RocketHack: grupo delictivo centrado en infiltrar personas

Una operación clandestina de delincuentes informáticos a sueldo revela 3.500 objetivos, incluidos candidatos presidenciales bielorrusos, activistas de derechos humanos uzbecos y un intercambio de criptomonedas. ¿Sus objetivos principales? Cuentas de Gmail, Protonmail y Telegram pertenecientes a cualquiera a quien sus empresas contratantes quieran espiar.

El investigador de ciberseguridad de TrendMicro, con sede en Holanda Feike Hacquebord, en octubre de 2020 rastreó las actividades de un equipo de delincuentes informáticos a sueldo llamado RocketHack o Void Balaur. La investigación de TrendMicro llevó al descubrimiento de que, durante los últimos cuatro años, el equipo de RocketHack de habla rusa se ha infiltrado silenciosamente en cuentas de correo electrónico y Telegram, PC y teléfonos Android de hasta 3.500 personas. Los objetivos van desde periodistas, activistas de derechos humanos y políticos hasta ingenieros de telecomunicaciones y médicos en unas pocas docenas de clínicas, según Hacquebord.

Sus hallazgos brindan una prueba sorprendente de que, junto con empresas establecidas (aunque controvertidas) como el Grupo NSO de Israel, que "brindan servicios para que las fuerzas del orden público hackeen dispositivos", existe una industria clandestina de jugadores como RocketHack, que irrumpe en la vida digital de las personas por el mejor postor, ya sea un gobierno, un cliente de espionaje corporativo, un acosador o un cónyuge abusador.

El modelo de negocio de RocketHack, según su publicación el miércoles en la conferencia de seguridad de Black Hat Europe, es simple: "persigue los datos más privados y personales de empresas e individuos y luego vende esos datos a quien quiera paga por ello. Además del acceso a los correos electrónicos de las personas, también vendieron registros de llamadas de torres de telefonía celular, datos de aerolíneas e información bancaria".

El método de ataques principal de RocketHack es a través del phishing con correos electrónicos que contienen enlaces a páginas de inicio de sesión falsas para Google Gmail, el servicio de correo electrónico cifrado Protonmail y Telegram, entre otros. Un anuncio de 2018 de los delincuentes sugirió que violar el Protonmail centrado en la seguridad era su servicio más caro a 50.000 rublos (U$S 700 al tipo de cambio actual), mientras que abrir una cuenta de Gmail costaría U$S500. Pero hay evidencia de que con algunos proveedores de correo electrónico rusos tienen algún tipo de acceso más profundo, ya que ofrecen ingresar a las cuentas sin necesidad de engañar al usuario con correos electrónicos de phishing.

Su lista de clientes sigue siendo desconocida, pero parece ser diversa y es probable que contenga clientes de estados nacionales. En su lista de objetivos había dos candidatos presidenciales en Bielorrusia y un miembro del partido de oposición, en un país donde un gobierno represivo ha tratado de reprimir la disidencia. También apuntó a los correos electrónicos privados del Ministro de Defensa en un país de Europa del Este y el exjefe de una agencia de inteligencia no especificada. Funcionarios gubernamentales de Ucrania, Eslovaquia, Rusia, Kazajstán, Armenia, Noruega, Francia e Italia fueron blanco de ataques este año. Los anuncios anteriores en foros clandestinos, detallados por la empresa de ciberseguridad Group-IB con sede en Singapur, indicaban que el equipo se ofreció a realizar verificaciones de los historiales crediticios de las personas y si las agencias internacionales de aplicación de la ley las buscaban.

Hacquebord afirmó que RocketHack había perpetrado varios ataques contra activistas de derechos humanos y periodistas de Uzbekistán, detallados anteriormente por Amnistía Internacional y la organización canadiense sin fines de lucro Equalit.ie. Eso incluyó al editor en jefe de un sitio web de medios uzbecos. También se ha atacado a más de 25 periodistas de todo el mundo.

Junto con el phishing, el grupo opera malware para espiar dispositivos Android y Windows, agregó el investigador. Descubrió que el software espía de Android tenía módulos para espiar WhatsApp, grabar llamadas y rastrear la ubicación.

Aunque hablan en ruso, sus orígenes son un misterio. Oleg Dyorov, jefe de la unidad de investigación de la empresa de ciberseguridad Group-IB. Dijo que el grupo apareció por primera vez ofreciendo servicios en el software de mensajería cifrada Jabber en 2017, a menudo centrándose en VK. Dado que la red social es popular en los países postsoviéticos, esto podría dar "motivos para suponer que el atacante podría provenir de la región postsoviética y tener sus clientes allí también", agregó Dyorov.

RocketHack es solo uno de los muchos operadores subterráneos que brindan este tipo de servicios de alquiler de delincuentes informáticos. Como dijo a Forbes un investigador de la empresa de inteligencia cibernética Intel 471, "El mercado de adquisición de cuentas es muy lucrativo y, como muestra RocketHack, no requiere mucho esfuerzo para causar una buena cantidad de daño".

Fuente: Forbes | TrendMicro

Suscríbete a nuestro Boletín