Hacking Team, Chile y Ecuador.

Hace pocos días la red fue testigo de un nuevo caso de filtraciones. Esta vez fue el turno de la mal afamada empresa italiana Hacking Team (HT), cuyos cerca de 400 Gb de información interna han dejado al descubierto el millonario y poco ético negocio que posee con una multitud de gobiernos alrededor del mundo, entre los que se encuentran varios de Latinoamérica. El propósito de este documento es presentar una breve explicación sobre el funcionamiento del software Remote Control System "Galileo", principal producto de HT, además de un pequeño análisis sobre los correos filtrados que relacionan a HT con los gobiernos de Chile y Ecuador.




Módulo de Inteligencia Remote Control System (fuentes: First Look, Citizen Lab)

Índice


Remote Control System

¿Qué es Remote Control System "Galileo" y qué es lo que hace? Gracias a la información filtrada se ha podido acceder no sólo a gran parte de la comunicación que HT mantenía con sus clientes, sino también a un sinfín de material técnico sobre el funcionamiento y capacidades del Remote Control System. Del manual de SysAdmin se obtiene la siguiente definición:

"RCS (Remote Control System) es una solución que soporta investigaciones por medio de la intercepción activa y pasiva de los datos y la información de los dispositivos bajo investigación. De hecho, RCS crea, configura e instala agentes de software de forma anónima que recopilan datos e información y envían los resultados a la base de datos central para decodificarlos y guardarlos."

Es decir, RCS presenta una solución de software diseñada para realizar espionaje informático. Ni más, ni menos.

Para entender cómo funciona RCS es necesario tener en cuenta los siguientes conceptos:

Con esto se puede tener una visión general de la arquitectura de RCS (notar que se han omitido varios detalles internos del funciomiento de RCS, como el nodo maestro, shards, etc.):



Se pueden apreciar tres partes fundamentales:

  1. Red interna de RCS: Manejada por el Organismo. Posee un único punto de acceso público (i.e. alcanzable desde Internet) llamado Collector. Este último se encarga de enviar toda la información recolectada al resto de la red interna de RCS para ser procesada y almacenada. Una vez dentro, esta información es accesada y analizada por los operadores del Organismo.

  2. Anonymizers: Servidores distribuidos geográficamente alrededor del globo (en este caso, A, B y C). Su principal función es mantener la comunicación entre los softwares espía y la red interna de RCS de manera anónima, creando una cadena de servidores que transportan la información recolectada desde las víctimas hasta el Collector secuencialmente.

  3. Softwares espía: Distribuidos a través de la red (en este caso, V1, V2, V3, V4). Recopilan y envían la información de cada dispositivo a la cadena de Anonymizers.
Así, por ejemplo, si el software espía instalado en el dispositivo V4 quisiera enviar información de su víctima al organismo de inteligencia, el flujo de comunicación sería el siguiente: V4 -> A -> B -> A -> Collector -> Red interna RCS. Una vez allí, la información puede ser consultada por los operadores. Para mayor información sobre la arquitectura de RCS se recomienda leer el manual RCS SysAdmin.

Hasta ahora todo bien. ¿Pero qué información es recolectada? Una vez que un software espía ha sido instalado en el dispositivo de una víctima es posible recolectar la siguiente información: llamadas, mensajes, ficheros y fotos, capturas de pantalla, posición, contactos y calendario, sitios web visitados, teclas presionadas, clicks de mouse y contraseñas de sistema, cámara, etc. Los software espía que realizan esta tarea son generados internamente a través de RCS, dependiendo del dispositivo, sistema operativo y método de instalación que se desee utilizar.

Uno de los servicios más controversiales que HT ofrece a sus clientes es la disponibilidad de diversos métodos para lograr instalar el software espía en los dispositivos de cada víctima, incluyendo códigos maliciosos secretos (zero-day) que permiten vulnerar una gran cantidad de dispositivos y/o sistemas operativos. Los métodos ofrecidos por HT son varios: exploits, paquete de instalación, instalación local, aplicación mezclada, inyección por red, instalación offline, instalación persistente, código QR/enlace web, instalador silencioso, instalación U3, Wap Push Message. Cada uno de estos métodos es efectivo contra ciertos dispositivos y sistemas operativos, dependiendo del contexto y las características de los mismos. Por ejemplo, una vez que un operador tiene certeza del dispositivo que desea atacar, una de las tantas opciones que tiene es crear un ticket en el sistema de soporte de HT, especificando el tipo de software espía que quiere instalar y de qué manera (método). Un ingenierio de HT se encargará de vincular el software espía a dicho método y le entregará los archivos/enlace al operador (organismo), quien deberá engañar a su víctima para que abra dicho archivo/enlace (o si tiene acceso físico, hacerlo él mismo) y concretar así la instalación del software espía en el dispositivo. Generalmente, el archivo/enlace provisto por HT es de ejecución única, es decir, una vez utilizado no volverá a funcionar otra vez. A continuación se describen algunos casos de ejemplo que involucran distintos dispositivos y métodos:

Caso 1: El operador genera a través de RCS un software espía, y en el sistema de soporte solicita la generación de una URL maliciosa que instale dicho software sin que la víctima se de cuenta, y que luego la redireccione a una URL válida. Un ingeniero de HT se encarga de generar lo solicitado y responde al operador con la URL maliciosa, la cual debe ser enviada por el operador a la víctima (vía email, SMS, etc.). Como se mencionó anteriormente, esta URL funciona una sola vez, así que no debe ser abierta ni por el operador ni por nadie más. Una vez que la vícitma abre dicha URL en su explorador, se procede automáticamente a instalar el software espía en el dispositivo y se redirecciona a la URL válida especificada por el operador. Si todo resulta con éxito, el operador verá la información de la víctima a través de RCS, pudiendo realizar diversas operaciones, como captura de pantalla, transferencia de archivos, ejecución de comandos, activación de cámara, etc. Este método funciona tanto en equipos de escritorio como teléfonos móviles.

Caso 2: El operador genera a través de RCS un software espía, y en el sistema de soporta solicita que éste sea escondido dentro de un archivo .docx/.pptx. Un ingeniero de HT se encarga de llevar a cabo lo solicitado y responde al operador con el archivo .docx/.pptx infectado. Dicho archivo debe ser enviado por el operador a la víctima, y una vez que lo abra el software espía será instalado de manera automática en su dispostivo. Al igual que en el caso anterior, el operador podrá visualizar la información de la vícitma a través de RCS en caso de éxito.

Caso 3: El operador hace uso de un TNI (Tactical Network Injector), un laptop con un sistema operativo y software "propios" provisto por HT, cuya principal función es interceptar tráfico de red (cableado o inalámbrico). En el caso de una red Wifi, el operador debe estar dentro del rango de la red inalámbrica, romper la clave con las herramientas instaladas en el TNI, interceptar el tráfico y modificar ciertos patrones según sea conveniente (un par de clicks por parte del operador). Por ejemplo, puede capturar todo el tráfico que se diriga a YouTube y solicitar (automáticamente) a la víctima que actualice su versión de Flash. Una vez que haga esto, el software espía es instalado en dicho dispositivo y la víictima queda infectada.

Existen muchos otros métodos para forzar la instalación de software espía en el dispositivo de una vícitma (vía USB, por ejemplo). Para mayor información se recomienda leer el manual RCS Technician.

Caso Chile - PHANTOM

PHANTOM hace referencia al RCS adquirido por el Departamento de Investigación Electrónica de la Policía de Investigaciones de Chile (DIE-PDI). Hasta el momento, DIE-PDI pareciera ser el único cliente chileno de HT, aunque de acuerdo a las filtraciones existirían más organismos interesados, incluyendo al Ejército y otros departamentos de la misma PDI. Mas información aquí.

Al momento de adquirir PHANTOM, HT entregó a DIE-PDI varias licencias, entre las que se destacan:

Con esto sabemos qué cosas pueden hacen en la teoría. ¿Qué habrán hecho en la práctica? Según los correos filtrados, existe registro de solicitudes en el sistema de soporte para realizar ataques similares a los casos 1 y 3. Veamos:

RESUMEN: Operadores de PHANTOM solicitan mayoritariamente software espía para sistemas Android, utilizando URL maliciosas que redirigen a portales de Dafiti, Groupon, Falabella, Ripley, Fevochi, Más mascotas, Todo telas. Además, todo parece indicar que ya han hecho uso del TNI.

Aquí parece ser que realizaron pruebas sobre dispositivos con sistema Android, con redirección al portal de Dafiti. También se señala que se habría enviado el link vía SMS. Al parecer esto es meramente con fines de prueba. Aquí la respuesta de HT.

Se solicita generar URLs maliciosas para Android y PC, con redirección a Falabella, Dafiti y Ripley. Esto ya no parece una prueba. Aquí la respuesta por parte de HT.

Se solicita generar URL maliciosa para Android, con redirección a Fevochi. Aquí la respuesta de HT.

Se solicita generar URL maliciosa para Android, con redirección a Falabella. Aquí la respuesta de HT.

Se solicita generar URL maliciosa para Android, con redirección a Ripley. Aquí la respuesta de HT.

Se solicita generar archivo HTML malicioso para Windows, con redirección a Groupon. Aquí la respuesta de HT.

Se solicita generar URL maliciosa para Android, con redirección a Más Mascotas. Aquí la respuesta de HT.

Se solicita generar URL maliciosa para Android, con redirección a Dafiti. Aquí la respuesta de HT.

Se solicita generar URL maliciosa para Android, con redirección a Todo telas. Aquí la respuesta de HT.

Se realizan preguntas sobre una supuesta infección exitosa, que habría sido realizada en una máquina con Windows 7 Professional, en una red de alta seguridad. Aquí una captura de pantalla de la víctima en cuestión (a través de RCS).

En este correo un par de ingenierios de HT discuten sobre dos de sus clientes: SENAIN y PHANTOM. Con respecto a este último, se comenta el uso del TNI en un escenario operacional, que al parecer se realizó sin problemas. No queda claro si es una prueba o no.

Con esta información queda de manifiesto el uso activo que DIE-PDI está haciendo de PHANTOM, más allá del posible éxito que se haya logrado con los ataques. Además, se puede apreciar que la mayoría de las supuestas víctimas hace uso de dispositivos móviles con sistema Android, con redirecciones principalmente a entidades comerciales (luego de ser infectadas con el software espía, claro está). No es difícil imaginar que se hayan enviado correos/SMS con referencias a promociones o descuentos para que la víctima fuera inducida a visitar los enlaces maliciosos.

Caso Ecuador - SENAIN

SENAIN hace referencia al RCS adquirido por la Secretaría Nacional de Inteligencia del Gobierno de Ecuador. Hasta el momento, SENAIN sería el único cliente ecuatoriano de HT. Actualmente el autor de este documento ignora las licencias adquiridas por SENAIN, pero se puede suponer que el RCS en su poder correspondería una instalación estándar. Según los correos filtrados, existe registro de solicitudes en el sistema de soporte para realizar ataques similares a los casos 1 y 2. Además, se deja entrever bastante información sobre la efectividad de la SENAIN para instalar software espía en sus supuestas víctimas. Veamos:

RESUMEN: Operador de SENAIN solicita mayoritariamente software espía para Windows, a través de archivos .docx/.pptx infectados, o con URL maliciosas que redirigen a portales de El Universo, El Comercio, Hoy, Instagram, Anonynews. Al parecer habría infectado a entidades como CNE y Pachakutks.

Se discute sobre problemas de sincronización con un software espía ya instalado.

Se discute sobre una víctima infectada, y se desea saber como transferir ficheros.

Nuevamente se discute sobre víctima infectada y como transferir ficheros.

Se discute sobre una víctima previamente infectada pero que no sincroniza, por lo que se solicita un código malicioso para volver a infectar. En la captura de pantalla adjunta se puede apreciar al menos trece dispositivos infectados (escritorio y móvil).

Se solicita generar URLs maliciosas para Windows, y con redirección a anonynews.info

Se solicita generar URL maliciosa para Windows, con redirección a Instagram.

Se solicita generar URL maliciosa para Windows, con redirección a noticia de El Comercio.

Se solicita generar URL maliciosa para Windows, con redirección a noticia de El Universo.

Se solicita generar URLs maliciosas para Windows, con redirección a anonynews, El Universo, Hoy Ecuador.

Se solicita generar archivos .docx/.pptx maliciosos para Windows.

Se explica al operador algunas tácticas para infectar víctimas. Se recalca que no es recomendable enviar muchos enlaces/archivos maliciosos a la víctima ya que puede sospechar.

Se solicita generar archivo .docx malicioso para Windows.

Se solicita generar archivo .docx malicioso para Windows.

Se envía un conjunto de capturas de pantallas sobre víctimas infectadas. En ellas se puede distinguir que cada una esta bajo una organización, entre las que se distingue: Jueces, CNE, CONAIE - Pachakutks, El Creador, CJY Cia.

Nuevamente se discute sobre víctimas infectadas. Nota: en términos de software espía, soldier se refiere a dispositivos en donde existe acceso parcial a la información, mientras que elite se refiere al caso en donde existe acceso total.

Se discute sobre víctima infectada de "nivel soldier" en Windows 8. Adjunto se puede ver información del dispositivo infectado.

Ingeniero de HT describe los requisitos para instalar software espía en dispositivo de vícitima mediante uso de archivos HTML.

Se hace referencia al Mayor Paúl López como responsable del proyecto.

Se discute sobre los servidores Anonymizers, ubicados en Londres, Tokyo y Atlanta.

La lista podría seguir, pero con los correos ya mencionados queda en evidencia la efectividad de los funcionarios de la Secretaría Nacional de Inteligencia para instalar software espía en varias víctimas. A diferencia del caso de Chile, la mayoría de los dispositivos infectados utiliza Windows, y los métodos más populares serían el envío de archivos .docx/.pptx y redirecciones a portales informativos. Además, se puede apreciar que la persona encargada de operar RCS envía sin ciudado información sobre las víctimas infectadas al soporte de HT, e incluso hace uso de nombres sugerentes a cada víctima, tanto en los softwares espía como en el uso interno de RCS.

Conclusión

La información analizada no hace más que confirmar el poder del sistema RCS y cómo hoy en día es activamente utilizado por agencias gubernamentales a lo largo del mundo. Las técnicas utilizadas son una muestra de que, en este caso, el margen entre lo legal y lo ilegal es bastante difuso. Desde una perspectiva técnica, la labor realizada por DIE-PDI y SENAIN no es muy distinto de lo que comúnmente se conoce como phishing, práctica que es considerada ilegal y penalizada por la ley. Si acaso cada una de estas acciones estuvo justificada por una orden judicial, es algo que por ahora sólo podemos especular.

Contacto

Si encuentras un error o tienes algo que aportar a este documento, contáctame a ilv arroba riseup.net. Mi fingerprint PGP es 5392 7C25 AAF1 4FBB CAFA BDA3 A456 E2CE 540B FC0E


Cambios:

12 de Julio, 2015: Agregado Índice e imágenes del módulo de inteligencia.
12 de Julio, 2015: Agregados cuadros RESUMEN.
12 de Julio, 2015: Mejora en redacción. Diagrama agregado.
11 de Julio, 2015: Versión original.