CIA

All posts tagged CIA

2048x1152.jpg

Cómo un topo holandés ayudó a EEUU/Israel a infectar a Irán con el virus Stuxnet

Isaul Carballar 4 septiembre, 2019

Durante años, un misterio duradero ha rodeado el ataque del virus Stuxnet que tuvo como objetivo el programa nuclear de Irán: ¿cómo los EEUU e Israel introdujeron un malware en los sistemas informáticos de la altamente segura planta de enriquecimiento de uranio?

El primer virus de este tipo, diseñado para sabotear el programa nuclear de Irán, comenzó efectivamente la era de la guerra digital y se desató en algún momento en 2007, después de que Irán comenzó a instalar su primer lote de centrifugadoras en una controvertida planta de enriquecimiento cerca de la aldea de Natanz.

El mensajero detrás de esa intrusión, cuya existencia y función no han sido reportadas previamente, fue un topo interno reclutado por agentes de inteligencia holandeses a instancias de la CIA y la agencia de inteligencia israelí, el Mossad, según fuentes que hablaron con Yahoo News.

Un ingeniero iraní reclutado por la agencia de inteligencia holandesa AIVD proporcionó datos críticos que ayudaron a los desarrolladores estadounidenses a dirigir su código a los sistemas de Natanz, según cuatro fuentes de inteligencia. Ese topo luego proporcionó el acceso interno muy necesario cuando llegó el momento de deslizar Stuxnet en esos sistemas utilizando una unidad flash USB.

En 2004, se pidió a los holandeses que ayudaran a la CIA y al Mossad a acceder a la planta, pero no fue hasta tres años después que el topo, que se hizo pasar por un mecánico que trabajaba para una empresa de fachada que trabajaba en Natanz, entregó el arma digital. a los sistemas específicos. «[El] topo holandés fue la forma más importante de introducir el virus en Natanz«, dijo una de las fuentes a Yahoo.

Ni la CIA ni el Mossad respondieron a las preguntas de Yahoo News sobre la información. La AIVD declinó hacer comentarios sobre su participación en la operación.

La ahora famosa operación encubierta conocida como «Juegos Olímpicos» fue diseñada no para destruir el programa nuclear de Irán directamente, sino para retrasarlo y ganar tiempo para que las sanciones y diplomacia surtieran efecto. Esa estrategia fue exitosa en ayudar a traer a Irán a la mesa de negociaciones, lo que finalmente resultó en un acuerdo con el país en 2015.

La revelación de la participación holandesa se remonta a una época en que todavía había una amplia cooperación y un fuerte acuerdo multilateral entre los EEUU y sus aliados sobre cómo lidiar con el programa nuclear iraní, una situación que cambió el año pasado después de que la administración Trump se retiró del acuerdo nuclear que tanto se ganó con Teherán.

Natanz 2010

La operación «Juegos Olímpicos» fue principalmente una misión conjunta de Estados Unidos e Israel que involucró a la NSA, la CIA, el Mossad, el Ministerio de Defensa israelí y la Unidad Nacional Israelí SIGINT, el equivalente israelí de la NSA. Pero Estados Unidos e Israel recibieron asistencia de otras tres naciones, de acuerdo con las fuentes, de ahí el nombre en clave encubierto que dio un guiño al símbolo de cinco anillos del evento deportivo internacional más famoso del mundo. Dos de los tres jugadores participantes fueron Holanda y Alemania. Se cree que el tercero es Francia, aunque la inteligencia del Reino Unido también jugó un papel.

Alemania aportó especificaciones técnicas y conocimientos sobre los sistemas de control industrial realizados por la firma alemana Siemens que se utilizaron en la planta iraní para controlar las centrifugadoras giratorias, según las fuentes. Se cree que Francia ha proporcionado inteligencia de un tipo similar.

El Padre de la Bomba Atómica Islámica

Pero los holandeses estaban en una posición única para desempeñar un papel diferente: brindar inteligencia clave sobre las actividades de Irán para adquirir equipos de Europa para su programa nuclear ilícito, así como información sobre las centrifugadoras. Esto se debe a que las centrifugadoras en Natanz se basaron en diseños robados a una empresa holandesa en la década de 1970 por el científico pakistaní Abdul Qadeer Khan.

Abdul Qadeer Khan

Venerado en Pakistán como el «padre» de la bomba islámica, el Sr. Khan es considerado un paria en Occidente debido a su papel en el establecimiento de una red clandestina de comercio internacional que alimentó un mercado ilegal de tecnologías de armas nucleares y misiles balísticos. Khan robó los diseños para construir el programa nuclear de Pakistán, luego procedió a comercializarlos a otros países, incluidos Irán y Libia.

La agencia de inteligencia holandesa, conocida como AIVD, junto con la inteligencia de EEUU y Gran Bretaña, se infiltró en la red de suministro de consultores europeos y compañías líderes de Khan que ayudaron a construir los programas nucleares en Irán y Libia. Esa infiltración no solo involucró el oficio de la vieja escuela, sino que también empleó operaciones de hacking ofensivas que se desarrollaban como parte del floreciente campo del espionaje digital.

Las capacidades cibernéticas de AIVD son bien conocidas ahora: el año pasado se reveló que AIVD fue responsable de informar al FBI sobre el hackeo del Comité Nacional Demócrata (DNC por sus siglas en inglés) en 2016, conocimiento que había adquirido porque sus operativos habían hackeado computadoras pertenecientes al grupo de piratería ruso conocido como Cozy Bear en 2014 y estaban viendo en 2015 cuando los rusos irrumpieron en las computadoras del Departamento de Estado de los EEUU y el DNC.

Pero durante los primeros días del programa nuclear de Irán, el equipo de hackers de AIVD era pequeño y todavía estaba en desarrollo.

El programa iraní, que había estado en segundo plano durante años, se puso en marcha en 1996, cuando Irán compró en secreto un conjunto de planos y componentes de centrífuga de Khan. En 2000, Irán comenzó a construir en Natanz con planes de construir una instalación que albergaría 50,000 centrífugas para enriquecimiento del gas de uranio.

Centrifugas para enriquecimiento de Uranio.

Ese mismo año, la AIVD hackeo el sistema de correo electrónico de una organización de defensa iraní clave en un esfuerzo por obtener más información sobre los planes nucleares de Irán, según las fuentes.

Las agencias de inteligencia israelíes y occidentales monitorearon en secreto el progreso en Natanz durante los próximos dos años, hasta agosto de 2002, cuando un grupo disidente iraní expuso públicamente el programa iraní en una conferencia de prensa en Washington, DC, utilizando la información proporcionada por las agencias de inteligencia. Los inspectores de la Agencia Internacional de Energía Atómica (IAEA por sus siglas en inglés), el organismo de las Naciones Unidas que monitorea los programas nucleares en todo el mundo, exigieron acceso a Natanz y se alarmaron al descubrir que el programa iraní estaba mucho más avanzado de lo que se creía.

En un laboratorio…

Se presionó a Irán para que aceptara detener toda actividad en Natanz, mientras que la IAEA buscó obtener más información sobre el programa nuclear, y la suspensión continuó durante todo 2004 y la mayor parte de 2005. Pero era solo cuestión de tiempo antes de que se reanudaran las operaciones en Natanz , y la CIA y el Mossad querían estar adentro cuando lo hicieron.

La solicitud de ayuda a los holandeses llegó a fines de 2004, cuando un enlace del Mossad que trabajaba en la Embajada de Israel en La Haya y un funcionario de la CIA con sede en la Embajada de los Estados Unidos se reunieron con un representante de la AIVD. Todavía no se habló de insertar un arma digital en los sistemas de control de Natanz; el objetivo en ese momento seguía siendo solo inteligencia.

Pero el momento no fue al azar. En 2003, la inteligencia británica y estadounidense había dado un gran golpe cuando interceptaron un barco que contenía miles de componentes de centrífuga con destino a Libia, componentes para el mismo modelo de centrífugas utilizado en Natanz. El envío proporcionó pruebas claras del programa nuclear ilícito de Libia. Se persuadió a Libia para que abandonara el programa a cambio del levantamiento de las sanciones, y también acordó renunciar a cualquier componente ya recibido.

Científico en Laboratorio Nacional de Oak Ridge, en Tennessee, EEUU.

En marzo de 2004, Estados Unidos, bajo protesta de los holandeses, había incautado los componentes del barco y los que ya estaban en Libia y los había llevado al Laboratorio Nacional Oak Ridge en Tennessee y a una instalación en Israel. En los próximos meses, los científicos ensamblaron las centrífugas y las estudiaron para determinar cuánto tiempo le tomaría a Irán enriquecer suficiente gas para fabricar una bomba. De esto surgió el complot para sabotear las centrifugadoras.

…Nace Stuxnet

La agencia de inteligencia holandesa ya tenía una información privilegiada en Irán, y después de la solicitud de la CIA y el Mossad, el topo decidió establecer dos vías paralelas, cada una con una compañía local de fachada, con la esperanza de que uno lograra ingresar a Natanz.

Establecer una empresa ficticia con empleados, clientes y registros que muestren un historial de actividad, lleva tiempo y el tiempo escasea. A fines de 2005, Irán anunció que se retiraría del acuerdo de suspensión, y en febrero de 2006 comenzó a enriquecer su primer lote de gas hexaflourido de uranio en una planta piloto en Natanz. Sin embargo, los iraníes tuvieron algunos problemas que los ralentizaron, y no fue sino hasta febrero de 2007 que lanzaron formalmente el programa de enriquecimiento instalando las primeras centrífugas en las salas principales de Natanz.

Para entonces, el desarrollo del código de ataque de Stuxnet ya estaba en marcha. En 2006, se realizó una prueba de sabotaje con centrifugadoras y se presentó al presidente George Bush, quien autorizó la operación encubierta una vez que se le mostró que realmente podía tener éxito.

Para mayo de 2007, Irán tenía 1,700 centrifugadoras instaladas en Natanz que enriquecían el gas, con planes de duplicar esa cantidad para el verano. Pero en algún momento antes del verano de 2007, el topo holandés estaba dentro de Natanz.

La primera compañía que estableció el topo no había logrado ingresar a Natanz: había un problema con la forma en que se creó la compañía, según dos de las fuentes, y «los iraníes ya sospechaban«, explicó uno.

La segunda compañía, sin embargo, recibió asistencia de Israel. Esta vez, el topo holandés, que era un ingeniero entrenado, logró ingresar a Natanz haciéndose pasar por mecánico. Su trabajo no implicó la instalación de las centrífugas, pero lo llevó a donde necesitaba estar para recopilar información de configuración sobre los sistemas. Al parecer, regresó a Natanz varias veces en el transcurso de algunos meses.

«[Él] tuvo que volver … varias veces para recopilar información esencial [que podría usarse para] actualizar el virus en consecuencia«, dijo una de las fuentes a Yahoo News.

Las fuentes no proporcionaron detalles sobre la información que recopiló, pero Stuxnet estaba destinado a ser un ataque de precisión que solo desataría su sabotaje si encontraba una configuración muy específica de los equipos y las condiciones de la red. Usando la información que proporcionó el topo, los atacantes pudieron actualizar el código y proporcionar algo de esa precisión.

De hecho, hay evidencia de actualizaciones al código que ocurren durante este período. Según la firma de seguridad Symantec, que realizó ingeniería inversa de Stuxnet después de ser descubierto, los atacantes actualizaron el código en mayo de 2006 y nuevamente en febrero de 2007, justo cuando Irán comenzó a instalar las centrífugas en Natanz. Pero hicieron cambios finales al código el 24 de septiembre de 2007, modificaron las funciones clave que se necesitaban para llevar a cabo el ataque y compilaron el código en esa fecha. Compilar código es la etapa final antes de lanzarlo.

Todo por una simple unidad flash USB

El código fue diseñado para cerrar las válvulas de salida en números aleatorios de centrifugadoras para que el gas entrara en ellas pero no pudiera salir. Esto tenía la intención de aumentar la presión dentro de las centrífugas y causar daños con el tiempo y también gas residual.

Esta versión de Stuxnet tenía solo una forma de propagarse: a través de una unidad flash USB. Los sistemas de control de Siemens en Natanz estaban vacíos, lo que significa que no estaban conectados a Internet, por lo que los atacantes tuvieron que encontrar una manera de saltar esa brecha para infectarlos. Los ingenieros de Natanz programaron los sistemas de control con el código cargado en las unidades flash USB, por lo que el topo instaló directamente el código él mismo insertando un USB en los sistemas de control o infectó el sistema de un ingeniero, que luego entregó involuntariamente Stuxnet cuando programó el sistemas de control con una memoria USB.

Una vez que se logró eso, el topo no regresó a Natanz nuevamente, pero el malware logró su sabotaje durante 2008. En 2009, los atacantes decidieron cambiar de táctica y lanzaron una nueva versión del código en junio de ese año y nuevamente en marzo y abril de 2010. Esta versión, en lugar de cerrar las válvulas en las centrifugadoras, varió la velocidad a la cual las centrifugadoras giraron, alternativamente acelerándolas hasta un nivel más allá del cual fueron diseñadas para girar y desacelerarlas. El objetivo era dañar las centrifugadoras y socavar la eficiencia del proceso de enriquecimiento. Esto de alguna forma consiguió un efecto doble, de alterar las operaciones por un lado, y por otro, mostrarse como un error interno, y no un hackeo. Lo que le permitiría mantenerse oculto por meses o años. Notablemente, los atacantes también actualizaron y compilaron esta versión del código de ataque el 24 de septiembre de 2007, cuando compilaron el código para la primera versión, lo que sugiere que la inteligencia que el topo holandés había proporcionado en 2007 puede haber contribuido a esta versión también.

Sin embargo, cuando se lanzó esta última versión del código, los atacantes habían perdido el acceso interno a Natanz que habían disfrutado a través del topo, o tal vez simplemente ya no lo necesitaban. Consiguieron esta versión de Stuxnet en Natanz al infectar a objetivos externos que la trajeron a la planta. Los objetivos eran empleados de cinco compañías iraníes, todas ellas contratistas en el negocio de instalar sistemas de control industrial en Natanz y otras instalaciones en Irán, que se convirtieron en correos involuntarios para el arma digital.

El virus Stuxnet se propaga

«Es sorprendente que sigamos obteniendo información sobre el proceso de desarrollo de Stuxnet [10 años después de su descubrimiento]«, dijo Liam O’Murchu, director de desarrollo de la división de Tecnología de Seguridad y Respuesta de Symantec. O’Murchu fue uno de los tres investigadores de la compañía que revirtió el código después de que se descubrió. «Es interesante ver que tenían la misma estrategia para [la primera versión de Stuxnet] pero que era un proceso más manual. … Necesitaban tener a alguien en el terreno cuya vida estuviera en riesgo cuando realizaban esta operación«.

O’Murchu cree que el cambio de tácticas para la versión posterior de Stuxnet puede ser una señal de que las capacidades de los atacantes mejoraron para que ya no necesitaran un topo interno.

«Quizás … en 2004 no tenían la capacidad de hacer esto de manera automatizada sin tener a alguien en el terreno«, dijo. «Mientras que cinco años después pudieron llevar a cabo todo el ataque sin tener un activo en el terreno y poner a alguien en riesgo«.

Pero su táctica posterior tuvo un inconveniente diferente. Los atacantes agregaron múltiples mecanismos de difusión a esta versión del código para aumentar la probabilidad de que llegue a los sistemas objetivo dentro de Natanz. Esto causó que Stuxnet se extendiera sin control, primero a otros clientes de los cinco contratistas, y luego a miles de otras máquinas en todo el mundo, lo que llevó al descubrimiento de Stuxnet y la exposición pública en junio de 2010.

Comienza la carrera armamentista cibernética

Meses después del descubrimiento de Stuxnet, un sitio web en Israel indicó que Irán había arrestado y posiblemente ejecutado a varios trabajadores en Natanz bajo la creencia de que ayudaron a introducir el malware en los sistemas de la planta. Dos de las fuentes de inteligencia que hablaron con Yahoo News indicaron que efectivamente hubo pérdida de vidas por el programa Stuxnet, pero no dijeron si esto incluía al topo holandés.

Si bien Stuxnet no retrasó significativamente el programa iraní, debido a su descubrimiento prematuro, ayudó a ganar tiempo para la diplomacia y las sanciones para llevar a Irán a la mesa de negociaciones.

Stuxnet también cambió la naturaleza de la guerra y lanzó una carrera armamentista digital. Condujo a otros países, incluido Irán, a ver el valor del uso de operaciones cibernéticas ofensivas para lograr objetivos políticos, una consecuencia con la que Estados Unidos ha estado lidiando desde entonces.

El general Michael Hayden, ex jefe de la CIA y la NSA, reconoció su naturaleza innovadora cuando comparó la operación Stuxnet con las bombas atómicas lanzadas sobre Hiroshima y Nagasaki.

«No quiero fingir que es el mismo efecto«, dijo, «pero al menos en un sentido, es agosto de 1945«.

Una versión de este artículo apareció publicada en Yahoo News: https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html?soc_src=hl-viewer&soc_trk=tw#Navigation

leer más
, , , , , , , , , , , , No comments
Isaul CarballarCómo un topo holandés ayudó a EEUU/Israel a infectar a Irán con el virus Stuxnet

China insertaría microchips espía en Apple, Amazon y otros: Bloomberg

Isaul Carballar 4 octubre, 2018

Portada Revista Bloomberg BusinessweekEspías chinos se han infiltrado en la cadena de suministro de servidores utilizados por cerca de 30 compañías estadounidenses, incluidos Apple, Amazon y algunos contratistas del gobierno de los EEUU, según un explosivo informe de Bloomberg Businessweek.

La operación es quizás el ejemplo más audaz de piratería informática realizada por un estado nación que se haya reportado públicamente, donde un brazo de las fuerzas armadas de China obliga a los fabricantes chinos a insertar microchips en servidores diseñados por EEUU. Los chips «no eran mucho más grandes que un grano de arroz«, informa Bloomberg, pero pueden subvertir el hardware en el que están instalados, desviando datos y permitiendo que ingresen nuevos códigos como un caballo de Troya.

Hackeo de Chips No es Reconocido

Según Bloomberg, Amazon y Apple descubrieron el hackeo a través de investigaciones internas y lo informaron a las autoridades estadounidenses. La publicación dice que no hay evidencia directa de que los datos de las empresas, o de los usuarios, hayan sido robados o manipulados, pero ambas empresas trabajaron en silencio para eliminar los servidores comprometidos de su infraestructura.

Tanto Amazon como Apple refutan fuertemente la historia. Amazon dice que es «falso» que hayan sabido de «servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China» o que «trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso«. Apple es igualmente definitivo indicando: «En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, ‘manipulaciones de hardware’ o vulnerabilidades plantadas a propósito en ningún servidor«.

Según los informes, el ataque se llevó a cabo a través de la compañía estadounidense Super Micro Computer Inc, comúnmente conocida como Supermicro. La firma es uno de los proveedores más grandes del mundo de tarjetas madre para servidores y subcontrata la fabricación a fábricas en China y en otros lugares.

Hardware Comprometido

Las tarjetas madre de Supermicro se utilizan en todo el mundo, tanto en productos especializados como las máquinas de IRM (imagen por resonancia magnética) y sistemas armamentistas, como para centros de datos utilizados por los gigantes tecnológicos. La compañía fabrica servidores para cientos de clientes, incluidos Elemental Technologies, una startup que se especializa en compresión de video y que fue adquirida por Amazon en 2015.

«Piense en Supermicro como el Microsoft del mundo del hardware«, dijo un ex funcionario de inteligencia de Estados Unidos a Bloomberg. “Atacar a las tarjetas madre de Supermicro es como atacar a Windows. Es como atacar a todo el mundo«.

Según Bloomberg, fue Elemental (a través de Supermicro) el objetivo principal de los militares chinos. Los servidores de Elemental «se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada», dice la publicación, con miles más utilizados por Apple y Amazon. En total, el ataque afectó a casi 30 empresas estadounidenses, incluidos contratistas gubernamentales y un importante banco.

Acciones Invisibles

Partes de la historia de Bloomberg han sido reportadas con anterioridad. Apple rompió su relación con Supermicro en 2016, pero el fabricante del iPhone afirmó que esto se debía a un incidente de seguridad menor y no relacionado. Se informó que Amazon se distanció de los servidores comprometidos de Supermicro al vender su infraestructura china a un rival, por razones desconocidas en ese momento. En una declaración a Bloomberg, Amazon admitió haber encontrado «vulnerabilidades» en los productos de Supermicro, pero dijo que estaban relacionados con el software, no con el hardware. Facebook, otro cliente potencial, también encontró problemas con los productos de Supermicro, identificando malware en el software de la compañía y eliminando los servidores de sus centros de datos.

Los informes de Bloomberg no han sido confirmados por fuentes oficiales de la comunidad de inteligencia de los Estados Unidos. El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, se negaron a comentar la historia. Sin embargo, es bien sabido que estas versiones modificadas de hardware son un gran trofeo para los equipos de inteligencia de una nación: la NSA ha sido sorprendida al realizar operaciones similares. Prometen enormes recompensas en términos de información robada, pero dejan rastros físicos, a diferencia de los programas informáticos.

Al igual que con otros hackeos a gran escala y fallas de seguridad, las repercusiones de la operación según lo informado por Bloomberg serán difíciles de juzgar. Según la publicación, la investigación de la comunidad de inteligencia de los Estados Unidos todavía está en curso, tres años después de su apertura.

 

Adaptación de un artículo publicado originalmente en: The Verge
leer más
, , , , , , , , , , , , , , , 2 comments
Isaul CarballarChina insertaría microchips espía en Apple, Amazon y otros: Bloomberg