Investigadores rusos han detectado un ciberataque que podría haber estado robando documentos confidenciales encriptados desde 2007 de instituciones gubernamentales como embajadas y de centros de investigación nuclear y compañías estatales de gas y petróleo, según ha informado la cadena de televisión pública británica BBC.

El ciberataque se basa en un malware diseñado para robar documentos encriptados y permite incluso sustraer documentos que han sido previamente borrados de los archivos informáticos. El profesor de la Universidad británica de Surrey Alan Woodward ha asegurado que se trata de un ciberataque "muy importante". "Parece estar intentando extraer todas las cosas habituales: documentos de Word, PDF... Todas las cosas que se puede esperar", ha indicado. "Aunque hay un par de extensiones de archivo que son específicas de documentos encriptados", ha añadido.

En un comunicado, la empresa especializada en antivirus informáticos Kaspersky Labs ha explicado que este ciberataque tenía como objetivo "países de Europa del Este, antiguas repúblicas soviéticas y países de Asia Central" aunque las víctimas "pueden encontrarse en todas partes", "incluídas Europa Occidental y América del Norte". "El objetivo principal de los atacantes ha sido reunir documentos sensibles de organizaciones importantes, en temas como Inteligencia geopolítica, credenciales para acceder a sistemas informáticos clasificados y datos de teléfonos móviles y equipos informáticos", ha indicado Kaspersky.

En una entrevista concedida a la BBC, el responsable de investigación de malware de Kaspersky, Vitali Kamluk, ha explicado que las víctimas de este ciberataque han sido cuidadosamente seleccionadas. "Fue detectado en octubre del año pasado", ha señalado. "Nosotros iniciamos nuestras evaluaciones y rápidamente entendimos que era una campaña de ciberataques masiva", ha asegurado. Kamluk ha hecho hincapié en que los objetivos del ciberataque "parecen estar relacionados con organizaciones de perfil elevado". El ciberataque ha sido bautizado como 'Octubre Rojo' y tiene similitudes con 'Flame', otro malware descubierto en 2012.

La OTAN y la UE, en el punto de mira

Al igual que 'Like', 'Octubre Rojo' funciona por medio de varios módulos y cada uno de ellos tiene una función y un objetivo distinto. Operativo desde 2007, los creadores de este ataque cibernético han registrado más de 60 dominios para llevar a cabo su acción, en su mayoría desde Alemania y Rusia. El objetivo del ataque es robar documentos encriptados con el sistema 'Cryptofiler', utilizado por la OTAN y la Unión Europea para sus comunicaciones más sensibles.

La mayoría de las infecciones causadas por este ataque proceden de Suiza, Kazajistán y Grecia, entre otros país. Las personas que sufrían en sus sistemas informáticos este ataque cibernético lo recibían en forma de correspondencia con información de inteligencia sobre una determinada persona. A diferencia de otros ciberataques, como el famoso 'Stuxnet', que afectó a la industria nuclear iraní, 'OctubreRojo' no ha causado ningún daño físico en infraestructuras.
Kamluk ha asegurado que este ciberataque tiene un módulo específico para "recuperar archivos borrados procedentes de lápices de memoria USB". "Si está espiando cuando un lápiz USB está conectado, intentará que no se borren los documentos del USB. No había visto nunca antes nada como esto en malware", ha explicado. Además, 'Octubre Rojo' tiene la capacidad de ocultarse cuando es descubierto para aparentar que ya ha sido borrado. "Si es descubierto, se esconde", ha dicho el investigador principal de malware de Kaspersky Labs. "Cuando todo el mundo piensa que ya ha sido borrado, envías un correo electrónico y vuelve a activarse", ha advertido.