Los gobiernos
que nos espían y cómo lo hacen: Se filtra el código de FinFisher y sus clientes
En el mundo del ciberespionaje existen algunas empresas que se han
dedicado a crear piezas de software para infectar y controlar los equipos de
las personas vigiladas. Dicho así suena a que son empresas que hacen
herramientas de hacking para hacer botnets e instalar R.A.T.s en los equipos de sus
víctimas. Y es cierto, es lo que hacen, lo que sucede es que su objetivo es que
lo utilicen los países y gobiernos dentro de la legalidad vigente de su
país.
Este tipo de herramientas las
hemos visto muchas veces en incidentes en el pasado. Por ejemplo, cuando el
grupo Anonymous hackeao la empresa HBGary,
entre muchos de los servicios que esta empresa vendía al gobierno de los Estados Unidos, se
encontró información de Task
B y 12 Monkeys, el software de espionaje que vendía al gobierno.
 |
| Figura 1: Detalles del Rootkit "Task B" |
En el caso de las revueltas
populares en Egipto durante la Primavera Árabe, se pudo
ver como el
gobierno de El Cairo habría comprado FinFisher, el software de espionaje de
la empresa Gamma. Este software ha sido famosos en muchos otros
incidentes de espionaje de Internet, y en el informe de "Enemigos
de Internet" se pudo ver cómo aparecía en muchos sitios.
 |
| Figura 2: Detalle de la factura de Gamma al gobierno de Egipto. |
A la
lista de software de espionaje hay que sumar también a la empresa Hacking Team, quienes
están detrás del desarrollo de Galileo,
un malware de espionaje que se ha hecho popular
este tiempo atrás por ser descubierto que para
infectar los terminales iPhone espera a que se conecte el equipo a un terminal
pareado y le realiza el jailbreak completo para luego instalar el
troyano.
El filtrado del material de
FinFisher
Esta semana pasada, la noticia
ha sido la filtración del código y los documentos de información de la empresa Gamma, lo que ha
permitido saber mucho más de FinFisher y su troyano para dispositivos móviles FinSpy, además de
conocer muchos de los clientes de la empresa. El filtrado se ha hecho a través
de una cuenta de Twitter que se dedica a filtrar todo lo que
puede deFinFisher, llamada @GammaGroupPR, y donde están los enlaces a
todo el material que se ha liberado.
 |
| Figura 3: Paneles de Control de FinFisher detectados en 25 países. |
De los clientes ya se habían
detectado dónde se encontraban los clientes por la ubicación de las direcciones
IP de los paneles de control, que habían sido localizados en 25 países. Sin embargo, ahora,
analizando diferentes detalles de toda la información que ha sido publicada se
puede inferir una lista mucho más detallada de ellos, que ha sido publicada en
Pastebin.
 |
| Figura 4: Algunos de los clientes inferidos en la filtración. |
Lo curioso es que algunos de
los clientes han aparecido tras analizar los metadatos de los documentos adjuntos en los
correos electrónicos a los que se ha tenido acceso, lo que demuestra una vez
que cualquier pieza de información extra puede ser utilizada. Otros de
las claves PGP que se usan para intercambiar
información cifrada.
 |
| Figura 5: Más clientes de FinFhiser inferidos |
Por supuesto, también han
salido filtrados nombres de
los miembros del equipo de Gamma, así que se los estará buscando en las
próximas conferencias de seguridad y hacking....
El código de FinSpy
Otro de los aspectos que se
deseaba conocer es cómo
funciona el software de FinSpy, del que se conocer mucha información por medio de los vídeos
de promoción filtrados en el pasado. Por ejemplo, se sabe que usando un man in the middle se usa el truco de ofrecer una
actualización de Flash a los clientes o que en el pasado se
ha utilizado un
bug de Evil Grade en Apple iTunes para infectar equipos OSX,
pero no se tenían detalles del código.
Por
ejemplo, se pudo saber en el pasado cómo funcionaba el troyano
de espionaje de FinSpy para iOS, para lo que usan
un Provisioning Profile, técnica conocida para el hacking de iPhones, o fraudulentas para Android, pero ahora se
puede acceder al código fuente de las R.A.T.S.
de BlackBerry, Symbian, Windows Mobile o Android, en diferentes versiones,
lo que da mucha más información de cómo está construido este software.
Al final es un malware más, solo que con ellos supuesta mente
está creado para ser utilizado bajo supervisión legal, pero... algunos de sus
clientes parece que se han hecho la ley a su medida. Por supuesto, no todos los
países tiran de este tipo de software comercial, y ya hemos visto que la NSA
tiene su batería de herramientas del grupo ANT para esto - de las cuales puedes hacerte con alguna para jugar en NSA
PlaySet - y que el
GCHQ tiene los suyos propios.
No hay comentarios:
Publicar un comentario