{"id":11632,"date":"2017-10-25T05:53:22","date_gmt":"2017-10-25T11:53:22","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=11632"},"modified":"2022-05-05T09:49:58","modified_gmt":"2022-05-05T15:49:58","slug":"internal-investigation-preliminary-results","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/internal-investigation-preliminary-results\/11632\/","title":{"rendered":"Resultados preliminares de la investigaci\u00f3n interna sobre los supuestos incidentes de los que inform\u00f3 la prensa estadounidense (actualizado con nuevos descubrimientos)"},"content":{"rendered":"<h3><strong>FAQs<\/strong><\/h3>\n<p><strong>\u2013 \u00bfDe qu\u00e9 se trat\u00f3 esta investigaci\u00f3n? <\/strong><\/p>\n<p>\u2013 En octubre del 2017, varios medios estadounidenses hablaron de un incidente que relacionaba a Kaspersky Security Network con datos clasificados de la NSA, supuestamente exfiltrados en 2015.<\/p>\n<p><strong>\u2013 \u00bfEncontraron informaci\u00f3n al respecto?<\/strong><\/p>\n<p>\u2013 No, no encontramos nada sobre ning\u00fan incidente en 2015. Sin embargo, hubo un incidente en 2014, parecido al que los medios reportaron recientemente.<\/p>\n<p><strong>\u2013 \u00bfQu\u00e9 pas\u00f3 exactamente?<\/strong><\/p>\n<p>\u2013 Nuestro producto detect\u00f3 el conocido malware Equation en el Sistema de un usuario. Despu\u00e9s, en el mismo Sistema tambi\u00e9n se detecto una Puerta trasera non-Equation originada desde una copia pirateada de Microsoft Office y un archivo 7-Zip que conten\u00eda muestras de un malware previamente desconocido. Despu\u00e9s de haberlo detectado, nuestro producto envi\u00f3 el archivo a nuestros investigadores de virus para su an\u00e1lisis. Como resultado, el archivo conten\u00eda c\u00f3digo fuente de malware que parec\u00eda estar relacionado al Equation Group, al igual que varios documentos de Word con marcas de clasificaci\u00f3n.<\/p>\n<p><strong>\u00bfQu\u00e9 puerta trasera era?<\/strong><\/p>\n<p>Era la Puerta trasera de Mokes, tambi\u00e9n conocida como \u201cSmoke Bot\u201d o \u201cSmoke Loader\u201d. Lo interesante de este malware es que estaba disponible para comprar en foros clandestinos en 2011. Cabe destacar que los servidores de comando y control de este malware estaban registrados a una supuesta entidad china bajo el nombre Zhou Lou durante el periodo de septiembre a noviembre del 2014.<\/p>\n<p><strong>\u00bfFue el \u00fanico malware que infect\u00f3 el PC en cuesti\u00f3n? <\/strong><\/p>\n<p>Es dif\u00edcil de saber: nuestro producto fue desactivado del sistema por un largo periodo de tiempo. Sin embargo, podemos decir que mientras nuestro producto estaba desactivado, se reportaron 121 alarmas en diferentes tipos de malware non-Equation: puertas traseras, exploits, Troyanos, y adware. Al parecer este PC se convirti\u00f3 en un objetivo bastante popular.<\/p>\n<p><strong>\u2013 \u00bfEl software busc\u00f3 intencionalmente este tipo de archivos, utilizando palabras clave como \u201ctop secret\u201d o \u201cclassified\u201d?<\/strong><\/p>\n<p>\u2013 No, no lo hizo. El archivo malicioso fue detectado autom\u00e1ticamente por nuestras tecnolog\u00edas de protecci\u00f3n proactivas.<\/p>\n<p><strong>\u2013 \u00bfCompartieron este archivo o archivos a terceros? <\/strong><\/p>\n<p>\u2013 No, no lo hicimos. Adem\u00e1s, eliminamos inmediatamente el archivo por orden del CEO.<\/p>\n<p><strong>\u00bfPor qu\u00e9 eliminaron los archivos?<\/strong><\/p>\n<p>Porque no necesitamos el c\u00f3digo fuente para mejorar nuestra protecci\u00f3n, mucho menos documentos Word clasificados. Los archivos recopilados (binarios) son m\u00e1s que suficiente para eso, y son los \u00fanicos que permanecen en nuestro almacenamiento de archivos.<\/p>\n<p><strong>\u2013 \u00bfEncontraron alguna evidencia de que su red corporativa estuviera comprometida? <\/strong><\/p>\n<p>\u2013 Aparte de Duqu 2.0, del cual informamos p\u00fablicamente despu\u00e9s del incidente, no, no encontramos ninguna evidencia.<\/p>\n<p><strong>\u2013 \u00bfEst\u00e1n dispuestos a compartir sus datos con terceros?<\/strong><\/p>\n<p>\u2013 S\u00ed, estamos preparados para proporcionar toda la informaci\u00f3n para auditor\u00edas independientes.\u00a0Mientras tanto, puedes encontrar m\u00e1s detalles t\u00e9cnicos en nuestro informe en <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/p>\n<h3><strong>Resultados completos<\/strong><\/h3>\n<p>En octubre del 2017, en Kaspersky Lab llevamos a cabo un examen exhaustivo de nuestros registros a causa de los supuestos incidentes de 2015 que aparecieron en las noticias. Est\u00e1bamos al tanto de un solo incidente, el cual ocurri\u00f3 en 2014 durante la investigaci\u00f3n de una APT, cuando nuestros subsistemas de detecci\u00f3n localizaron archivos que, al parecer, conten\u00edan el c\u00f3digo fuente del <i>malware<\/i> Equation. Decidimos comprobar si hab\u00eda incidentes similares y, adem\u00e1s, investigamos si se hab\u00eda dado alguna intrusi\u00f3n en nuestros sistemas, aparte de la de Duqu 2.0, que sucedi\u00f3 a la vez que el supuesto incidente de 2015.<\/p>\n<p>Hemos llevado a cabo una investigaci\u00f3n a fondo sobre el caso de 2014 y los resultados preliminares de la misma revelan lo siguiente:<\/p>\n<ul>\n<li>Durante la investigaci\u00f3n de la APT Equation (amenaza persistente avanzada por sus siglas en ingl\u00e9s), hemos observado infecciones en m\u00e1s de 40 pa\u00edses.<\/li>\n<li>Algunas de estas infecciones han sido en EE. UU.<\/li>\n<li>Como procedimiento de rutina, Kaspersky Lab ha estado informando a los \u00f3rganos gubernamentales pertinentes de EE. UU. sobre las infecciones APT activas en Estados Unidos.<\/li>\n<li>Una de las infecciones en EE. UU. consist\u00eda en lo que parec\u00eda ser una variante nueva y desconocida del <i>malware<\/i> empleado por el grupo Equation.<\/li>\n<li>El incidente en el que se detect\u00f3 el nuevo Equation lo detectaron nuestros productos dom\u00e9sticos, con KSN activo y la opci\u00f3n habilitada de enviar autom\u00e1ticamente muestras de <i>malware<\/i> nuevo y desconocidos.<\/li>\n<li>La primera vez que se detect\u00f3 el\u00a0<em>malware\u00a0<\/em>Equation fue el 11 de septiembre del 2014. Con la siguiente muestra:\n<ul>\n<li>44006165AABF2C39063A419BC73D790D<\/li>\n<li>dll<br>\nVerdict: HEUR:Trojan.Win32.GrayFish.gen<\/li>\n<\/ul>\n<\/li>\n<li>Tras estas detecciones, al parecer los usuarios descargaron e instalaron <i>software<\/i> pirata en sus dispositivos, como se indic\u00f3 en un generador de claves de activaci\u00f3n (conocidos como \u201ckeygen\u201d) para Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4, <a href=\"https:\/\/www.virustotal.com\/#\/file\/6bcd591540dce8e0cef7b2dc6a378a10d79f94c3217bca5f05db3c24c2036340\/detection\" target=\"_blank\" rel=\"noopener nofollow\">en VirusLink tienes la informaci\u00f3n al respecto<\/a>) que estaba infectado con <i>malware<\/i>. Los productos de Kaspersky Lab detectaron el <i>malware<\/i> con la denominaci\u00f3n Backdoor.Win32.Mokes.hvl.<\/li>\n<li>El malware fue detectado dentro de una carpeta llamada \u201cOffice-2013-PPVL-x64-en-US-Oct2013.iso\u201d. Esto implica el montaje de una imagen ISO en el sistema como una unidad\/carpeta virtual.<\/li>\n<li>Desde 2013, los productos de Kaspersky Lab detectan el Backdoor.Win32.Mokes.hvl (el falso\u00a0<em>keygen<\/em>).<\/li>\n<li>La primera vez que se detect\u00f3 este\u00a0<em>keygen<\/em> malicioso (falso) en este equipo fue el 4 de octubre del 2014.<\/li>\n<li>Para instalar y ejecutar este <i>keygen<\/i>, el usuario debe tener desactivados los productos de Kaspersky. Nuestra telemetr\u00eda no nos permite decir cu\u00e1ndo se hab\u00eda desactivado el antivirus, pero, como el <i>malware<\/i> del <i>keygen<\/i> se detect\u00f3 m\u00e1s tarde, creemos que el antivirus se hab\u00eda desactivado o no estaba en funcionamiento cuando se ejecut\u00f3 el <i>keygen<\/i>, pues si el antivirus hubiera estado activo, no se habr\u00eda podido ejecutar.<\/li>\n<li>Mientras el producto estuvo desactivado, el usuario estuvo infectado con este\u00a0<i>malware<\/i>durante un per\u00edodo de tiempo indeterminado. El\u00a0<i>malware<\/i>\u00a0<i>keygen<\/i>\u00a0era una puerta trasera que podr\u00eda haber permitido el acceso a terceros.<\/li>\n<li>M\u00e1s tarde, el usuario reactiv\u00f3 el antivirus y el antivirus detect\u00f3 (con el nombre \u201c<b>Backdoor.Win32.Mokes.hvl<\/b>\u201c) y bloque\u00f3 el <i>malware<\/i>.<\/li>\n<li>Durante dos meses, el producto instalado en el sistema en cuesti\u00f3n realiz\u00f3 alertas sobre 121 archivos que no eran el malware Equation: puertas traseras,\u00a0<em>exploits<\/em>, troyanos y\u00a0<em>adware<\/em>. La cantidad limitada de telemetr\u00eda nos permite confirmar que nuestros productos detectaron las amenazas; no obstante, es imposible determinar si se ejecutaron durante el per\u00edodo en que el producto se desactiv\u00f3. Kaspersky Lab contin\u00faa investigando las dem\u00e1s muestras maliciosas y los resultados se publicar\u00e1n en cuanto se complete el an\u00e1lisis.<\/li>\n<li>Tras infectarse con el <i>malware<\/i> <b> Backdoor.Win32.Mokes.hvl<\/b>, el usuario analiz\u00f3 el ordenador varias veces y se detectaron variantes nuevas y desconocidas del <i>malware<\/i> de la APT Equation.<\/li>\n<li>La \u00faltima detecci\u00f3n desde esta m\u00e1quina se produjo el 17 de noviembre de 2014.<\/li>\n<li>Uno de los archivos que detect\u00f3 el producto como una nueva variante del <i>malware<\/i> de la APT Equation era un archivo 7zip.<\/li>\n<li>El archivo fue detectado como malicioso y se envi\u00f3 a Kaspersky Lab para su an\u00e1lisis. Una vez all\u00ed, lo proces\u00f3 uno de los analistas y result\u00f3 que conten\u00eda diversas muestras de\u00a0<i>malware<\/i>\u00a0y c\u00f3digo fuente, al parecer, del\u00a0<i>malware<\/i>\u00a0Equation y cuatro documentos Word con marcas de clasificaci\u00f3n.<\/li>\n<li>Tras descubrir el sospechoso c\u00f3digo fuente del <i>malware<\/i> Equation, el analista inform\u00f3 al CEO, el cual orden\u00f3 la eliminaci\u00f3n del archivo de todos los sistemas. El archivo nunca se comparti\u00f3 con terceros.<\/li>\n<li>A causa de este incidente, se cre\u00f3 una nueva pol\u00edtica para todos los analistas de\u00a0<em>malware<\/em>: Ahora deben eliminar cualquier material que pueda ser clasificado que se haya recopilado de manera accidental durante la investigaci\u00f3n\u00a0<em>antimalware<\/em>.<\/li>\n<li>Hay dos razones por las que Kaspersky Lab borr\u00f3 dichos archivos y lo har\u00e1 de nuevo en el futuro: primero porque solo necesitamos el\u00a0<em>malware<\/em>\u00a0en binario para mejorar la protecci\u00f3n y, segundo, porque nos preocupamos por si recopilamos material potencialmente clasificado.<\/li>\n<li>En 2015 no se recibieron m\u00e1s detecciones de este usuario.<\/li>\n<li>Tras nuestro anuncio de Equation en febrero de 2015, otros usuarios con KSN activo aparecieron en el mismo rango de IP que la detecci\u00f3n original. Al parecer, se configur\u00f3 como <i>honeypot<\/i> (sistema trampa) y en cada ordenador se cargaron varias muestras relacionadas con Equation. No se detectaron muestras inusuales (no ejecutables) y los enviados de los sistemas trampa no se han procesado de ning\u00fan modo especial.<\/li>\n<li>La investigaci\u00f3n no ha revelado ning\u00fan otro incidente relacionado en 2015, 2016 o 2017.<\/li>\n<li>No se detect\u00f3 ninguna otra intrusi\u00f3n de terceros, aparte de Duqu 2.0, en las redes de Kaspersky Lab.<\/li>\n<li>La investigaci\u00f3n ha confirmado que Kaspersky Lab nunca ha creado ninguna regla de detecci\u00f3n en sus productos basados en las palabras clave \u201ctop secret\u201d y \u201cclassified\u201d.<\/li>\n<\/ul>\n<p>Creemos que todo esto es un an\u00e1lisis exacto del incidente de 2014. La investigaci\u00f3n a\u00fan est\u00e1 abierta y la empresa facilitar\u00e1 m\u00e1s informaci\u00f3n t\u00e9cnica cuando est\u00e9 disponible. Estamos planeando compartir toda la informaci\u00f3n sobre el incidente, incluidos los detalles t\u00e9cnicos, con un tercero de confianza como parte de nuestra <a href=\"https:\/\/www.kaspersky.es\/blog\/transparency-initiative\/14633\/\" target=\"_blank\" rel=\"noopener\">Iniciativa Global de Transparencia<\/a> para obtener una validaci\u00f3n cruzada.<\/p>\n<p><strong>El texto se actualiz\u00f3 el 27 de octubre de 2017 para incluir referencias temporales y luego el 16 de noviembre de 2017 para incluir nuevas conclusiones. Para acceder a los detalles t\u00e9cnicos,\u00a0<a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">consulta el informe de Securelist<\/a>.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En octubre del 2017, Kaspersky Lab puso en marcha una revisi\u00f3n de nuestros registros relacionados con los supuestos incidentes de 2015 descritos por la prensa.<\/p>\n","protected":false},"author":2706,"featured_media":11651,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[122,3170,2007,2005,1683,3172,3171,2377],"class_list":{"0":"post-11632","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-detectar","10":"tag-duqu","11":"tag-duqu-2-0","12":"tag-equation","13":"tag-generador-de-claves","14":"tag-keygens","15":"tag-puertas-traseras"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/internal-investigation-preliminary-results\/11632\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/internal-investigation-preliminary-results\/11668\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/internal-investigation-preliminary-results\/9727\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/internal-investigation-preliminary-results\/13084\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/internal-investigation-preliminary-results\/12003\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/internal-investigation-preliminary-results\/14660\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/internal-investigation-preliminary-results\/14381\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/internal-investigation-preliminary-results\/19108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/internal-investigation-preliminary-results\/4332\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/internal-investigation-preliminary-results\/19894\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/internal-investigation-preliminary-results\/9792\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/internal-investigation-preliminary-results\/8412\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/internal-investigation-preliminary-results\/8742\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/internal-investigation-preliminary-results\/18783\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/internal-investigation-preliminary-results\/18967\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/internal-investigation-preliminary-results\/18956\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/11632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=11632"}],"version-history":[{"count":7,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/11632\/revisions"}],"predecessor-version":[{"id":12079,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/11632\/revisions\/12079"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/11651"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=11632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=11632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=11632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}