Machete también activa micrófonos y cámaras

Su blanco son funcionarios y militares de países como Ecuador y, la información que obtiene permite desde que un Estado tome ventaja sobre otro en un momento de negociación, hasta monitorear el desplazamiento de sus tropas.

08 ago 2019 / 18:45

El malware Machete está realizando ciberespionaje dirigido a organismos gubernamentales y militares de Ecuador, Colombia, Nicaragua y Venezuela. Roba a diario terabytes de información. No tiene límites, al menos de que sea descubierto por la víctima y que la acción sea detenida. No solo eso, puede habilitar el micrófono y la cámara del teléfono y, escuchar todas las conversaciones que se tienen fuera de línea.

¿Cómo lo sabemos? Para entender cómo opera un malware hay que ir a la fuente... Su creador es posible que nunca de la cara, pero sí puede hacerlo quien lo detectó por primera vez en 2012 (se hizo público en 2014). Se trata de Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis de Kaspersky para América Latina.

Él supervisa el trabajo de investigación y análisis anti-malware; produce informes y pronósticos para la región, es experto en seguridad corporativa, ciberespionaje y ataques selectivos complejos. ¿Qué debemos saber sobre Machete? Se lo contó a EXPRESO.

Machete también activa micrófonos y cámaras
Dmitry Bestuzhev, Global Research & Analysis Team (Kaspersky Latin America). Experto en ciberespionaje y ataques selectivos.

- ¿Cuándo, quién y dónde?

- Es una operación descubierta originalmente en Ecuador, en 2012. El anuncio público lo hicimos en 2014 y pusimos en descubierto las operaciones de este grupo latinoamericano. Sabemos que opera desde un país vecino y que aún tiene a Ecuador como uno de sus blancos.

- Machete ha sufrido diferentes cambios a través de la historia. Aproximadamente entre 2014 y 2016 todas la operaciones fueron inhabilitadas, sin embargo, por en 2017 surge una reestructuración del grupo y lanzan nuevos ataques que siguen activos hasta hoy.

- Se trata de algo bien estructurado, es decir, que cuenta con el apoyo de una Nación. ¿Por qué? Podemos determinarlo por los años que se mantiene activo y por sus objetivos: robo de información que representa un valor estatal.

- ¿Qué tipo de información roba y cuál es su objetivo?

- Todo lo que quiera robar el actor del ataque. No tiene límites. Toda la información que necesite, puede ser sustraída por entero.

- No son tarjetas de crédito, ni datos convertibles en dinero fácil, sino información que puede interesar a un Estado para tomar ventaja en un momento de negociación o de desplazamiento de tropas.

Machete también activa micrófonos y cámaras
Toda la información que le permita a un Estado tomar ventaja sobre otro, puede ser robada por Machete. Por ejemplo, sobre desplazamiento de tropas.

- ¿Cómo opera Machete?

- El vector del ataque es el correo electrónico. Los correos se envían de una forma muy selectiva, no masiva. Se selecciona cuidadosamente quién será la víctima y se la atrapa con un contenido adjunto de alto interés. Puede ser, por ejemplo, los últimos acontecimientos que estén pasando en la prensa, entonces el nombre del archivo se disfraza y atrapa.

- Una vez que se abre el archivo y toma posesión del equipo, se instala y se reporta al centro de comando de control. Así, a las manos del atacante, le llega información preliminar como: dirección IP, le informa sobre qué tarjetas de red existen e incluso cuáles son los nombres de las redes inalámbricas y a cuál está conectada la víctima. Luego el operador que está detrás lanza el segundo paso: la infiltración.

Machete también activa micrófonos y cámaras
Países con víctimas de Machete en 2019.

- ¿Cuáles son las recomendaciones básicas?

- Para los centros de respuesta: Es importante monitorear no solo el tráfico entrante, sino el tráfico que sale de su red. Identificar dominios sospechosos, esos dominios son centro de comando y control. Hay que trabajar con las máquinas que están infectadas y hacer un trabajo de investigación, que muchas veces necesitará de ayuda externa.

- Para las posibles víctimas: Funcionarios y militares deben recordar que son blanco de ataques dirigidos. Si reciben un correo que les levante sospechas, aunque sean mínimas, siempre podrán tomar el teléfono y llamar al destinatario. Se trata de una verificación humana. Si cuentan con un centro de respuesta, pueden rebotar los correos para que ellos puedan asegurarse de que no hay peligro.

Lea también: Ecuador en la mira del malware Machete

Este contenido es una producción de Gráficos Nacionales SA Granasa, publicada originalmente en el sitio web www.expreso.ec y protegida por derechos de autor. Su reproducción total o parcial queda prohibida.

TAGS:
A LA CARTA