Recuerde que hace unas semanas, el editor Kaspersky reveló que su red había sido infiltrada por sofisticados spyware. Era una descendencia distante de Stuxnet que llamó Duqu 2.0 y probablemente fue creada por una agencia de inteligencia.
El sitio The Intercept acaba de publicar una serie de documentos de Edward Snowden que muestran que la sociedad rusa ha sido el objetivo de las agencias de inteligencia durante varios años. Y no cualquier agencia: la NSA estadounidense y el GCHQ británico.
Hay que decir que un antivirus es un objetivo particularmente interesante para los barbouzes.
Estos programas se ejecutan con un alto nivel de privilegios en las computadoras de los clientes y tienen un conocimiento íntimo del sistema, debido a los escaneos de seguridad realizados. Por lo tanto, poder comprometer este software sería muy interesante.
En un documento que data de 2008, el GCHQ explica que «los productos de seguridad personal como el antivirus ruso Kaspersky Antivirus siguen siendo un problema» .
Es por eso que la agencia está implementando técnicas de ingeniería inversa para tratar de hackear este software. Por cierto, también descubrimos en este documento que, gracias a la ingeniería inversa, los agentes británicos han pirateado con éxito los enrutadores Cisco del nodo de intercambio de Internet de Pakistán
Intercambio, lo que le permite monitorear el tráfico de casi cualquier usuario paquistaní, o 180 millones de personas. Pero esta es otra historia…
Por su parte, la NSA también tomó a Kaspersky y sus contrapartes en la mira. En un documento que data de 2008, la agencia estadounidense explica que diseccionó los intercambios entre el software del cliente y los servidores Kaspersky.
Bingo: encontró cierta información allí, codificada en el campo «Usuario-Agente», lo que le permite identificar de manera única la computadora de una persona, o incluso deducir ciertos datos de configuración.
Esto es muy práctico para monitorear y prepararse para los ataques. Contactado por The Intercept , Kaspersky niega formalmente que el campo «Usuario-Agente» pueda proporcionar este tipo de información.
La agencia de vigilancia estadounidense también se esfuerza por interceptar los correos electrónicos recibidos o enviados por los editores de antivirus. En un documento de 2007, muestra un correo electrónico enviado por un informático canadiense a un editor antivirus, con una muestra de malware de archivo adjunta.
Al automatizar este tipo de intercepción con más de veinte editores de antivirus: Kaspersky, F-Secure, DrWeb, AVG, Eset, Avast… – la agencia explica que puede recuperar alrededor de diez «potencialmente malware por día» .
Aproximadamente diez archivos al día son extremadamente pequeños en comparación con los cientos de miles de archivos infectados recibidos diariamente por los editores de antivirus de una manera más o menos automática.
Sin embargo, se puede suponer que estos archivos están fuera de lo común ya que alguien se ha tomado la molestia de enviarlos por correo electrónico. Por lo tanto, pueden ser particularmente interesantes.
En todos los casos, estos malwares se analizan y, si es necesario, se «reasignan» a operaciones de piratería. Los intercambios de correo electrónico también pueden dar indicaciones sobre los defectos de seguridad del software antivirus.
