Software

Código de la NSA aparece en el malware Regin

Un estudio de Kaspersky demuestra que el keylogger QWERTY, creado por la NSA, comparte varios códigos con el malware Regin.

Si bien son de público conocimiento los rumores de que la NSA habría creado distintos malwares con fines de espionaje político, hoy poseemos la confirmación misma del hecho, provista por la gente de Kaspersky, quienes publicaron hoy un estudio en el que analizaron el código fuente del keylogger QWERTY, usado por la agencia para espiar a algunos gobiernos. La sorpresa fue grande al llegar a la conclusión de que los caracteres usados ahí correspondían en gran parte al malware Regin, por lo que la conclusión era bastante obvia: ellos crearon también el software malicioso.

Antes de pasar a detalles más técnicos, es necesario precisar un par de cosas:

Regin es un malware que estuvo operando en Internet desde 2008 y recién fue descubierto en noviembre de 2014. El virus fue revelado por Edward Snowden, quien contó al mundo que gracias a esta infección, la agencia norteamericana espiaba a algunos gobiernos de la Unión Europea.

QWERTY, por otro lado, es un keylogger desarrollado por la NSA que funciona como plugin del marco de malware conocido como WARRIORPRIDE, el cual sirve como plataforma para Regin, con lo que permite el espionaje informático en Windows.

El diario alemán Der Spiegel publicó hace 10 días un PDF con el código de QWERTY, archivo que Kaspersky analizó y encontró varias similitudes con el código ocupado en Regin.

Dichas codificaciones también se repiten a nivel de los drivers del teclado del computador infectado, con el fin de “memorizar” contraseñas, textos, correos electrónicos y todo lo que requiera accionar del panel QWERTY, de ahí el nombre en código del keylogger.

Por último, también se incluye un código que demuestra que el keylogger, como dijimos al comienzo, sólo puede funcionar bajo el sistema de Regin, al compartir el plugin 50255 junto con el malware.

 

El análisis de Kaspersky concluye que

El keylogger QWERTY no funciona como un módulo independiente, sino que confía en las funciones de enganche de kernel provistas por el módulo 50225 de Regin.

Lo anterior, más la complejidad de estas operaciones, da para deducir que los desarrolladores de Regin son los mismos que desarrollaron QWERTY, o bien, trabajan en conjunto a la NSA, que creó el keylogger.

Tags

Lo Último


Te recomendamos