El espionaje del Estado libanés desde adentro

Si Edward Snowden le enseñó algo al mundo, es que los gobiernos ahora tienen la capacidad de entrometerse en los asuntos personales y políticos de sus propios ciudadanos con relativa facilidad, y Líbano no es una excepción.

Tras las explosivas revelaciones que ilustran las actividades de espionaje dirigidas a su propia gente y patrocinadas por el Estado, Líbano ahora se ha visto empujado al frente de esta discusión, uniéndose a una larga lista de naciones que participan en un comportamiento generalizado.

La conclusión del informe, compilado por la firma de seguridad cibernética Lookout Inc. y la ONG de derechos digitales Electronic Frontier Foundation, sugiere que el gobierno de Líbano es, al menos, cómplice de esta flagrante campaña de ciberespionaje, realizada por un grupo de operarios bajo la bandera de Dark Caracal.

Siguiendo el análisis minucioso del informe realizado por An Nahar, a continuación se muestran los hallazgos clave y los resultados que muestran la gravedad de la violación y lo que abarca.

Origen de los ataques y sus perpetradores

Según el informe, los operadores de Dark Caracal estaban ubicados dentro del edificio de la Dirección General de Seguridad Nacional (DGSN), propiedad del gobierno. Investigadores de Lookout y EFF obtuvieron información de dispositivos Android de prueba desde los cuales los hackers realizaron los ataques, antes de usar una red Wi-Fi servicio de rastreo para confirmar su ubicación exacta.

Las direcciones de IP en los servidores de los atacantes se originaron en el operador de telecomunicaciones estatal Ogero, con dos de estas direcciones ubicadas justo al sur del voluminoso edificio de la DGSN que posiblemente sea un centro de conmutación o central para la compañía de telecomunicaciones.

El edificio DGSN es la sede de una de las agencias de inteligencia del país, y está situado en la intersección de las calles Pierre Gemayel y Damasco en la ciudad de Beirut.

Los investigadores de Lookout y EFF rastrearon los primeros ataques a principios de enero de 2012, cuando Dark Caracal inició una temprana campaña de vigilancia móvil, extendiendo la investigación hasta enero de 2018 cuando la campaña de espionaje fuera expuesta.

Los investigadores descubrieron cuatro alias diferentes asociados con Dark Caracal, junto con dos dominios y dos números de teléfono, con la dirección de correo electrónico op13@gmail.com en el centro de todo.

El análisis posterior de los datos generados reveló que 'Nancy Razzouk', 'Hassan Ward', 'Hadi Mazeh' y 'Rami Jabbour' fueron los alias elegidos por las personas asociadas, con los detalles de contacto de 'Nancy' que coincide con la identidad pública de un individuo con residencia en Beirut.

Plataformas atacadas y métodos

Según el informe de Lookout Inc. y EFF, Dark Caracal fue capaz de ampliar su red al obtener una visión profunda de cada una de las vidas de la víctima. Adquirió estos conocimientos a través de una serie de campañas de vigilancia multiplataforma que se iniciaron con ataques a computadoras de escritorio, y más tarde pivotaron a dispositivos móviles.

"Durante nuestra investigación, encontramos casi 90 Indicadores de Compromiso (IOC, por sus siglas en inglés) utilizados en las campañas de violación, 11 IOC de Android Malware, 26 IOC de computadoras de escritorio, 60 dominios, direcciones IP e información de WHOIS", dijo el informe.

Las plataformas utilizadas para posibles violaciones de seguridad son WhatsApp, Twitter, Facebook, Telegram, Primo, Threema, Orbot TOR Proxy, Psiphon, Plus Messenger y Signal.

Dark Caracal se basó principalmente en la ingeniería social a través de publicaciones en grupos de Facebook y mensajes de WhatsApp para comprometer sistemas, dispositivos y cuentas de destino. En un nivel alto, los atacantes diseñaron tres tipos diferentes de mensajes de phishing (suplantación de identidad), cuyo objetivo es eventualmente llevar a las víctimas a un ‘bebedero’ (sitio web) controlado por Dark Caracal.

La infraestructura del grupo aloja sitios de phishing que se parecen a los portales de inicio de sesión para servicios conocidos, como Facebook, Twitter y Google. La investigación encontró enlaces a estas páginas en numerosos grupos de Facebook que incluían "Nanys" en sus títulos.

Una estafa por suplantación de identidad es el intento de obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito, a menudo por razones maliciosas, disfrazándose como una entidad confiable durante una comunicación electrónica.

Si bien la utilización de un ‘bebedero’ consiste en un ataque de seguridad en el que el atacante intenta poner en peligro a un grupo específico de usuarios al infectar sitios web que los miembros del grupo visitan, el objetivo final es infectar la computadora de un usuario específico y obtener acceso a su red en el lugar de trabajo.

"La familia de malware para Android infecta principalmente las aplicaciones de mensajería y seguridad y, una vez que pone en peligro un dispositivo, es capaz de recopilar una importante cantidad de información sensible del usuario", explica el informe.

Dark Caracal distribuyó aplicaciones de Android infectadas con su software de vigilancia móvil desarrollado a medida a través de su ‘bebedero’, secureandroid.Info. Muchas de estas descargas incluyen mensajes falsos y aplicaciones orientadas a la privacidad.

Dark Caracal usó mensajes de phishing a través de aplicaciones populares, como WhatsApp, para dirigir a las personas al ‘bebedero’.

Los enlaces de phishing publicados en los grupos de Facebook vinculados a Dark Caracal incluyen noticias de temas políticos, enlaces a versiones falsas de servicios populares, como Gmail, y enlaces a versiones infectadas de WhatsApp.

Cuatro perfiles de Facebook similares en el tema dieron "me gusta" a los grupos de phishing. Dark Caracal probablemente usó estos perfiles falsos para iniciar la comunicación con las víctimas y establecer una buena relación antes de dirigirlas al contenido de los grupos de Facebook de "Nanys", o directamente al dominio secureandroid.info.

Tipo de datos robados

Según el informe, el tipo de datos robados incluye mensajes SMS, registros de llamadas, contactos, imágenes, información de cuentas, marcadores e historial de navegación, aplicaciones instaladas, grabaciones de audio, detalles de Wi-Fi, bases de datos de WhatsApp, Telegram y Skype, documentación legal y corporativa, y finalmente, listados de archivos y directorios.

Los datos robados se pueden dividir en las siguientes categorías de información:

- Mensajes SMS: los mensajes incluyen textos personales, autenticación de dos factores y contraseña de una sola vez, recibos y reservas de líneas aéreas, y comunicaciones de la compañía.

- Listas de contactos: estos datos incluyen números, nombres, direcciones, códigos de acceso bancarios, números PIN, cuántas veces se marcó cada contacto y la última vez que se llamó al contacto.

- Registros de llamadas: estos datos incluyen un registro completo de las llamadas entrantes, salientes y perdidas junto con la fecha y la duración de la conversación.

- Aplicaciones instaladas: estos datos incluyen nombres de aplicaciones y números de versión.

- Marcadores e historial de navegación: estos datos incluyen marcadores e historial de navegación de páginas web. Esta información se vio en una sola campaña de Android llamada oldb, pero identificó claramente a las víctimas que estaban activas en el discurso político.

- Detalles de redes de Wi-Fi: estos datos incluyen los nombres de los puntos de acceso Wi-Fi, BSSID y la potencia del punto de señal.

- Cuentas de autenticación: estos datos incluyen las credenciales de inicio de sesión y las aplicaciones que lo están usando.

- Listados de archivos y directorios: estos datos incluyen una lista de archivos personales, archivos descargados y archivos temporales, incluidos los utilizados por otras aplicaciones.

- Grabaciones de audio y mensajes de audio: estos datos incluían grabaciones de audio de conversaciones, algunas de las cuales identificaban a las personas por su nombre.

- Fotos: estos datos incluyen todas las fotografías personales y descargadas, incluidas las imágenes de perfil.

- Bases de datos de registros de Skype: los datos incluían toda la carpeta de Skype AppData para ciertas víctimas, incluidas las bases de datos de mensajes.

"Es común ver copias de seguridad de fotos de teléfonos inteligentes en esta ubicación, que con mayor frecuencia contiene fotografías personales de familiares y amigos tomadas por la persona a la que se dirige", agregó el informe.

La investigación encontró la mayor colección de datos de un solo servidor de comando y control que operaba bajo el dominio adobeair.Net.

Durante un breve período de observación, los dispositivos de al menos seis campañas distintas de Android se comunicaron con este dominio, lo que significó la acumulación de 48 GB de información de dispositivos comprometidos.

Las campañas de Windows contribuyeron con otros 33 GB de datos robados.

El resto de los datos contenían muestras de malware de escritorio, informes de hojas de cálculo sobre víctimas y otros archivos.

Objetivos y su demografía

Dark Caracal se enfocó en una amplia gama de víctimas que abarcaban a miembros del ejército, funcionarios del gobierno, médicos, profesionales de la educación y académicos, civiles de numerosos campos, instituciones financieras, compañías manufactureras y contratistas de defensa.

"Hemos identificado cientos de gigabytes de datos robados de miles de víctimas, que abarcan más de 21 países en América del Norte, Europa, Medio Oriente y Asia", destacó el informe.

Se descubrió que las víctimas hablaban una variedad de idiomas y también provenían de una amplia gama de países. "Descubrimos mensajes y fotos en árabe, inglés, hindi, turco, tailandés, portugués y español en los datos examinados", dijo el informe.

Los países son los siguientes: Alemania, Arabia Saudí, China, Corea del Sur, Filipinas, Francia, Holanda, India, Italia, Jordania, Líbano, Nepal, Pakistán, Qatar, Rusia, Siria, Suiza, Tailandia, Venezuela y Vietnam.

Cómo se descubrió Dark Caracal

Incluso las herramientas y métodos de piratería más primitivos pueden ser eficaces cuando los destinatarios carecen de la aptitud necesaria para protegerse, lo que lleva a una violación de datos sustancial sin la necesidad de un sofisticado aparato de espionaje.

Sin embargo, la falta de una elevada destreza en nombre de Dark Caracal para atacar a sus víctimas también lo llevó a su caída, después de que los hackers dejaran expuestos cientos de gigabytes de datos interceptados y robados en Internet abierta.

"Es casi como si los ladrones robaran el banco y se olvidaran de cerrar la puerta donde guardaron el dinero", dijo Mike Murray, jefe de inteligencia de Lookout, a The Associated Press.

Esta es solo la segunda instancia cuando se mostraba tal descuido, con el único otro ejemplo de ineptitud que emanaba de Kazajistán en 2016, cuando Lookout descubrió de manera similar una serie de ataques contra periodistas y activistas políticos críticos de ese gobierno autoritario, junto con su familia miembros, abogados y asociados.

Irónicamente, esa transferencia de datos en particular llevó a los investigadores de Lookout a Dark Caracal, luego de que investigadores vincularan elementos de la brecha kazaja a Líbano, tropezando con un servidor abierto y lleno de imágenes, fotos, conversaciones privadas, mensajes de texto y mucho más.

Violación descarada de los derechos a la privacidad

Siempre es difícil dar al gobierno el beneficio de la duda en lo que respecta a la vigilancia nacional, pero el escepticismo aumenta aún más cuando se analiza la ley de Líbano relativa a las escuchas, la recopilación de datos y la obtención ilegal de información confidencial.

Este espionaje indiscriminado de las comunicaciones de los ciudadanos en nombre del DGSN es una violación de la ley libanesa, según un abogado que habló con An Nahar bajo condición de anonimato.

El espionaje sin orden judicial de individuos inocentes, sin una causa probable, está en contravención directa de las protecciones básicas garantizadas por la Ley No. 140, ratificada el 27 de octubre de 1999, dijo el abogado.

El artículo 1 de la Ley No. 140 prohíbe claramente la recopilación de información o el control de la comunicación de cualquier tipo, a menos que sea en casos específicos.

Con la expectativa de que el gobierno se proteja a sí mismo sobre la base de mantener a salvo el país, el artículo 9 de la misma ley estipula que las autoridades que deseen vigilar cualquier forma de comunicación deben obtener la aprobación del Ministro de Defensa, el Ministro del Interior y el Primer Ministro; demostrar de manera creíble que la vigilancia está relacionada con actividades terroristas, la protección de la seguridad nacional o la lucha contra la delincuencia organizada.

La solicitud también debe especificar los medios de comunicación que las autoridades desean interceptar, la información solicitada, así como la duración de la operación que no puede exceder un período de dos meses, a menos que se extienda de acuerdo con la legislación vigente.

Otro artículo de la ley estipula que las agencias de seguridad del Líbano deben pasar por los canales legales adecuados para obtener una orden judicial que permita la vigilancia de un ciudadano, proporcionando a un juez la evidencia necesaria que acompaña a su caso.

Los abusos de poder, el abuso de autoridad y la violación a la ley se castigan con hasta tres años de prisión, acompañados de una multa de hasta L.L.100 millones (u$s66.000).