6 ago. 2015

Así espiaban el teléfono de #Nisman (actualizado)

Esta es una traducción libre del artículo de Lorenzo Franceschi-Bicchierai y desde Segu-Info estamos analizando su exactitud.

Actualización 07/08 por Cristian Borghello: según hemos podido constatar desde Segu-Info, la conclusión la que llega el investigador mencionado en este post, no es del todo correcta porque si bien el malware fue encontrado en el equipo móvil del fiscal, el mismo no fue utilizado directamente para robar información.

Actualización 13/08 por Cristian Borghello: como indicaba anteriormente, la información no es precisa debido a las siguiente causas:
  1. Que el malware haya sido encontrado en el teléfono móvil no significa que haya sido utilizado, simplemente indica que fue descargado y no detectado por ninguna herramienta.
  2. ¿De qué forma se protegía el equipo tecnológico del fiscal?
  3. El troyano es altamente genérico, se encuentra y modifica en Internet y en muchas ocasiones puede ser detectado por los antivirus tradicionales. Si alguien intentó espiar al fiscal (si lo hizo) ¿no tenía acceso a otro tipo de desarrollo mucho más profesional, generalmente utilizado en este tipo de campañas?
  4. Si bien el malware originalmente tiene características para realizar actividades desde un teléfono móvil al ser un arhivo JAR es probable que haya sido desarrollado para sistemas operativos de escritorio y por lo tanto no funcionará en un teléfono móvil.
  5. Si sucede lo anterior, el fiscal tuvo "la suerte" de descargar el troyano en su móvil y nada sucedió.
  6. Si por el contrario, el troyano fue descargado en el móvil pero además fue descargado en su computadora y ejecutado, posiblemente sí fuera usado para espiarlo. Pero esto es simplemente una especulación.
  7. Finalmente: nada indica a ciencia cierta que el fiscal haya sido espiado con este RAT. Podría haber sido espiado con este malware, con otro/s o con ninguno. Los únicos en condiciones de hacer tales afirmaciones son los peritos de la causa y quienes hayan accedido directamente a analizar el teléfono del fiscal.
  8. Es necesario ser prudente y esperar la opinión de los profesionales responsables de la investigación, hablar sobre fuentes sin acceso directo a dicha investigación es instigar a mentir.
Actualización 21/08: Marquise ha publicado un análisis en profundidad de los troyanos involucrados en los ataques. En este análisis se confirman varios de los puntos que menciono arriba. ¿No podía hacer esto antes de ir a Black Hat?

Actualización 26/08: la peritos oficiales coincidieron en que "el troyano oportunamente hallado sólo tiene efecto en computadoras".

El 18 de enero de este año, el fiscal argentino Alberto Nisman fue encontrado muerto en su departamento en circunstancias misteriosas. Al día siguiente, debía comparecer ante el Congreso para ofrecer lo que estaba destinado a ser un testimonio incendiario, acusando a la actual Presidente, Cristina Fernández de Kirchner, de tratar de encubrir la presunta participación de Irán en un atentado contra la AMIA en Buenos Aires en 1994.

"Podría resultar muerto", dijo el día antes. Nisman tenía buenas razones para ser paranoico. De hecho, alguien había estado espiando su teléfono móvil durante seis semanas, utilizando software de vigilancia que era capaz de escuchar las llamadas, leer mensajes y capturar imágenes de su pantalla, según lo revelado por Morgan Marquis-Boire, Director de seguridad en First Look Media, un investigador que ha estado analizando herramientas de hacking relacionadas con gobiernos en todo el mundo durante años.

En la Conferencia de seguridad Black Hat en Las Vegas, Morgan Marquis-Boire reveló que había analizado personalmente la muestra del malware utilizado para espiar a Nisman, en una charla que dio junto a Marion Marschalek, que recientemente ayudó a descubrir el malware francé Babar.

Antes de la charla del miércoles, habían salido muy pocos detalles sobre el malware utilizado contra Nisman. Un informe local de principios de junio, sólo menciona que expertos forenses confirmaron la presencia de un "troyano" en el teléfono de Nisman.

Dos semanas más tarde, sin embargo, El Tiempo menciona el nombre completo del archivo que se utilizó para infectar el teléfono móvil Android de Nisman, un Motorola xt626 [PDF].

Marquis-Boire buscó el archivo "estrictamente secreto y confidencial.pdf.jar" en Virus Total y encontró que sólo un archivo coincidía con la muestra. De todos modos esto no demuestra que efectivamente haya sido utilizado para espiar al fiscal.
El archivo fue subido a finales de mayo, aproximadamente tres meses después de la muerte de Nisman. Marquis-Boire demostró que el malware era una herramienta de acceso remoto (RAT) conocido como AlienSpy (PDF con el análisis), pero no puede afirmar quién estaba realmente detrás del spyware, pero algunos indicadores que se encontraron en la muestra señalan a Argentina o Uruguay.

"Podría haber sido cualquiera" dice Marquis-Boire.

Fuente: Motherboard

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!