La NSA encontró una manera de espiar los discos duros externos

Muchos de los discos duros externos de grandes empresas como Western Digital, Seagate y Toshiba tuvieron o tienen en sus entrañas un malware altamente especializado que les permite espiar los computadores de sus usuarios sin ser detectados. En un hallazgo publicado en la tarde del lunes por Kaspersky se reveló una operación de gran alcance, en la que participaron estados nacionales, que tenía por objetivo infiltrar redes y equipos de más de 30 países.

Los atacantes encontraron una manera de alojar varios tipos de archivos maliciosos en el firmware de los discos duros. De esta manera, el ataque no solo persistía cada vez que el disco era formateado, sino que también se hacía indetectable. «La mayoría de discos duros tienen funciones para escribir en el área de firmware, pero no tienen formas para leer de vuelta«, explicó Constin Raiu, director del grupo global de investigación y análisis de Kaspersky.

El malware luego se expandía a otros equipos a través de internet y enviaba reportes de las conexiones de red y actividades del equipo infectado, como muchos otros códigos maliciosos similares. Sin embargo, había un ‘truco’ nuevo en este ataque: su posibilidad de infiltrar equipos no conectados a alguna red por medio de memorias USB. El ataque se escondía en las memorias, hacía sus reportes y luego, cuando otra memoria era introducida en el equipo atacado, ocultaba allí el reporte. Si ese nuevo ‘drive’ era luego introducido a un PC que se conectara a internet, el reporte era enviado a los servidores de comando y control de la operación.

Además, los atacantes usaron técnicas tradicionales para infectar a sus blancos, como infiltrarlos por medio de CD o memorias que tuvieran el código. Uno de estos intentos ocurrió en un encuentro académico internacional que se realizó en Houston. Un disco compacto con los materiales de la cita, que fue enviado a los participantes, fue usado para difundir uno de los malwares.

Raiu le dijo a Reuters «que existe posibilidad cero de que alguien pudiera reescribir [el firmware] de los discos duros con información pública«, implicando que los atacantes tenían acceso a código fuente privado de los fabricantes. Hasta el momento, la mayoría de fabricantes de discos duros no se ha pronunciado sobre cómo permitieron la infiltración del malware en sus productos. Western Digital le dijo a Reuters que «no le suministró código fuente a alguna agencia del gobierno«, y otros como Seagate o Micron negaron su participación en los hechos.

Por qué se cree que fue la NSA

Aunque Kaspersky no se atreve a señalar responsables directos, sí deja una pista contundente. Uno de los malwares, conocido como Fanny, aprovecha varias de las mismas vulnerabilidades que fueron usadas para hacer el ataque Stuxnet contra las plantas iraníes de enriquecimiento de uranio en 2009 y 2010. Ese ataque contó con la participación de la NSA, que ya es reconocida por usar herramientas de espionaje informático.

Dos exempleados de la agencia le dijeron a Reuters que «el análisis de Kasperky es correcto«. Aunque la NSA no se refirió a este ataque directamente, aseguró que todos sus movimientos están en el marco de la ley y son usados para proteger a Estados Unidos «de un amplio espectro de amenazas serias«.

Los blancos son instituciones gubernamentales, militares, industriales, bancarias y medios de comunicación de más de 30 países. Según Reuters, la mayoría de los ataques se concentran en Irán, Rusia, Pakistán, Afganistán, India y China. En Latinoamérica, países como Brasil, Venezuela, Perú y Ecuador también presentan alguna tasa de infección considerable. La mayoría de ellos tienen valor geopolítico para Estados Unidos.

Kaspersky advierte que la operación era controlada por medio de más de 100 servidores, ubicados en países como Estados Unidos, Reino Unido, Alemania u Holanda. Algunos están ubicados en Colombia, Panamá y Costa Rica.

Imagen: Be Good (vía Shutterstock).