Con archivos exploit, Puebla habría infectado equipos del INE y el PRI
FOTO: INTERNET
La licencia que compró el gobierno morenovallista —identificado en The Hacking Team como GEDP—, incluía el diseño de “exploits”. Los documentos de Word, de Power Point, Excel, PDF y direcciones web “fake” permiten estos ingresos para controlar los equipos de cómputo, celulares o computadoras, de instituciones como el INE, partidos políticos como el PRI o portales informativos
Crear archivos de Word, PDF o de Excel con nombres atractivos fue la manera como el gobierno de Puebla —identificado en The Hacking Team como GEDP— podía controlar los equipos de cómputo, celulares o computadoras, de sus objetivos.
La licencia que compró “GEDP” incluía el diseño de estos “exploits”. Los documentos de Word, de Power Point, Excel, PDF y direcciones web “fake” permiten estos ingresos para controlar los equipos.
A través del correo electrónico [email protected] se solicitó a los programadores de The Hacking Team intervenir a instituciones como el INE, partidos políticos como el PRI o portales informativos.
Para el gobierno estatal el mundo digital ha sido una de sus principales preocupaciones que es donde fluye información y se puede controlar las comunicaciones.
“Cada aplicación de software contiene un número discreto de los agujeros de seguridad (también conocido como vulnerabilidades) que pueden ser explotadas para tomar el control del propio software para instalar aplicaciones no deseadas.
Basándose en esos agujeros de seguridad es posible convertir documentos normales en vectores de instalación para RCS.
Hacking Team Exploit Portal, parte de la plataforma del sistema de control a distancia, es un servicio que incorpora una Agencia de RCS en formatos de archivo comunes, como Adobe PDF, documentos de Microsoft PowerPoint y Word”, señala un documento de la firma italiana The Hacking Team.
Cómo desarrollar un exploit
El trabajo de The Hacking Team se desarrolla a partir de la firma francesa de ciberseguridad Vupen. La firma de hackers Vupen detecta las vulnerabilidades de paquetería comercial e informa a sus suscriptores de estas vulnerabilidades.
En un lejano correo del 2010 que recibe la empresa italiana se informa sobre las vulnerabilidades en los productos de Microsoft Office.
Se trata de un “desbordamiento del buffer” que se encuentra en los productos de Office cuando en Word se abren archivos de formato RTF.
La firma Vupen desarrolla “exploits” para los paquetes de Microsoft Office Word 2007 SP2 y Microsoft Office Word 2003 SP3, los cuales pueden ser ocupados por los usuarios de esta firma.
Normalmente, las grandes firmas de software como Microsoft, Adobe y Apple cuando descubren vulnerabilidades en sus paquetes desarrollan de inmediato un “parche” o actualización para resolver estos fallos de seguridad que son prácticamente imperceptibles. Pero en tanto, estas fallas no son detectadas y pueden ser ocupadas a diestra y siniestra por los “hackers” para realizar algún desarrollo trasero y oculto en el software.
Se trata de vías de acceso ocultas a un usuario normal, a través de las cuales, se pueden modificar datos o intervenir en el funcionamiento del equipo anfitrión.
Sin embargo, estas fallas tienen un tiempo de caducidad. En los últimos años, las grandes empresas de software han intentado frenar los ataques a través de estas “puertas traseras”
En un correo del 2013, la empresa advertía a sus propios programadores del riesgo temporal que entraña el desarrollo de exploits debido a que las compañías al advertir las vulnerabilidades de su software cubren estos errores haciendo que los exploits tuvieran una fecha de caducidad.
“Los exploits para software de las aplicaciones más importantes son sólo por un período breve. Hacking Team no puede garantizar por un amplio período y Hacking Team no puede garantizar la disponibilidad futuras de los exploits”, le escribe Massimiliano Luppi de Hacking Team a un usuario de nombre Michal Martínak.
La compañía italiana había desarrollado exploits para Word, Power Point e Internet Explorer (Windows, Vista y 7).
Los clientes solicitaban los exploits enviando un archivo con la información que debería tener el archivo donde iba el exploit. Es decir, para que el usuario objetivo abriera el archivo debía confiar en el mismo por lo que se generaban archivos con información “atractiva” para los usuarios objetivo. Además, de una lista de direcciones a donde se mandaría este archivo “infectado”.
La compañía enviaba ya sea el archivo con el exploit o una dirección web. En cuanto el usuario abría el archivo o ingresaba a la dirección web, el exploit se corría en la máquina destino del usuario objetivo y se “contaminaba” el equipo con el exploit.
Los exploits formaban parte del costo de “mantenimiento” de los servicios que el cliente gubernamental adquiría con la compañía italiana.
En el documento denominado “Introduction to exploiting techniques” de The Hacking Team se explican las técnicas para generar un exploit.
Se señala que una vulnerabilidad de software es una “debilidad que permite a un atacante reducir la seguridad de la información del sistema. La vulnerabilidad de software es una falla en un programa que puede permitir que intrusos maliciosos tomen ventaja de la falla. No todas las fallas de software son vulnerabilidades. Solamente las fallas de seguridad se pueden llamar vulnerabilidades”
Los exploits pueden abrir vías de acceso al software a través de tres maneras, señala la firma italiana “Proporcionamos para nuestros clientes cerca de 50 nuevos explotis del lado del cliente cada año los cuales están disponibles en nuestra consola RCS”.
Otra vía es enviar vectores de ataque a los objetivos ya sea a través de un documento de Excel, Word, PDF, entre otros. O convencer al usuario para visitar una página web desde donde se genera el control del equipo. El convencimiento se realiza a través de mensajes instantáneos o correos fake.
Aunque un método más efectivo es ubicar aplicaciones vulnerables en el objetivo.
El mecanismo de control consiste en que el usuario acceda estos sitios o se abran los documentos infectados para que se re direccione el control del equipo a un servidor.
Como parte del contrato que GEDP (gobierno de Puebla, así identificado en los archivos de The Hacking Team) realizó con la empresa de software italiana podía pedir los exploits que necesitara.
Para ello, enviaba el archivo de Word o Power Point que iba a enviar al objetivo a infectar.
Un ejemplo de esto lo muestra el correo electrónico 73537 presuntamente enviado al portal informativo Status.
El 5 de febrero del 2014 el usuario identificado como [email protected] a [email protected] pidiéndole un exploit.
El correo es breve y pide crear un exploit:
“Dear Team,
”Can you please create 2 .docx exploits? One is for a test and the other for production.
”We are attaching the .DOCX file “Los_Excesos_...” and the silent installer.
”Thanks a lot!
”Best Regards,”
En los archivos adjuntos del correo se envían dos archivos: “Satatus_windows_silent.zip” y un archivo de Word, lo que sería el exploit, Los_Excesos_de_Eukid_Castañón_Herrera.docx”.
Es decir, se envía al objetivo un archivo atractivo para que al abrirlo infecte su equipo y permita que The Hacking Team, o este caso, el cliente GEDP, gobierno de Puebla, pueda controlar el equipo.
Tome nota
El tema de Hacking Team sigue vigente, el CEO de la compañía, David Vincenzetti, habló con el diario italiano La Stampa y declaró que debido al grado de dificultad del ataque sólo pudo haber sido posible por parte de una organización a nivel gubernamental, aunque no especifica de qué país. “Esto no es una iniciativa improvisada, el ataque fue planeado durante meses con importantes recursos, la extracción de los datos tomó mucho tiempo”. (Con información de unocero.com)

