NSA

All posts tagged NSA

2048x1152.jpg

Cómo un topo holandés ayudó a EEUU/Israel a infectar a Irán con el virus Stuxnet

Durante años, un misterio duradero ha rodeado el ataque del virus Stuxnet que tuvo como objetivo el programa nuclear de Irán: ¿cómo los EEUU e Israel introdujeron un malware en los sistemas informáticos de la altamente segura planta de enriquecimiento de uranio?

El primer virus de este tipo, diseñado para sabotear el programa nuclear de Irán, comenzó efectivamente la era de la guerra digital y se desató en algún momento en 2007, después de que Irán comenzó a instalar su primer lote de centrifugadoras en una controvertida planta de enriquecimiento cerca de la aldea de Natanz.

El mensajero detrás de esa intrusión, cuya existencia y función no han sido reportadas previamente, fue un topo interno reclutado por agentes de inteligencia holandeses a instancias de la CIA y la agencia de inteligencia israelí, el Mossad, según fuentes que hablaron con Yahoo News.

Un ingeniero iraní reclutado por la agencia de inteligencia holandesa AIVD proporcionó datos críticos que ayudaron a los desarrolladores estadounidenses a dirigir su código a los sistemas de Natanz, según cuatro fuentes de inteligencia. Ese topo luego proporcionó el acceso interno muy necesario cuando llegó el momento de deslizar Stuxnet en esos sistemas utilizando una unidad flash USB.

En 2004, se pidió a los holandeses que ayudaran a la CIA y al Mossad a acceder a la planta, pero no fue hasta tres años después que el topo, que se hizo pasar por un mecánico que trabajaba para una empresa de fachada que trabajaba en Natanz, entregó el arma digital. a los sistemas específicos. «[El] topo holandés fue la forma más importante de introducir el virus en Natanz«, dijo una de las fuentes a Yahoo.

Ni la CIA ni el Mossad respondieron a las preguntas de Yahoo News sobre la información. La AIVD declinó hacer comentarios sobre su participación en la operación.

La ahora famosa operación encubierta conocida como «Juegos Olímpicos» fue diseñada no para destruir el programa nuclear de Irán directamente, sino para retrasarlo y ganar tiempo para que las sanciones y diplomacia surtieran efecto. Esa estrategia fue exitosa en ayudar a traer a Irán a la mesa de negociaciones, lo que finalmente resultó en un acuerdo con el país en 2015.

La revelación de la participación holandesa se remonta a una época en que todavía había una amplia cooperación y un fuerte acuerdo multilateral entre los EEUU y sus aliados sobre cómo lidiar con el programa nuclear iraní, una situación que cambió el año pasado después de que la administración Trump se retiró del acuerdo nuclear que tanto se ganó con Teherán.

Natanz 2010

La operación «Juegos Olímpicos» fue principalmente una misión conjunta de Estados Unidos e Israel que involucró a la NSA, la CIA, el Mossad, el Ministerio de Defensa israelí y la Unidad Nacional Israelí SIGINT, el equivalente israelí de la NSA. Pero Estados Unidos e Israel recibieron asistencia de otras tres naciones, de acuerdo con las fuentes, de ahí el nombre en clave encubierto que dio un guiño al símbolo de cinco anillos del evento deportivo internacional más famoso del mundo. Dos de los tres jugadores participantes fueron Holanda y Alemania. Se cree que el tercero es Francia, aunque la inteligencia del Reino Unido también jugó un papel.

Alemania aportó especificaciones técnicas y conocimientos sobre los sistemas de control industrial realizados por la firma alemana Siemens que se utilizaron en la planta iraní para controlar las centrifugadoras giratorias, según las fuentes. Se cree que Francia ha proporcionado inteligencia de un tipo similar.

El Padre de la Bomba Atómica Islámica

Pero los holandeses estaban en una posición única para desempeñar un papel diferente: brindar inteligencia clave sobre las actividades de Irán para adquirir equipos de Europa para su programa nuclear ilícito, así como información sobre las centrifugadoras. Esto se debe a que las centrifugadoras en Natanz se basaron en diseños robados a una empresa holandesa en la década de 1970 por el científico pakistaní Abdul Qadeer Khan.

Venerado en Pakistán como el «padre» de la bomba islámica, el Sr. Khan es considerado un paria en Occidente debido a su papel en el establecimiento de una red clandestina de comercio internacional que alimentó un mercado ilegal de tecnologías de armas nucleares y misiles balísticos. Khan robó los diseños para construir el programa nuclear de Pakistán, luego procedió a comercializarlos a otros países, incluidos Irán y Libia.

La agencia de inteligencia holandesa, conocida como AIVD, junto con la inteligencia de EEUU y Gran Bretaña, se infiltró en la red de suministro de consultores europeos y compañías líderes de Khan que ayudaron a construir los programas nucleares en Irán y Libia. Esa infiltración no solo involucró el oficio de la vieja escuela, sino que también empleó operaciones de hacking ofensivas que se desarrollaban como parte del floreciente campo del espionaje digital.

Las capacidades cibernéticas de AIVD son bien conocidas ahora: el año pasado se reveló que AIVD fue responsable de informar al FBI sobre el hackeo del Comité Nacional Demócrata (DNC por sus siglas en inglés) en 2016, conocimiento que había adquirido porque sus operativos habían hackeado computadoras pertenecientes al grupo de piratería ruso conocido como Cozy Bear en 2014 y estaban viendo en 2015 cuando los rusos irrumpieron en las computadoras del Departamento de Estado de los EEUU y el DNC.

Pero durante los primeros días del programa nuclear de Irán, el equipo de hackers de AIVD era pequeño y todavía estaba en desarrollo.

El programa iraní, que había estado en segundo plano durante años, se puso en marcha en 1996, cuando Irán compró en secreto un conjunto de planos y componentes de centrífuga de Khan. En 2000, Irán comenzó a construir en Natanz con planes de construir una instalación que albergaría 50,000 centrífugas para enriquecimiento del gas de uranio.

Centrifugas para enriquecimiento de Uranio.

Ese mismo año, la AIVD hackeo el sistema de correo electrónico de una organización de defensa iraní clave en un esfuerzo por obtener más información sobre los planes nucleares de Irán, según las fuentes.

Las agencias de inteligencia israelíes y occidentales monitorearon en secreto el progreso en Natanz durante los próximos dos años, hasta agosto de 2002, cuando un grupo disidente iraní expuso públicamente el programa iraní en una conferencia de prensa en Washington, DC, utilizando la información proporcionada por las agencias de inteligencia. Los inspectores de la Agencia Internacional de Energía Atómica (IAEA por sus siglas en inglés), el organismo de las Naciones Unidas que monitorea los programas nucleares en todo el mundo, exigieron acceso a Natanz y se alarmaron al descubrir que el programa iraní estaba mucho más avanzado de lo que se creía.

En un laboratorio…

Se presionó a Irán para que aceptara detener toda actividad en Natanz, mientras que la IAEA buscó obtener más información sobre el programa nuclear, y la suspensión continuó durante todo 2004 y la mayor parte de 2005. Pero era solo cuestión de tiempo antes de que se reanudaran las operaciones en Natanz , y la CIA y el Mossad querían estar adentro cuando lo hicieron.

La solicitud de ayuda a los holandeses llegó a fines de 2004, cuando un enlace del Mossad que trabajaba en la Embajada de Israel en La Haya y un funcionario de la CIA con sede en la Embajada de los Estados Unidos se reunieron con un representante de la AIVD. Todavía no se habló de insertar un arma digital en los sistemas de control de Natanz; el objetivo en ese momento seguía siendo solo inteligencia.

Pero el momento no fue al azar. En 2003, la inteligencia británica y estadounidense había dado un gran golpe cuando interceptaron un barco que contenía miles de componentes de centrífuga con destino a Libia, componentes para el mismo modelo de centrífugas utilizado en Natanz. El envío proporcionó pruebas claras del programa nuclear ilícito de Libia. Se persuadió a Libia para que abandonara el programa a cambio del levantamiento de las sanciones, y también acordó renunciar a cualquier componente ya recibido.

Científico en Laboratorio Nacional de Oak Ridge, en Tennessee, EEUU.

En marzo de 2004, Estados Unidos, bajo protesta de los holandeses, había incautado los componentes del barco y los que ya estaban en Libia y los había llevado al Laboratorio Nacional Oak Ridge en Tennessee y a una instalación en Israel. En los próximos meses, los científicos ensamblaron las centrífugas y las estudiaron para determinar cuánto tiempo le tomaría a Irán enriquecer suficiente gas para fabricar una bomba. De esto surgió el complot para sabotear las centrifugadoras.

…Nace Stuxnet

La agencia de inteligencia holandesa ya tenía una información privilegiada en Irán, y después de la solicitud de la CIA y el Mossad, el topo decidió establecer dos vías paralelas, cada una con una compañía local de fachada, con la esperanza de que uno lograra ingresar a Natanz.

Establecer una empresa ficticia con empleados, clientes y registros que muestren un historial de actividad, lleva tiempo y el tiempo escasea. A fines de 2005, Irán anunció que se retiraría del acuerdo de suspensión, y en febrero de 2006 comenzó a enriquecer su primer lote de gas hexaflourido de uranio en una planta piloto en Natanz. Sin embargo, los iraníes tuvieron algunos problemas que los ralentizaron, y no fue sino hasta febrero de 2007 que lanzaron formalmente el programa de enriquecimiento instalando las primeras centrífugas en las salas principales de Natanz.

Para entonces, el desarrollo del código de ataque de Stuxnet ya estaba en marcha. En 2006, se realizó una prueba de sabotaje con centrifugadoras y se presentó al presidente George Bush, quien autorizó la operación encubierta una vez que se le mostró que realmente podía tener éxito.

Para mayo de 2007, Irán tenía 1,700 centrifugadoras instaladas en Natanz que enriquecían el gas, con planes de duplicar esa cantidad para el verano. Pero en algún momento antes del verano de 2007, el topo holandés estaba dentro de Natanz.

La primera compañía que estableció el topo no había logrado ingresar a Natanz: había un problema con la forma en que se creó la compañía, según dos de las fuentes, y «los iraníes ya sospechaban«, explicó uno.

La segunda compañía, sin embargo, recibió asistencia de Israel. Esta vez, el topo holandés, que era un ingeniero entrenado, logró ingresar a Natanz haciéndose pasar por mecánico. Su trabajo no implicó la instalación de las centrífugas, pero lo llevó a donde necesitaba estar para recopilar información de configuración sobre los sistemas. Al parecer, regresó a Natanz varias veces en el transcurso de algunos meses.

«[Él] tuvo que volver … varias veces para recopilar información esencial [que podría usarse para] actualizar el virus en consecuencia«, dijo una de las fuentes a Yahoo News.

Las fuentes no proporcionaron detalles sobre la información que recopiló, pero Stuxnet estaba destinado a ser un ataque de precisión que solo desataría su sabotaje si encontraba una configuración muy específica de los equipos y las condiciones de la red. Usando la información que proporcionó el topo, los atacantes pudieron actualizar el código y proporcionar algo de esa precisión.

De hecho, hay evidencia de actualizaciones al código que ocurren durante este período. Según la firma de seguridad Symantec, que realizó ingeniería inversa de Stuxnet después de ser descubierto, los atacantes actualizaron el código en mayo de 2006 y nuevamente en febrero de 2007, justo cuando Irán comenzó a instalar las centrífugas en Natanz. Pero hicieron cambios finales al código el 24 de septiembre de 2007, modificaron las funciones clave que se necesitaban para llevar a cabo el ataque y compilaron el código en esa fecha. Compilar código es la etapa final antes de lanzarlo.

Todo por una simple unidad flash USB

El código fue diseñado para cerrar las válvulas de salida en números aleatorios de centrifugadoras para que el gas entrara en ellas pero no pudiera salir. Esto tenía la intención de aumentar la presión dentro de las centrífugas y causar daños con el tiempo y también gas residual.

Esta versión de Stuxnet tenía solo una forma de propagarse: a través de una unidad flash USB. Los sistemas de control de Siemens en Natanz estaban vacíos, lo que significa que no estaban conectados a Internet, por lo que los atacantes tuvieron que encontrar una manera de saltar esa brecha para infectarlos. Los ingenieros de Natanz programaron los sistemas de control con el código cargado en las unidades flash USB, por lo que el topo instaló directamente el código él mismo insertando un USB en los sistemas de control o infectó el sistema de un ingeniero, que luego entregó involuntariamente Stuxnet cuando programó el sistemas de control con una memoria USB.

Una vez que se logró eso, el topo no regresó a Natanz nuevamente, pero el malware logró su sabotaje durante 2008. En 2009, los atacantes decidieron cambiar de táctica y lanzaron una nueva versión del código en junio de ese año y nuevamente en marzo y abril de 2010. Esta versión, en lugar de cerrar las válvulas en las centrifugadoras, varió la velocidad a la cual las centrifugadoras giraron, alternativamente acelerándolas hasta un nivel más allá del cual fueron diseñadas para girar y desacelerarlas. El objetivo era dañar las centrifugadoras y socavar la eficiencia del proceso de enriquecimiento. Esto de alguna forma consiguió un efecto doble, de alterar las operaciones por un lado, y por otro, mostrarse como un error interno, y no un hackeo. Lo que le permitiría mantenerse oculto por meses o años. Notablemente, los atacantes también actualizaron y compilaron esta versión del código de ataque el 24 de septiembre de 2007, cuando compilaron el código para la primera versión, lo que sugiere que la inteligencia que el topo holandés había proporcionado en 2007 puede haber contribuido a esta versión también.

Sin embargo, cuando se lanzó esta última versión del código, los atacantes habían perdido el acceso interno a Natanz que habían disfrutado a través del topo, o tal vez simplemente ya no lo necesitaban. Consiguieron esta versión de Stuxnet en Natanz al infectar a objetivos externos que la trajeron a la planta. Los objetivos eran empleados de cinco compañías iraníes, todas ellas contratistas en el negocio de instalar sistemas de control industrial en Natanz y otras instalaciones en Irán, que se convirtieron en correos involuntarios para el arma digital.

El virus Stuxnet se propaga

«Es sorprendente que sigamos obteniendo información sobre el proceso de desarrollo de Stuxnet [10 años después de su descubrimiento]«, dijo Liam O’Murchu, director de desarrollo de la división de Tecnología de Seguridad y Respuesta de Symantec. O’Murchu fue uno de los tres investigadores de la compañía que revirtió el código después de que se descubrió. «Es interesante ver que tenían la misma estrategia para [la primera versión de Stuxnet] pero que era un proceso más manual. … Necesitaban tener a alguien en el terreno cuya vida estuviera en riesgo cuando realizaban esta operación«.

O’Murchu cree que el cambio de tácticas para la versión posterior de Stuxnet puede ser una señal de que las capacidades de los atacantes mejoraron para que ya no necesitaran un topo interno.

«Quizás … en 2004 no tenían la capacidad de hacer esto de manera automatizada sin tener a alguien en el terreno«, dijo. «Mientras que cinco años después pudieron llevar a cabo todo el ataque sin tener un activo en el terreno y poner a alguien en riesgo«.

Pero su táctica posterior tuvo un inconveniente diferente. Los atacantes agregaron múltiples mecanismos de difusión a esta versión del código para aumentar la probabilidad de que llegue a los sistemas objetivo dentro de Natanz. Esto causó que Stuxnet se extendiera sin control, primero a otros clientes de los cinco contratistas, y luego a miles de otras máquinas en todo el mundo, lo que llevó al descubrimiento de Stuxnet y la exposición pública en junio de 2010.

Comienza la carrera armamentista cibernética

Meses después del descubrimiento de Stuxnet, un sitio web en Israel indicó que Irán había arrestado y posiblemente ejecutado a varios trabajadores en Natanz bajo la creencia de que ayudaron a introducir el malware en los sistemas de la planta. Dos de las fuentes de inteligencia que hablaron con Yahoo News indicaron que efectivamente hubo pérdida de vidas por el programa Stuxnet, pero no dijeron si esto incluía al topo holandés.

Si bien Stuxnet no retrasó significativamente el programa iraní, debido a su descubrimiento prematuro, ayudó a ganar tiempo para la diplomacia y las sanciones para llevar a Irán a la mesa de negociaciones.

Stuxnet también cambió la naturaleza de la guerra y lanzó una carrera armamentista digital. Condujo a otros países, incluido Irán, a ver el valor del uso de operaciones cibernéticas ofensivas para lograr objetivos políticos, una consecuencia con la que Estados Unidos ha estado lidiando desde entonces.

El general Michael Hayden, ex jefe de la CIA y la NSA, reconoció su naturaleza innovadora cuando comparó la operación Stuxnet con las bombas atómicas lanzadas sobre Hiroshima y Nagasaki.

«No quiero fingir que es el mismo efecto«, dijo, «pero al menos en un sentido, es agosto de 1945«.

Una versión de este artículo apareció publicada en Yahoo News: https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html?soc_src=hl-viewer&soc_trk=tw#Navigation

leer más
Isaul CarballarCómo un topo holandés ayudó a EEUU/Israel a infectar a Irán con el virus Stuxnet
monitoreo.jpg

Cómo llegó el programa de espionaje de guerra RT-RG a la frontera mexicana (parte 1)

Recientemente se dio a conocer que Estados Unidos transportó un programa de espionaje masivo diseñado para zonas de guerra en Irak y Afganistán a su frontera con México. Si bien no es la primera vez que nos enteramos del abuso de tecnologías de vigilancia en América Latina, el presente caso muestra otra faceta más del obscuro mundo que habitamos.

Una serie de documentos del archivo de Snowden muestran cómo el programa de espionaje Real Time Regional Gateway (RT-RG), en menos de cinco años, migró de los campos de batalla de Irak y Afganistán a la frontera entre Estados Unidos y México, donde se usó para combatir el narcotráfico y el contrabando de personas, un tipo de misión muy diferente.

Este programa se usó por primera vez en Bagdad a principios de 2007. Las bajas que Estados Unidos estaba teniendo en Irak se estaban volviendo insostenibles a cuatro años de haber iniciado el conflicto. Por tanto, el entonces director de la NSA, Keith Alexander, decidió crear RT10, un sistema que permitía recibir en tiempo real la información de las líneas militares. El RT10 era solo en comienzo de lo que más tarde sería el RT-RG.

Pero el RT-RG pronto atrajo interés desde fuera del ejército y para operaciones militares fuera de Irak. Un empleado de la NSA desplegado en Bagdad en 2009 describió a SIDtoday, cómo se le pidió que demostrara el sistema a representantes entusiastas del FBI y otras agencias gubernamentales. El empleado mostró en pantalla un mapa de movimientos insurgentes en vivo, con «mensajes de texto en árabe que se desplazan por la parte inferior mientras los insurgentes envían mensajes» entre sí.

Los documentos del archivo de Snowden revelan que el RT-RG se convirtió en un programa avanzado de computación en la nube que tenía precisados todos los movimientos en el desierto de Afganistán. Y así, el RT-RG no solo hizo a las fuerzas estadounidenses más letales, sino que cambió la forma en cómo luchaban, pues ahora hacían uso de las nuevas tecnologías, los teléfonos, para predecir a sus enemigos.

El monitoreo telefónico que realiza EEUU ha sido ampliamente documentado, pero con la construcción del Área 82, el tipo de intercambio extenso de inteligencia ejemplificado por RT-RG se convirtió en la piedra angular de la estrategia de inteligencia de los EEUU. Ahora bien, en la primavera de 2017, la NSA se hizo pública con RT-RG y comenzó a insinuar otras implementaciones del sistema. Hasta ahora solo se sabía que “Estados Unidos había implementado el programa en otras zonas de conflicto”, pero no se precisaba cuáles.

El archivo de Snowden reveló que desde el año 2010, RT-RG ha sido implementado en la frontera entre México y Estados Unidos. Pero al mismo tiempo, el programa de espionaje se extendió por todo el mundo según se jacta la NSA.

Sin embargo, lo más controversial es que el programa no fue a parar a México como consecuencia, sino que allí estaba su origen. Un memorando de 2008 de la NSA que resume una reunión Centro de Inteligencia de El Paso, o EPIC, muestra que, el mismo mes en que Noruega comenzó a usar cajas de basura cerca de Kabul, y varios meses antes de que RT-RG en Afganistán se declarara operativa, se sostuvieron discusiones sobre el uso de RT-RG en la frontera de Estados Unidos y México.

El Paso es una instalación dirigida por la Administración de Control de Drogas (DEA) establecida en Texas para ayudar a proteger la frontera sur y fomentar la información. Así que en un principio se quería usar este programa de espionaje en tiempo real para saber los movimientos del narcotráfico.

leer más
Diarleth G.Cómo llegó el programa de espionaje de guerra RT-RG a la frontera mexicana (parte 1)

Emiratos Árabes Unidos contrató a mercenarios estadounidenses para piratear los iPhones de enemigos con una herramienta avanzada de espía

Un nuevo informe revela el ‘Proyecto Raven’, un esfuerzo de espionaje del país del Golfo que comenzó en 2016 y abarca objetivos desde Yemen hasta Turquía

  • Emiratos Árabes Unidos utilizó software espía israelí para recopilar información sobre la realeza de Qatar, afirman las demandas
  • La firma cibernética israelí negoció la venta de capacidades de ataque avanzadas con saudíes, revela Haaretz

Un equipo de ex agentes de inteligencia del gobierno de EE. UU. Que trabajaban para los Emiratos Árabes Unidos hackearon los iPhones de activistas, diplomáticos y líderes extranjeros rivales con la ayuda de una sofisticada herramienta de espionaje llamada Karma, en una campaña que muestra cómo las armas cibernéticas potentes están proliferando más allá de las superpotencias del mundo y en manos de naciones más pequeñas.

La herramienta cibernética permitió al pequeño país del Golfo para monitorear cientos de objetivos a partir de 2016, desde el Emir de Qatar y un alto funcionario turco hasta un activista de derechos humanos galardonado con el Premio Nobel de la Paz en Yemen, según cinco ex operativos y documentos del programa revisados ​​por Reuters. Las fuentes entrevistadas por Reuters no eran ciudadanos emiratíes.

Karma fue utilizado por una unidad de operaciones cibernéticas ofensivas en Abu Dhabi compuesta por oficiales de seguridad de Emiratos y ex agentes de inteligencia estadounidenses que trabajan como contratistas para los servicios de inteligencia de los Emiratos Árabes Unidos. La existencia de Karma y de la unidad de piratería, cuyo nombre de código fue Proyecto Raven, no se ha informado anteriormente. Las actividades de Raven se detallan en una historia separada publicada por Reuters.

Los ex operarios de Raven describieron a Karma como una herramienta que podría otorgar acceso remoto a los iPhones simplemente cargando números de teléfono o cuentas de correo electrónico en un sistema automatizado de focalización. La herramienta tiene límites: no funciona en dispositivos Android y no intercepta llamadas telefónicas. Pero era inusualmente potente porque, a diferencia de muchas vulnerabilidades, Karma no requería un objetivo para hacer clic en un enlace enviado a un iPhone, dijeron.

En 2016 y 2017, se usó Karma para obtener fotos, correos electrónicos, mensajes de texto e información de ubicación de los iPhones de los objetivos. La técnica también ayudó a los hackers a recolectar contraseñas guardadas, que podrían usarse para otras intrusiones.

No está claro si el hack del Karma sigue en uso. Los ex agentes dijeron que para fines de 2017, las actualizaciones de seguridad para el software del iPhone de Apple Inc habían hecho al Karma mucho menos efectivo.

ESPIA DE CONTRATO Después de dejar su trabajo en la NSA en 2014, Lori Stroud trabajó como agente de inteligencia de contrato para los Emiratos Árabes Unidos. Stroud, que ahora vive en un lugar no revelado en América, dijo que la misión cruzó una línea cuando supo que su unidad estaba espiando a los estadounidenses. Foto de Reuters / Joel Schectman

Lori Stroud, un ex agente de Raven que también trabajó anteriormente en la Agencia de Seguridad Nacional de EE. UU. (NSA por sus siglas en inglés), Dijo a Reuters sobre la emoción cuando se introdujo el Karma en 2016. «Tenemos este gran nuevo exploit que acabamos de comprar. Consíganos una gran lista de objetivos que tienen iPhones ahora«, dijo. «Era como Navidad«

La divulgación de Karma y la unidad Raven se produce en medio de una creciente carrera cibernética de armamentos, con rivales como Qatar, Arabia Saudita y los Emiratos Árabes Unidos compitiendo por las herramientas y el personal de pirateo más sofisticados.

Herramientas como Karma, que pueden explotar cientos de iPhones simultáneamente, capturando sus datos de ubicación, fotos y mensajes, son especialmente buscadas, dicen los veteranos de la guerra cibernética. Se cree que solo unas 10 naciones, como Rusia, China y Estados Unidos y sus aliados más cercanos, son capaces de desarrollar tales armas, dijo Michael Daniel, un ex zar de seguridad cibernética de la Casa Blanca bajo la presidencia de Obama.

Karma y otras herramientas similares hacen que los dispositivos personales como los iPhones sean los «objetivos más jugosos», dijo Patrick Wardle, ex investigador de la Agencia de Seguridad Nacional y experto en seguridad de Apple.

Una portavoz del Ministerio de Asuntos Exteriores de los Emiratos Árabes Unidos declinó hacer comentarios.

Apple Inc. no quiso hacer comentarios.

Una falla en el sistema de mensajería de Apple

Los antiguos conocedores de Raven dijeron que el Karma les permitió a los agentes reunir pruebas sobre decenas de objetivos, desde activistas críticos del gobierno hasta rivales regionales, incluido Qatar, y el opositor ideológico de los EAU, el islámico Movimiento político de la Hermandad Musulmana.

También les otorgó acceso a fotos comprometidas y, a veces, sexualmente explícitas de objetivos. El material fue descrito detalladamente a Reuters, pero los reporteros no lo inspeccionaron. Reuters no vio evidencia de que los Emiratos Árabes Unidos hayan filtrado materiales dañinos descubiertos a través del Karma.

Raven estaba integrada en su mayoría por veteranos de la comunidad de inteligencia de los Estados Unidos, a quienes se les pagaba a través de una firma de seguridad cibernética de los Emiratos llamada DarkMatter, según documentos revisados ​​por Reuters. La compañía no respondió a numerosos correos electrónicos y llamadas telefónicas solicitando comentarios. La NSA se negó a comentar sobre el Proyecto Raven.

El gobierno de los EAU compró Karma a un proveedor fuera del país, dijeron los agentes. Reuters no pudo determinar el creador de la herramienta.

Los operativos sabían cómo usar el Karma, y ​​lo alimentaban con nuevos objetivos diariamente, en un sistema que no requería casi ninguna entrada después de que un operativo estableciera su objetivo. Pero los usuarios no entendieron completamente los detalles técnicos de cómo la herramienta logró explotar las vulnerabilidades de Apple. Las personas familiarizadas con el arte del espionaje cibernético dijeron que esto no es inusual en una importante agencia de inteligencia de señales, donde los operadores no tienen en cuenta la mayor parte de lo que los ingenieros saben del funcionamiento interno de un arma.

Tres ex agentes dijeron que entendían que Karma dependía, al menos en parte, de una falla en el sistema de mensajería de Apple, iMessage. Dijeron que la falla permitía la implantación de malware en el teléfono a través de iMessage, incluso si el propietario del teléfono no utilizaba el programa iMessage, lo que permitía a los hackers establecer una conexión con el dispositivo.

Para iniciar el compromiso, Karma solo necesitaba enviar un mensaje de texto al destinatario; el hack no requería ninguna acción por parte del destinatario. Los operativos no pudieron determinar cómo funcionaba la vulnerabilidad.

Una persona con conocimiento directo del acuerdo confirmó la venta de Karma a los Emiratos por parte de un proveedor externo, detalles de sus capacidades y su dependencia de una vulnerabilidad de iMessage.

El equipo de Raven logró piratear con éxito las cuentas de cientos de prominentes figuras políticas y activistas de Medio Oriente en toda la región y, en algunos casos, en Europa, según los operativos y documentos del programa de Raven.

Dirigiendo a la ‘Mujer de hierro’ de Yemen

El emir de Qatar, el jeque Tamim bin Hamad Al Thani, asistió al acuerdo de firma en la Casa Azul presidencial en Seúl el 28 de enero de 2019. AFP

En 2017, por ejemplo, los agentes utilizaron Karma para piratear un iPhone usado por el emir de Qatar, Sheikh Tamim bin Hamad al-Thani, así como los dispositivos del antiguo Designado Primer de Turquía. El ministro Mehmet Şimşek y el jefe de asuntos exteriores de Omán, Yusuf bin Alawi bin Abdullah. No está claro qué material se tomó de sus dispositivos.

Şimşek, quien se retiró de su cargo en julio, dijo a Reuters que la intrusión cibernética en su teléfono era «espantosa y muy preocupante«. Las embajadas de Qatar, Omán y Turquía en Washington no respondieron a múltiples correos electrónicos y llamadas solicitando comentarios sobre La focalización de figuras políticas en sus países.

Raven también atacó a Tawakkol Karman, una activista de derechos humanos conocida como la Mujer de Hierro de Yemen. Informada por Reuters que había sido atacada, dijo que cree que fue elegida debido a su liderazgo en las protestas de la Primavera Árabe de Yemen, que surgieron en la región en 2011 y llevaron a la destitución del presidente egipcio Hosni Mubarak.

Durante años recibió notificaciones repetidas de cuentas de redes sociales, advirtiendo que había sido hackeada, dijo a Reuters. Pero el hecho de que los estadounidenses ayudaron al gobierno emiratí a vigilarla fue impactante, dijo.

«Se espera que los estadounidenses apoyen la protección de los defensores de los derechos humanos y les brinden todos los medios y herramientas de protección y seguridad «, dijo,» no es una herramienta en manos de las tiranías para espiar a los activistas y permitirles para oprimir a sus pueblos”.

Por Joel Schectman y Christopher Bing en Washington. Editado por Ronnie Greene, Jonathan Weber y Michael Williams. Traducción del editor.

leer más
Isaul CarballarEmiratos Árabes Unidos contrató a mercenarios estadounidenses para piratear los iPhones de enemigos con una herramienta avanzada de espía

Herramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Kaspersky informa que detectó infecciones provocadas con DarkPulsar, presunto malware desarrollado por la NSA

Kaspersky Lab

  • La compañía de ciberseguridad Kaspersky anuncia que detectó malware desarrollado por la Agencia Nacional de Seguridad (NSA por sus siglas en Inglés) de los EEUU.
  • Las víctimas incluyen infraestructura en energía nuclear, telecomunicaciones, informática y aeroespacial de Rusia, Irán y Egipto
  • No está claro si las infecciones son provocadas por hackers o la misma NSA

Los malhechores están usando herramientas de hacking desarrolladas por la NSA. Las mismas fueron liberadas el público el año pasado por un grupo de hackers conocido como los Shadow Brokers. dichas herramientas se utilizaron para infectar y espiar los sistemas informáticos utilizados en las industrias aeroespacial, de energía nuclear y otras industrias de infraestructura clave.

«Encontramos alrededor de 50 víctimas, pero creemos que la cifra es mucho mayor», dijeron los investigadores de Kaspersky Lab.

«Todas las víctimas estaban ubicadas en Rusia, Irán y Egipto, y típicamente los servidores Windows 2003/2008 eran los que estaban infectados», dijo la compañía. «Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y R&D».

Los investigadores de Kaspersky pudieron analizar DarkPulsar porque fue una de las muchas herramientas de piratería que se descargaron en línea en la primavera de 2017.

Las herramientas de piratería fueron filtradas por un grupo de piratas informáticos conocidos como los Shadow Brokers, quienes afirmaron que los robaron del Equation Group, un nombre en clave dado por la industria de seguridad cibernética a un grupo que se cree universalmente que es la NSA.

DarkPulsar pasó casi desapercibido durante más de 18 meses, ya que el volcado de 2017 también incluía EternalBlue, el exploit que impulsó los tres brotes de ransomware del año pasado: WannaCry, NotPetya y Bad Rabbit.

Casi todos los ojos de la comunidad infosec se han centrado en EternalBlue durante el último año, y por una buena razón, ya que el exploit ahora se ha convertido en un malware básico.

Pero en los últimos meses, los investigadores de Kaspersky también han comenzado a profundizar en las otras herramientas de piratería filtradas por los Shadow Brokers el año pasado.

Los investigadores de Kaspersky también creen que la cantidad de computadoras infectadas con DarkPulsar es probablemente más grande que las 50 detecciones que encontraron.

El malware también incluía una función de eliminación automática, que los operadores de Equation Group probablemente usaban para cubrir sus huellas después de que los Shadow Brokers abandonaron sus herramientas en línea.

«Entonces, las 50 víctimas son muy probablemente sólo las que los atacantes simplemente han olvidado», dijeron los investigadores.

En cuanto a quién está detrás de estos hacks, Kaspersky no lo dijo. No está claro si los Shadow Brokers lograron tener en sus manos el malware DarkPulsar completo, pero luego optaron por no incluir la puerta trasera real en el paquete de herramientas filtradas.

Estas 50 infecciones podrían ser fácilmente el trabajo de las operaciones de espionaje cibernético de Equation Group o el trabajo de los Shadow Brokers.

 

Referencias:

DarkPulsar

https://www.zdnet.com/article/kaspersky-says-it-detected-infections-with-darkpulsar-alleged-nsa-malware/

https://www.theregister.co.uk/2018/10/19/leaked_nsa_malware/

 

leer más
Isaul CarballarHerramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

China insertaría microchips espía en Apple, Amazon y otros: Bloomberg

Portada Revista Bloomberg BusinessweekEspías chinos se han infiltrado en la cadena de suministro de servidores utilizados por cerca de 30 compañías estadounidenses, incluidos Apple, Amazon y algunos contratistas del gobierno de los EEUU, según un explosivo informe de Bloomberg Businessweek.

La operación es quizás el ejemplo más audaz de piratería informática realizada por un estado nación que se haya reportado públicamente, donde un brazo de las fuerzas armadas de China obliga a los fabricantes chinos a insertar microchips en servidores diseñados por EEUU. Los chips «no eran mucho más grandes que un grano de arroz«, informa Bloomberg, pero pueden subvertir el hardware en el que están instalados, desviando datos y permitiendo que ingresen nuevos códigos como un caballo de Troya.

Hackeo de Chips No es Reconocido

Según Bloomberg, Amazon y Apple descubrieron el hackeo a través de investigaciones internas y lo informaron a las autoridades estadounidenses. La publicación dice que no hay evidencia directa de que los datos de las empresas, o de los usuarios, hayan sido robados o manipulados, pero ambas empresas trabajaron en silencio para eliminar los servidores comprometidos de su infraestructura.

Tanto Amazon como Apple refutan fuertemente la historia. Amazon dice que es «falso» que hayan sabido de «servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China» o que «trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso«. Apple es igualmente definitivo indicando: «En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, ‘manipulaciones de hardware’ o vulnerabilidades plantadas a propósito en ningún servidor«.

Según los informes, el ataque se llevó a cabo a través de la compañía estadounidense Super Micro Computer Inc, comúnmente conocida como Supermicro. La firma es uno de los proveedores más grandes del mundo de tarjetas madre para servidores y subcontrata la fabricación a fábricas en China y en otros lugares.

Hardware Comprometido

Las tarjetas madre de Supermicro se utilizan en todo el mundo, tanto en productos especializados como las máquinas de IRM (imagen por resonancia magnética) y sistemas armamentistas, como para centros de datos utilizados por los gigantes tecnológicos. La compañía fabrica servidores para cientos de clientes, incluidos Elemental Technologies, una startup que se especializa en compresión de video y que fue adquirida por Amazon en 2015.

«Piense en Supermicro como el Microsoft del mundo del hardware«, dijo un ex funcionario de inteligencia de Estados Unidos a Bloomberg. “Atacar a las tarjetas madre de Supermicro es como atacar a Windows. Es como atacar a todo el mundo«.

Según Bloomberg, fue Elemental (a través de Supermicro) el objetivo principal de los militares chinos. Los servidores de Elemental «se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada», dice la publicación, con miles más utilizados por Apple y Amazon. En total, el ataque afectó a casi 30 empresas estadounidenses, incluidos contratistas gubernamentales y un importante banco.

Acciones Invisibles

Partes de la historia de Bloomberg han sido reportadas con anterioridad. Apple rompió su relación con Supermicro en 2016, pero el fabricante del iPhone afirmó que esto se debía a un incidente de seguridad menor y no relacionado. Se informó que Amazon se distanció de los servidores comprometidos de Supermicro al vender su infraestructura china a un rival, por razones desconocidas en ese momento. En una declaración a Bloomberg, Amazon admitió haber encontrado «vulnerabilidades» en los productos de Supermicro, pero dijo que estaban relacionados con el software, no con el hardware. Facebook, otro cliente potencial, también encontró problemas con los productos de Supermicro, identificando malware en el software de la compañía y eliminando los servidores de sus centros de datos.

Los informes de Bloomberg no han sido confirmados por fuentes oficiales de la comunidad de inteligencia de los Estados Unidos. El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, se negaron a comentar la historia. Sin embargo, es bien sabido que estas versiones modificadas de hardware son un gran trofeo para los equipos de inteligencia de una nación: la NSA ha sido sorprendida al realizar operaciones similares. Prometen enormes recompensas en términos de información robada, pero dejan rastros físicos, a diferencia de los programas informáticos.

Al igual que con otros hackeos a gran escala y fallas de seguridad, las repercusiones de la operación según lo informado por Bloomberg serán difíciles de juzgar. Según la publicación, la investigación de la comunidad de inteligencia de los Estados Unidos todavía está en curso, tres años después de su apertura.

 

Adaptación de un artículo publicado originalmente en: The Verge
leer más
Isaul CarballarChina insertaría microchips espía en Apple, Amazon y otros: Bloomberg