Operación de inteligencia internacional - Lince Negro

Posteado el Lun, 19/03/2018 - 08:48
Autor
Flavio Goldvaser
Fuente
http://www.nuevasion.com.ar/

Recientemente fue desbaratada una operación de ciberinteligencia de gran escala lanzada por Líbano, ejecutada bajo el nombre clave de “Lince Negro”. En un mundo donde los escenarios de guerra y espionaje tecnológico están cambiando, esta operación pone en evidencia la facilidad de acceso a la información, que le permite incluso a naciones con poco potencial militar construir sofisticadas redes de ataque a nivel mundial.

 

“No es ni por el sexo, ni el dinero, ni la fama, ¿entonces por qué es? Yo creo que todos estamos aquí en esta sala, porque tenemos fe. Creemos en el bien y en el mal y optamos por el bien. Creemos en la justicia y la injusticia y optamos por la justicia. Nuestra causa es justa, nuestros enemigos están por todas partes. Vosotros acabáis de atravesar el espejo. Lo que oigáis, lo que veáis, nada es lo que parece”.

Extracto de la película Proof (La Prueba), 1991, Dirigida por Jocelyn Moorhouse

 En las intersecciones de las Avenidas Damascous Road, Sami El Solh con Pierre Gemayel, en el centro político de la ciudad de Beirut, justo enfrente del palacio de Correos, se accede a un moderno edificio donde tiene su asiento el General Directorate of the General Security of Lebanon (GDGSL). Tomando un café desde el edificio del Directorio de la Universidad de Beirut se tiene una magnífica vista del citado edificio, seguramente alguien se habrá preguntado qué se esconde en su interior y qué actividades de inteligencia pueden desarrollarse en sus oficinas. Siendo que Líbano es considerado un país que todavía sigue saliendo de una guerra civil de más de dos décadas, dividido sectariamente, e infiltrado en todas sus estructuras por el grupo político-militar Hezbollah. Y con un sistema de seguridad muy endeble, no muy desarrollado y sin grandes capacidades globales.

Por este motivo nos asombramos cuando quedó expuesta una operación de inteligencia internacional que fuera revelada por la firma de seguridad informática Lookout INC. y Electronic Frontier Fundation (EFF) en de febrero de 2018. Como muchas veces sucede en la historia de los servicios secretos y el espionaje, un pequeño error de un operario de sistemas, seguramente muy apurado porque debía tener una cita romántica a la cual llegaba tarde, dejó abierto un server online, lo que dio lugar a una investigación que reveló una historia de intrigas y recolección de información a lo largo del mundo muy ambiciosas y sin precedentes conocidos. Ahora comenzaba el silencioso trabajo de visualizar qué se escondía en el. Ya de nada servirían, a partir de la revelación de estos informes comprometedores, las excusas de aquel frustrado operador. La puerta estaba abierta y el server donde estaba almacenada la información había sido detectado en ese edificio junto, con tetras de gigabaits de información almacenada. Mike Murray, Jefe de Seguridad Informática de la firma Lookout LTD., en una entrevista que le realizara el diario libanés Daily Star, expresó: “Es como si unos ladrones robaran un banco y dejaran la puerta abierta del lugar donde escondieron el dinero”.

Según detalla el informe difundido por ambas firmas, las operaciones de espionaje cibernético comenzaron el 27 de abril de 2010, e incluyeron tanto a militares, instituciones financieras y educativas, contratistas militares, empresas de la industria militar, políticos, periodistas y particulares. Comprometiendo así miles de sistemas electrónicos en todo el mundo, y afectando terabytes de información privada, sensible y privilegiada que fue interceptada. Según explicó al periódico libanés Daily Star el investigador de Lookout LTD. Michael Flossman, los datos que él pudo encontrar incluyen: fotos familiares y militares, passwords, fechas de cumpleaños, datos familiares, datos y extractos bancarios y todo tipo de comunicación entre individuos y empresas, incluyendo reservas de vuelos y asientos. Flossman expresó que es como si toda la vida de un individuo estuviese archivada en esos servers. El informe presentado agrega que hasta se almacenaban fotos particulares de las víctimas, que eran tomadas de forma automática a lo largo del tiempo que pasaban trabajando frente a las computadoras, a los efectos de tener controlada la vida y actividades de las mismas.

Citando un breve ejemplo de un espionaje individual, este incluía las comunicaciones, tiempos, llamadas perdidas y datos de un cliente con: Jordan Bank, Audi Bank, Bank UNB Loan, Qatar Central Bank, AUE Marketing Department, Dubái Islamic Bank, AI Bank, VISA card Infiniti, etc.

Esta información de inteligencia y ciberespionaje realizada por los servicios libaneses y denominada “Lince Negro”, siguió todos los procedimientos establecidos y fue metódica en su accionar. Primero, recabó información de los medios sociales, después realizó lo que se conoce con el nombre de “phishing” o engaños, y en algunos casos el acceso físico y compromiso de sistemas, aparatos electrónicos y cuentas. Todo esto utilizando como objetivo primario de ataque los así llamados Smartphone, con instrumentos de software comprados en la denominada Darkweb y con programas de espionaje implantados en las computadoras, como el Pallas o el FinFisher. Este espionaje se basaba en el uso de 11 diferentes tipos de virus que atacaron los sistemas Google Android de smartphones y de más de 27 virus que atacaron a computadoras con base en sistemas Windows, Linux y Mac, en todo el mundo. También incluía un programa desconocido de MalWare denominado CrossRAT. Durante el transcurso de la investigación, se pudieron detectar varios logins dentro de las consolas administrativas de un server de donde se originaba el ataque. Con tres direcciones IP, todas correspondientes a OREGO Telecom, pertenecientes al gobierno libanés y localizadas geográficamente dentro del edificio del GDGS.

La infraestructura usada por Lince Negro revela que esta fue operada, por lo menos, por cuatro agentes que utilizaron diferentes alias, dos dominios de internet y no menos de dos teléfonos ubicados en el mismo edificio.

Desprendiéndose de esta investigación, surgen los nombres de los agentes asociados a estos ataques. Posiblemente, y según la descripción proporcionada por Lookout LTD., se refieran a Nancy Razzouk, Hadi Mazeh, Rami Jabbour y Hassan Ward, cuyas cuentas recalan físicamente en el edificio del GS en Beirut, según datos obtenidos el 16 de marzo de 2015.

De acuerdo al mismo informe, sus técnicos pudieron detectar operaciones sospechosas en internet durante julio del 2017, las que permitieron identificar varios dominios informáticos que corrían componentes similares dentro de un server. Se reconocieron varias entradas con el nombre de Hadi Mazeh, quien intervenía los siguientes sistemas: Facebook, Gmail services, Twitter services, FB articles y Arab publisherslb. La consiguiente investigación indicó que múltiples usuarios usaban la misma dirección de correos registradas como op13.email o que el dueño del mismo tenía muchos alias que usaba indistintamente.

En julio del 2017, una vez dentro del sistema, a través de la investigación informática realizada se pudieron comprobar millones de pedidos hechos desde aparatos infectados, lo que demostró que Lince Negro corría seis diferentes campañas en paralelo. Algunas de las cuales estaban operacionales desde el año 2012. Se comprobó asimismo, que las víctimas procedían de diferentes nacionalidades que incluían: China, Francia, Alemania, India, Italia, Jordania, Líbano, Nepal, Holanda; Pakistán, Filipinas, Qatar, Rusia, Arabia Saudita, Corea del Sur, Suiza, Siria, Tailandia, Estados Unidos, Canadá, Suecia, Grecia, Egipto, Etiopia, Venezuela y Vietnam.

Con los móviles infectados, y a través del software implantado, los agentes libaneses pudieron realizar las siguientes actividades:

1-Tomar fotos con el frente o contra frente del Smartphone

2-Capturar mensajes de texto en forma automática

3-Recuperar todos los sitios navegados en internet

4-Obtener información de todas las cuentas usadas

5-Conocer localización a través de GPS

6-Activar silenciosamente el micrófono para capturar audios

7-Copiar contactos

8-Escanear todos los accesos cercanos a redes WI-FI incluyendo los códigos de autentificaciones, llaves de administración, y fortaleza o debilidad de la señal y su frecuencia

9-Rescatar chats desde mensajes cifrados o seguros

10-Mandar un mensaje al atacante sin conocimiento de la víctima

11-Recuperar números de llamadas

12-Recuperar sms y todo tipo de mensajes

13-Recuperar todas las aplicaciones instaladas e instalar nuevas en forma silenciosa

14-Enviar archivos en forma silenciosa

15-Borrar todas las operaciones realizadas por los atacantes

16-Recolectar claves a través del login de sitios engañosos vía phishing como ser: páginas de grupos de FB o Twitter, encuestas, páginas de noticias falsas, paginas de pornografía o pop-ups

Resumiendo: la descripción de esta operación de inteligencia lanzada por Líbano, nos enseña y pone alerta sobre la expansión de las fronteras tecnológicas a nivel mundial y la facilidad de acceso a la información, en un mundo donde los escenarios de guerra y espionaje tecnológico están cambiando y se hacen populares, y donde naciones con poco potencial económico o militar pueden construir sofisticadas redes de ataque a nivel mundial. Además, pueden alcanzar a cada uno de nosotros en cualquier lugar y momento, donde sea que nos encontremos, y producirnos un gran daño.

Estos escenarios hacen que las fronteras entre lo que hasta hace poco era considerado ciencia ficción y realidad se vuelven sutiles. Asimismo, llama a los gobiernos y fuerzas de seguridad a prestar más atención a estas vulnerabilidades, que en un futuro cercano serán cada vez más acuciantes y pueden poner en peligro a cada uno de quienes transitan inocentemente por la vida sin pensar que hay alguien que nos observa.

Cabe consignar finalmente, que al momento de redacción de este artículo el gobierno del Líbano no realizó ninguna declaración oficial sobre la Operación Lince Negro. De modo que solo nos queda el silencio por respuesta.

 

Sin votos (todavía)