La investigación de un hackeo patrocinado por un estado suele ser compleja: implica el rastreo dificultoso de muestras de un código malicioso, registros de redes, conexiones a servidores remotos con muchos callejones sin salida y pistas falsas que hacen perder tiempo. Siempre es más fácil si los autores comparten en línea los pasos de sus acciones pero, ¿qué espía cometería ese error?
Según IBM, lo hizo el grupo de hackers vinculados a Irán que en el mundo se conoce como Charming Kitten (gatito encantador), y que el equipo de seguridad informática de la empresa, X-Force, identifica como ITG18 y otros expertos informáticos denominan APT 35.
“Rara vez se da la oportunidad de entender cómo se comporta el operador detrás del teclado, y aún más raro es que haya grabaciones que el operador haya producido para mostrar sus operaciones”, escribió Allison Wikoff en el blog de IBM. “Pero eso es exactamente lo que el grupo IRIS de X-Force descubrió”. Se trata de una circunstancia inesperada, la posibilidad única de “observar en bambalinas sus métodos, y potencialmente, su trabajo de campo para una operación más amplia, que probablemente esté en marcha”.
Charming Kitten “uno de los grupos de espionaje más activos entre los patrocinados por un estado”, según Wired, registró horas de video, aparentemente tomado en directo de las pantallas de los hackers mientras trabajaban, de una operación para robar datos de correos electrónicos de, entre otros, personal militar de los Estados Unidos y de Grecia.
X-Force encontró, entre unos 40 gigabites de información robada, unas cinco horas de videos. “Otros indicios en los datos sugieren que los hackers intentaron atacar blancos como el personal del Departamento de Estado y a un filántropo iraní-estadounidense sin identificación”, escribió Andy Greenberg, especialista de seguridad de la publicación. Parte de la confirmación de que se trataba de una operación con base en Irán fue la visibilidad de números de teléfono con el código “+98?, que corresponde a ese país.
Accidentalmente, por una mala configuración, Charming Kitten dejó expuesto uno de sus servidores en la nube virtual privada (VPC) durante tres días. Allí los investigadores de IBM analizaron, entre otros materiales, “videos de entrenamiento registrados por los miembros del grupo”, explicó Security Week. Los registros mostraban a quienes les estuvieran destinados “cómo extraer datos de varias cuentas en línea, incluyendo contactos, imágenes y archivos de los servicios de almacenamiento en la nube asociados”.
Básicamente, resumió Forbes, la gran filtración mostró de qué manera los espías iraníes “husmean en la vida online de los funcionarios estadounidenses mediante el hackeo de sus cuentas de Google”, y también de Yahoo. Estos mismos ciber criminales, activos desde 2011 por lo menos, estuvieron antes interesados en el personal de la campaña del presidente de los Estados Unidos, Donald Trump; la Organización Mundial de la Salud (OMS), reguladores de energía nuclear, funcionarios de distintos estados, periodistas y activistas políticos. En 2019 Microsoft recuperó 99 dominios en los que Charming Kitten se hacía pasar por esa y otras compañías, recordó Eduard Kovacs en Security Week.
Wikoff, analista principal de ciber amenazas de IBM, detalló que “al obtener acceso a sus cuentas de Google, los hackers podían obtener una plétora de información sobre los individuos que eran sus objetivos”, entre ellos su login a Chrome, la geolocalización y su foto personal. “Esto podría ayudar a que Irán trazara un mapa de las bases militares, o incluso obtuviera información sobre operaciones gubernamentales sensibles, si el objetivo ha sido poco estricto con su seguridad operativa”, interpretó Forbes. “O se podría usar en futuros ataques, más personalizados, al mismo oficial”.
Greenberg desentrañó: “Este tipo de exfiltración de datos y gestión de cuentas pirateadas no es un hackeo sofisticado. Es más bien el tipo de trabajo intensivo pero relativamente simple que hace falta en una operación de phishing a gran escala. Sin embargo, los videos son algo raro y muestran una visión de primera mano del ciber espionaje patrocinado por el estado, que casi nunca se ve fuera de una agencia de inteligencia”. Wikoff coincidió: “Cuando hablamos de observar una acción en el momento, suele ser a partir de la activación de respuestas a incidentes o de herramientas de vigilancia. Muy rara vez vemos de verdad al adversario en su propia pantalla”.
Los archivos de video que descubrió X-Force eran grabaciones de los escritorios de las computadoras “realizada empleando una herramienta llamada Bandicam” y duraban “entre dos minutos y dos horas”, siguió el artículo de Wikoff. “La fecha impresa de los archivos indicaban que habían sido grabados aproximadamente un día antes de ser subidos al servidor” operado por los hackers. Eso sucedió en el mes de mayo de 2020.
IBM le mostró dos videos a Wired a condición de que la revista de cultura tecnológica no los reprodujera. Greenberg los describió como una demostración del procedimiento para extraer datos de una cuenta hackeada.
En uno se observa de qué manera el hacker ingresa a una cuenta de Gmail comprometida, una cuenta falsa, a los efectos de hacer la demostración. Primero emplea las credenciales tomadas de un texto y las vincula al software de correspondencia Zimbra, que puede manejar varias cuentas desde una sola interfaz. Entonces emplea las herramientas de Zimbra para “descargar toda la bandeja de entrada de la cuenta en la máquina del hacker”, describió el texto. Luego el hacker borra rápidamente el alerta en el Gmail de la víctima, que le advertiría que sus credenciales han sido cambiadas. “A continuación el hacker descarga los contactos y las fotos de las cuenta de Google de la víctima también. Un segundo video muestra un procedimiento similar en una cuenta de Yahoo”.
Para Wikoff, el elemento más revelador de los videos fue la velocidad que los hackers demostraron al robar los datos de las cuentas en tiempo real: demoraron unos cuatro minutos para la cuenta de Google y unos tres para la de Yahoo. Si bien eso llevaría mucho más tiempo en una cuenta real, con decenas o cientos de gigabites de información, los clips muestran la preparación de un proceso de descarga de datos a toda velocidad y sugieren una práctica a escala masiva de esa clase de robo personal. ”Ver hasta qué punto son hábiles para ingresar y salir de todas estas diferentes cuentas de correo web y configurarlas para robarlas, es simplemente asombroso”, dijo Wikoff a Greenberg. “Se trata de una máquina bien aceitada”.
En algunos tramos de los videos se veía que las mismas cuentas falsas, abiertas para entrenar a los hackers junior, también se usaban para enviar correos electrónicos de phishing, ya que en la bandeja de entrada aparecían los registros de muchos que habían sido rechazados.
“En otros videos que los investigadores de IBM se negaron a mostrar a Wired, los investigadores dijeron que los hackers parecían revisar y robar datos de las cuentas de víctimas reales en lugar de las falsas creadas para capacitación. Una víctima era miembro de la marina de los Estados Unidos y otra un veterano de dos décadas de la marina de Grecia”, escribió Greenberg. Los hackers parecen haber obtenido ilegalmente “fotos, correos electrónicos, documentos de impuestos y otra información personal de los dos individuos atacados”.
X-Force notó también que los hackers no habían podido superar el escollo del segundo factor de identificación: cuando una cuenta presentaba esa forma adicional de seguridad, simplemente la abandonaban y pasaban a la siguiente.
El arco de intereses de Charming Kitten resultó amplio, agregó Wikoff. En algunos tramos se veía cómo los hackers trabajaban en un largo documento lleno de nombres de usuario y de claves de todo tipo de cuentas, desde telefónicas hasta bancarias, y en otros se ocupaban del pedido de pizza para envío domiciliario o el streaming de música.
Wired recordó que en ocasiones pasadas distingos hackers han dejado olvidados en servidores, y por eso accesibles, herramientas o documentos reveladores de sus actividades. Pero Emily Crose, ex funcionaria de la Agencia Nacional de Seguridad (NSA) de los Estados Unidos, que actualmente es investigadora de la firma de seguridad Dragos, subrayó que no conoce ningún antecedente como este: que dejó expuestos videos reales de las operaciones de hackers patrocinados por un estado. “Es una rara victoria”, dijo. “Es como jugar al poker y que tus oponentes muestren toda su mano en la mesa”. En su opinión, esto podría obligar a los hackers iraníes a cambiar algunas de sus tácticas.
Wikoff, en cambio, ponderó que si la pérdida de 99 dominios, el golpe que Microsoft asestó a Charming Kitten, no logró eso, difícilmente esa difusión de clips lo consiga. Lo bueno ya sucedió, estimó: los errores del operador permitieron que X-Force obtuviera conocimientos valiosos sobre la forma en que el grupo desarrolla sus acciones y capacita a sus espías. Pero estos hackers “han demostrado persistencia en sus operaciones y han creado constantemente una nueva infraestructura, a pesar de múltiples divulgaciones públicas y extensos informes sobre su actividad”.