extremadamente raro en el sistema de las v\u00edctimas. Para los principiantes, reprogramar el disco duro es mucho m\u00e1s complejo que escribir, digamos, el software Windows. Cada modelo de disco duro es \u00fanico y es muy caro y dif\u00edcil desarrollar un firmware alternativo. Un hacker debe conseguir documentaci\u00f3n interna del proveedor del disco duro (que es casi imposible), comprar algunas unidades exactamente del mismo modelo, desarrollar y testar la funcionalidad requerida y reducir las rutinas maliciosas del firmware existente, mientas se conservan sus funciones originales. Esto es ingenier\u00eda avanzada que requiere meses de desarrollo y millones en inversi\u00f3n. Esta es la raz\u00f3n por la cual no es factible el uso de este tipo tecnolog\u00eda furtiva en el malware criminal e incluso en ataques m\u00e1s espec\u00edficos. Adem\u00e1s, el desarrollo del firmware es, obviamente, una aproximaci\u00f3n de boutique que no se puede escalar f\u00e1cilmente. Muchos fabricantes liberan firmwares para m\u00faltiples lectores cada mes, nuevos modelos salen constantemente y piratear cada uno de ellos est\u00e1 m\u00e1s all\u00e1 de las posibilidades (\u00a1y necesidades!) para el grupo Equation, y para todos los dem\u00e1s.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"..it would take a very skilled programmer many months or years to master\" reprogramming hard drives, says <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2015?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2015<\/a><\/p>\n<p>\u2014 Kelly Jackson Higgins (@kjhiggins) <a href=\"https:\/\/twitter.com\/kjhiggins\/status\/567654279897686016?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>As\u00ed que la aplicaci\u00f3n pr\u00e1ctica de la historia es que el malware infeccioso de HDD no es una leyenda, pero a nivel personal no est\u00e1s en riesgo. No golpees tus discos con un martillo, a no ser que trabajes en la industria nuclear iran\u00ed. Presta m\u00e1s atenci\u00f3n a riesgos menos emocionantes, pero mucho m\u00e1s probables como ser hackeado por tener <a href=\"https:\/\/www.kaspersky.com\/blog\/false-perception-of-it-security-passwords\/\" target=\"_blank\" rel=\"noopener nofollow\">malas contrase\u00f1as<\/a> o <a href=\"https:\/\/www.kaspersky.com\/free-trials\/multi-device-security?redef=1&amp;reseller=blog_en-global\" target=\"_blank\" rel=\"noopener nofollow\">antivirus<\/a> caducados.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un malware que no puede ser eliminado del disco duro de las v\u00edctimas no existe. Aun as\u00ed, es tan raro y caro, que probablemente nunca lo encontrar\u00e1s.<\/p>\n","protected":false},"author":32,"featured_media":5381,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[1108,650,122,1109,22,1106],"class_list":{"0":"post-5379","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-disco-duro","10":"tag-espionaje","11":"tag-hackers","12":"tag-hdd","13":"tag-malware-2","14":"tag-thesas2015"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/el-indestructible-malware-de-los-ciberespias-de-equation-esta-aqui-pero-no-se-asusten-de-momento\/5379\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/disco-duro\/","name":"disco duro"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/5379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=5379"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/5379\/revisions"}],"predecessor-version":[{"id":21764,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/5379\/revisions\/21764"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/5381"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=5379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=5379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=5379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}