Europa, espionaje en el ciberespacio

ciberataques

BRUSELAS (apro).- Espías informáticos llevan a cabo desde hace casi seis años una campaña a gran escala de infiltración dirigida contra objetivos diplomáticos, gubernamentales, militares y científicos en Europa, Estados Unidos, Rusia, Israel, Irán y Australia, entre otros, reveló el pasado 14 de enero un reporte de la firma rusa de seguridad en Internet Kaspersky Lab.

(Artículo publicado el 25 de enero de 2013 en la sección Prisma Internacional de la Agencia PROCESO)

En Europa fueron infiltrados sistemas de comunicación en embajadas y gobiernos en España, Portugal, Francia, Alemania, Finlandia, Austria, Bélgica –sede de las instituciones de la Unión Europea (UE) y de la Organización del Tratado del Atlántico Norte (OTAN)–, Bulgaria, República Checa, Chipre, Grecia, Irlanda, Italia, Lituania, Luxemburgo, Eslovaquia y Letonia.

La UE fue víctima de un ciberataque ampliamente conocido el año pasado.

El 30 de julio de 2012 se hizo público que un grupo de hackers – conocidos con los nombres de Comment y Bizantine Candor—penetraron en las cuentas de correo electrónico del presidente del Consejo de la UE, Herman Van Rompuy, así como de cuatro colaboradores suyos.

Los hackers entraron a la red interna del Consejo el 8, 11, 13 y 18 de julio de 2012, siempre a las 9 de la mañana hora de Bélgica, y consiguieron acceder a los mensajes de 17 cuentas de correo y a sus archivos adjuntos.

El ataque incluyó las cuentas de otros altos funcionarios: Giles de Kerchove, el zar antiterrorista de la UE; Leonardo Schiavio, director general para Asuntos Exteriores y Ayuda Humanitaria; Boguslaw Majewski, jefe de la unidad para Asia y Oceanía; Massimo Parnisari, jefe de la unidad para la Organización Mundial de Comercio y Políticas Comerciales; Alda Silveira Reis, secretaria adjunta de la Dirección para los Países de África, Caribe y el Pacífico, y Jan Van Elst, jefe de la Unidad sobre Desarrollo.

Esa ocasión, investigadores estadunidenses culparon de la infiltración a hackers “vinculados con el gobierno chino”.

También a finales de 2012, el grupo de ciberactivistas Anonymous accedió y publicó las cuentas de e-mail, los password y los datos bancarios de varios administradores y personal de las instituciones de la UE.

Piratas cibernéticos

En octubre pasado el Equipo de Investigación y Análisis Global de Kaspersky Lab inició una investigación que bautizó como “Octubre Rojo”, en referencia a la novela La caza del Octubre Rojo del escritor Tom Clancy.

La firma asegura que decidió analizar el caso después de que un “socio” anónimo los puso al tanto de la situación, aunque en su reporte –al que tuvo acceso Apro– agradece a funcionarios encargados de la seguridad cibernética de Estados Unidos, Rumania y Bielorrusia.

Los detectives informáticos de Kaspersky expresan una “fuerte creencia” en que los autores de los ataques son hackers con origen lingüístico ruso y chino, idiomas que aparecieron en los programas de infiltración. Y añaden: los hackers y los componentes con los que ejecutaron estos ataques eran desconocidos hasta hace poco y no están relacionados con otros ciberataques.

Sin embargo, aclaran que actualmente no tienen evidencia que vincule los ataques al apoyo de un Estado-nación. “La información robada por los atacantes, señala el reporte, es del más alto nivel e incluye datos de importancia geopolítica que pueden ser explotados por los Estados-nación. Tal información podría ser comercializada en la clandestinidad y vendida al mejor postor, que puede estar en cualquier parte”.

Kaspersky registró 300 ataques en 2011 y 2012 analizando tan sólo una técnica de infiltración empleada en la campaña bajo escrutinio, por lo que reconoce que el número real es mucho mayor. Los más afectados fueron Rusia (con 35), Kazajistán (21), Azerbaiyán, Bélgica e India (15 cada uno), Afganistán y Armenia (10 cada uno). El último “ataque masivo” registrado fue el pasado 12 de enero.

En su reporte, la compañía manifiesta que el objetivo de los hackers es hacer acopio de información de inteligencia que circula en las organizaciones afectadas a través de la intrusión no sólo de computadoras y laptops, sino también de teléfonos móviles personales iPhone, Nokia o Windows Mobile, a los que robaron listas de contactos, historiales de llamadas y mensajes de texto. También intervinieron en las redes de comunicación corporativa que fabrica Cisco y las memorias portátiles o llaves USB.

El informe detalla que los espías hurgaron en archivos con las extensiones “acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa”, las cuales, explica, “parecen referirse a los programas clasificados de ‘Acid Cryptofiler” que utilizan varias instituciones de la Unión Europea y la OTAN desde mediados de 2011. Este programa empaqueta, encripta y sólo así envía la información a un servidor para su distribución.

“La evidencia más reciente indica que la campaña de ciberespionaje arrancó desde 2007 y continúa activa al momento de escribir este reporte en enero de 2013”, advierte Kaspersky. Halló que la información de registro que se usó para comprar varios de los servidores de Comando y Control utilizados para controlar a distancia grupos de computadoras; así como el programa o software maligno de ficheros (conocido como malware y que sirve para infiltrar o dañar un sistema clandestinamente), los cuales sirvieron para efectuar los actuales ataques, indican una actividad anterior a mayo de 2007.

Objetivos estratégicos

El modo de operar de los espías informáticos quedó expuesto luego de un meticuloso rastreo en el sistema nervioso de Internet.

Lo primero que remarcan los expertos rusos es lo avanzado de la red de ciberespionaje. Señalan que los espías eran capaces de reutilizar la información recogida de una computadora infectada en posteriores ataques. Por ejemplo, los datos de las credenciales robadas, que compilaban en listados, servían para llenar códigos secretos en otras locaciones.

Los hackers crearon en distintos países, principalmente en Alemania, Rusia y Austria, más de 60 dominios (secuencias de identificación de acceso a Internet) y varios servidores de alojamiento, para desde ahí controlar la red de dispositivos infiltrados.

Entre el 2 de noviembre y el 5 de diciembre, la firma de investigación registró a su nombre seis de esos dominios, que ya habían expirado, para observar qué víctimas caían ahí. El tráfico: 55 mil conexiones, la mayor parte de Suiza, Kazajistán y Grecia.

Específicamente pudieron reconocer algunas víctimas: embajadas en 48 países; sistemas militares en Francia, Rusia, Ucrania y Afganistán, así como los gobiernos de España, Turkmenistán, Moldavia, Kazajistán, Irak, Chipre, Brunei, Bielorrusia, Armenia y Afganistán.

Además de un instituto de investigación gubernamental en Kazajistán y dos en Rusia; la Comisión de Comercio Exterior en Japón, embajadas en Irán y Rusia, así como entidades petroleras en Azerbaiyán, Bielorrusia, Turkmenistán y Emiratos Árabes Unidos.

La “infraestructura de comando y control” construida por los ciberespías es una “cadena de servidores” (los dispositivos que dan acceso a Internet) que funcionan como “proxies”, es decir unidades “intermediarias” que abren el acceso a otras redes de Internet y que, por lo tanto, ocultan la localización del servidor “nodriza” de control.

En su análisis Kaspersky Lab constató que los autores de los ataques crearon un “paquete multifuncional” capaz de “extender rápidamente los recursos para recolectar información de inteligencia”.

Y eso no es todo: también es “resistente a los intentos por recuperar el comando y control de los servidores” perjudicados, pues permite a los atacantes “recobrar el acceso a las máquinas infectadas valiéndose de canales alternativos de comunicación”, que incluso pueden expoliar datos ya borrados por el usuario.

En la ruta de infiltración, refiere el reporte, se usaron códigos de explotación de vulnerabilidades en Microsoft Word, Microsoft Excel y probablemente en formato PDF, los cuales fueron transmitidos vía archivos adjuntos (attachment) en correos electrónicos.

Los ataques con códigos Excel comenzaron en 2010 y con Word a mediados del año pasado.

Estos códigos fueron creados por otros hackers y empleados en ataques de proveniencia china. Los ciberespías dejaron “intocable” ese código de explotación “importado”, quizá, dice el reporte, para dificultar la identificación del procedimiento.