Así reventaron los 'hackers' rusos las elecciones de Estados Unidos (según el FBI)

30/12/2016
Publicat a: El Confidencial

Dos osos de la estepa se metieron en los panales de rica miel del Partido Demócrata de Estados Unidos. Esto desvelan datos hechos públicos ayer (https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity) por el FBI y el Departamento de Seguridad Interior (DHS) de aquel país. Se demostraría que dos equipos de mercenarios informáticos pagados por el gobierno ruso habrían robado información de los ordenadores de los más allegados a Hillary Clinton. Y que no les fue muy difícil entrar que digamos.

En verano de 2015, un grupo conocido como APT29, sospechoso de formar parte los equipos de hackers en nómina del gobierno ruso, conseguía entrar en las redes de un partido político de Estados Unidos. Su modus operandi fue fácil pero efectivo: mandar mensajes de correo con un enlace malicioso a un millar de personas, entre ellas miembros del gobierno.

Webs de instituciones educativas y gubernamentales con algún fallo de seguridad ayudaron a los atacantes, bien como dominios desde los que mandar los mensajes de correo para que pareciesen auténticos, bien como sitio donde albergar virus que infectarían a quien abriese el documento adjunto. Los criminales cantaron Bingo cuando una persona lo hizo, abriendo paso al código malicioso en su ordenador.

APT29 desplegó entonces sus artes de hacking: a través de esta puerta de entrada, instalaron código malicioso en las redes del partido político, consiguiendo así su control. Pudieron entonces pasearse por los ordenadores que quisieron, coger la información que les antojó y... largarse en completo silencio.

Un año después, en primavera de 2016, otro grupo de hackers de élite pagados por Putin y conocidos, entre otros nombres, como APT28, usaron la misma táctica para introducirse en el mismo partido político: mandaron mensajes de correo a centenares de personas pero, esta vez, usaron las webs legítimas con agujeros de seguridad para alojar allí páginas-trampa que pedían a los afectados que introdujesen sus credenciales. Estas credenciales iban directas al "saco" de los ciberdelincuentes.

Con las credenciales robadas, APT28 entró en las redes del partido y exfiltró información de múltiples miembros senior. Pero, a diferencia de APT29, no la guardó y se marchó en silencio, sino que la mandó a la prensa.

Hasta aquí, la narración de los hechos. Al informe lo acompañan los nombres de otros equipos supuestamente a sueldo del gobierno ruso y una lista de direcciones IP maliciosas que usarían estos grupos para atacar a gobiernos y empresas. Entre ellas, hay tres IPs españolas, dos de ellas detectadas como pertenecientes a una persona de Murcia y una óptica de Salamanca.

Según el reporte del FBI y el DHS, estos grupos llevarían años orquestando operaciones parecidas (a esta la han bautizado como "Oso estepario") contra organizaciones del gobierno, infraestructuras críticas, "think tanks", universidades, organizaciones políticas y corporaciones en Estados Unidos y países aliados, entrando a través de correos electrónicos falsos mandados a personas que previamente han sido estudiadas para que caigan en la trampa (ataque conocido técnicamente como "spearphishing").

El informe confirma los datos descubiertos por la empresa CrowdStrike a quien contrató el Partido Demócrata para que investigase las filtraciones: dos grupos supuestamente pagados por los servicios de espionaje del gobierno ruso, APT29 (conocido también como Cozy Bear y The Dukes) y APT28 (conocido también como Sednit, Sofacy, Pawn Storm y Fancy Bear), serían los responsables, con "modus operandis" muy parecidos.

El reporte es destacable por mostrar cuán fácil sigue siendo engañar a personas para que pinchen en enlaces y documentos que les llegan por correo electrónico. El colmo de los colmos sería la actitud de John Podesta, presidente de la campaña presidencial de Hillary Clinton, cuyos mails acabaron publicándose en Wikileaks. Podesta habría recibido un mensaje de Gmail alertándole de que alguien había usado su contraseña y que debía cambiarla de inmediato. Podesta hizo caso omiso.

Esta es la primera vez que el gobierno de Estados Unidos usa una orden ejecutiva de 2015 para combatir ciberataques contra la infraestructura crítica y el espionaje comercial. Al no considerarse crítico el sistema electoral, Obama ordenó una enmienda al texto el pasado martes, que añadía sanciones por "interferir con los procesos o instituciones relacionadas con las elecciones".

De todas formas, la publicación del informe por parte del FBI y el DHS no ha acallado las voces de los expertos en desacuerdo con achacar al gobierno ruso los ataques, dado que "atribuir de forma confiable un crimen de Internet a un país en particular, y mucho menos a un individuo o grupo de hacking, es notoriamente complicado", según ha declarado el conocido experto británico Graham Cluley. El informe desvelado ayer no aporta nuevos datos públicos que apunten de forma científicamente probada a una autoría.



Mercè Molist