Como si fuera una historia basada en una guerra fría moderna, la del Octubre Rojo es una de esas que tienes que conocer para comprender que la información secreta que manejan los Estados son de una importancia vital. Puesto en ejecución en 2007, esta botnet ha estado activa durante más de 5 años y ha recopilado información sensible de embajadas, instalaciones militares, centros de investigación y más aprovechando agujeros en diferente software y dispositivos. El ataque cibernético del momento tiene a medio mundo de la seguridad y de la defensa con el corazón en la boca, y no es para menos, porque de seguro se ha robado varios grandes secretos.
Los investigadores de Kaspersky Labs han publicado información sobre una nueva botnet que han descubierto recientemente. Agarrados de los pelos y con los mentones por el piso del asombro, los investigadores dicen que esta botnet deja pequeña a cualquier otra operación de ciber-espionaje que haya sido descubierta anteriormente. No sólo es potente por su inmenso tamaño, lo es también por su considerable alcance y complejidad de desarrollo y operación. La nueva red es formalmente llamada Octubre Rojo y a través de su difusión masiva ha llegado ya a todas partes del mundo, especialmente a Estados Unidos, donde tiene un grado de penetración que ha puesto en alerta al gobierno y al departamento de defensa mismo. Con intrusiones documentadas desde 2007 a instalaciones militares, centrales nucleares, embajadas y centros de investigación, el Octubre Rojo pone en peligro buena parte de los secretos de estado de cada nación.
Cinco años de acción y sin que nadie se enterase es algo que pone piel de gallina al situarnos en zapatos de quienes dirigen las agencias de seguridad y defensa, pues según Kaspersky, los agentes informáticos del Octubre Rojo han estado pululando las profundidades de los sistemas afectados recopilando información vital gracias a un malware llamado Rorca escrito en algún momento del 2006/7 y que ha sido modificado por los propios iniciadores de cada ataque. A nivel estructura, Rorca contiene una arquitectura modular única que está compuesta por extensiones o módulos que son quienes ejecutan las acciones para robar información.
En concreto, el exploit del Octubre Rojo se conoce como CVE- 2011-3544, que está presente en Java 7 y 6 (update 27) y activa la opción de “permitir aplicaciones Java Web Start y Java applets remotos no confiables que pueden afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos relacionados a Scripting”. El sistema es capaz de robar datos de los ordenadores, iPhones, dispositivos de Nokia (posiblemente usando Symbian) y Windows Mobile. Se aprovecha de agujeros de routers Cisco, Microsoft Word y Excel con JAVA.
Según Kaspersky, “El objetivo principal de esta campaña se dirige a los países de Europa del Este, las Repúblicas de la ex URSS y los países de Asia Central, aunque las víctimas se encuentran en todas partes de Europa Occidental y América del Norte“. Mientras lees esto, los ataques cibernéticos continúan porque esta botnet es bastante potente y está extendida a través de más de 60 dominios registrados y otros tantos lugares de alojamiento de archivos en diferentes partes del mundo. Es gracias a este seguimiento de la información robada que los investigadores dieron con los centros de comando y control a donde se envían los archivos. Pero como la operación hace que todo el contenido esté diluido, iniciar acciones específicas en un servidor determinado es muy complejo.Con vistas a cerrarse en los próximos meses si las operaciones de seguimiento dan en el clave, luego habrá que ponerse a mensurar cuánta información robó y qué tipo de daño puede hacer con ella.