El Comando Cibernético de los Estados Unidos (Comando Cibernético de los Estados Unidos)
anunció una iniciativa inusual. Promete cargar regularmente muestras de "malware desclasificado" a la base de datos de VirusTotal.
Es fácil adivinar que estamos hablando de las armas cibernéticas utilizadas por los servicios de inteligencia extranjeros en las operaciones actuales (las unidades de inteligencia cibernética operan en todos los países con servicios de inteligencia desarrollados, incluso en Rusia). En otras palabras, la inteligencia de EE. UU. Pondrá las herramientas del enemigo a la vista del público. Después de la aparición de VirusTotal en las bases de datos públicas, estas herramientas se incluirán en todas las bases de datos antivirus y, en esencia, serán ineficaces.
“Esto es similar a un ejemplo de una nueva estrategia de Estados Unidos destinada a perseguir activamente a actores estatales extranjeros. Al publicar malware, Estados Unidos los obliga a buscar y explotar constantemente nuevas vulnerabilidades ”,
comentó el famoso especialista en seguridad y criptógrafo Bruce Schneier.
El Comando Cibernético de EE. UU. Actuará de la manera más pública posible, informando ampliamente al público sobre el malware de los oponentes. Se ha abierto una nueva cuenta de Twitter
USCYBERCOM Malware Alert específicamente para mensajes sobre nuevas muestras de malware que se han enviado a la base de datos de VirusTotal.
Hasta la fecha, se han enviado dos muestras allí.
Por supuesto, los servicios especiales desclasifican las herramientas del enemigo solo después de que ya no están interesados en mantener su secreto, es decir, después de las medidas de contrainteligencia apropiadas y la recopilación de información sobre actores extranjeros, sus objetivos, métodos de trabajo, etc. Después de eso, las herramientas extrañas se desclasifican y se fusionan en la base de datos VirusTotal.
Las primeras imágenes de tales programas fueron publicadas por la Fuerza de Misión Nacional Cibernética (CNMF), que está subordinada al Comando Cibernético de los EE. UU. Es interesante que la apertura de una cuenta de Twitter y la publicación de muestras no fue acompañada por el anuncio habitual de una nueva iniciativa para las instituciones estatales,
la publicación ThreatPost, que se especializa en seguridad de la información,
señala . Esto se hizo sin previo aviso.
"Reconociendo el valor de colaborar con el sector público, el CNMF ha iniciado esfuerzos para compartir muestras de malware desclasificadas, que creemos que tendrán el mayor impacto en la mejora de la ciberseguridad global", dijo un breve
comunicado de CNMF.
Las dos primeras muestras desclasificadas son los
archivos rpcnetp.dll y
rpcnetp.exe . Estos cuentagotas también se utilizan para la puerta trasera del grupo de hackers
Computrace APT28 / Fancy Bear , que está asociado con la ejecución de órdenes para la Federación Rusa.
“El par específico de muestras, Computrace / LoJack / Lojax, es en realidad una versión troyanizada del software legal LoJack de una compañía que solía llamarse Computrace (ahora llamada Absolute). La versión troyana del software LoJack legítimo se llama LoJax o DoubleAgent ”, dijo un portavoz de la agencia de inteligencia de Estados Unidos.
La publicación de tales muestras es un paso audaz para el Ministerio de Defensa, que ha mantenido su actividad cibernética y su conocimiento en secreto durante mucho tiempo,
comentó un experto independiente, director de ciberseguridad en Carbon Black: “Este es un gran paso adelante para la comunidad de ciberseguridad. Permite a la comunidad de ciberseguridad movilizarse y responder a las amenazas en tiempo real, lo que ayuda al gobierno a proteger y garantizar la seguridad del ciberespacio estadounidense ”.
John Hultqvist, director de análisis de inteligencia de FireEye, señaló que el malware se detectó "en el vacío", sin mencionar las operaciones específicas de inteligencia del enemigo o las operaciones de contrainteligencia: "Sin duda, estas revelaciones continuarán teniendo una estrategia, porque la divulgación siempre tiene consecuencias para operaciones de inteligencia, pero su simplicidad puede permitir acciones más simples y rápidas con las que el gobierno ha luchado históricamente ”, dijo Hultqvist. Aunque en realidad la falta de contexto puede reducir la efectividad de las medidas de protección, porque para construir una defensa confiable es necesario comprender claramente cómo y para qué el enemigo usó estas herramientas.