Informe revela enorme red de espionaje por Internet

El 29 de marzo, un grupo de investigación canadiense reveló un informe que confirma los temores que las comunidades chinas disidentes han tenido durante años: la presencia de una gran red de espionaje por Internet que es capaz de rastrear datos altamente específicos y enviarlos a servidores de control establecidos en China.

La investigación fue realizada por Information Warfare Monitor, un grupo de investigación compuesto por investigadores de dos institutos en Canadá: SecDevGroup, un think tank basado en Ottawa, y Citizen Lab del Centro Munk para Estudios Internacionales de la Universidad de Toronto.

En su informe de 53 páginas titulado “Rastreo del ‘GhostNet’: Investigación sobre una red de cyber-espionaje”, documentan sus hallazgos de una red de espionaje mundial por Internet que depende de e-mails falsificados inteligentemente para infectar computadoras determinadas, controlarlas y luego enviar informes a servidores de control, la mayoría de los cuales están en China.

El grupo informó que su trabajo comenzó cuando empezaron a investigar computadoras en centros de exiliados tibetanos en Dharamsala, India. El trabajo “llevó al descubrimiento de interfaces inseguras basadas en Internet a cuatro servidores de control”, lo que permitía a los atacantes controlar las máquinas afectadas.

La exploración de estos servidores de control resultó en el descubrimiento de una vasta red de computadoras afectadas en todo el mundo. El informe contó “al menos 1.295 computadoras infectadas en 103 países”.

Un gran número de computadoras afectadas eran objetivos de muy alto nivel: cerca del 30% de las computadoras afectadas pertenecían a “ministerios de relaciones exteriores de Irán, Bangladesh, Letonia, Indonesia, Filipinas, Brunéi, Barbados y Bután; embajadas de India, Corea del Sur, Indonesia, Rumania, Chipre, Malta, Tailandia, Taiwán, Portugal, Alemania y Pakistán; el secretariado de la ASEAN (Asociación de Naciones del Sudeste Asiático), SAARC (Asociación Surasiática para la Cooperación Regional), y el Banco Asiático de Desarrollo; organizaciones de noticias; y una computadora no clasificada localizada en las oficinas centrales de la OTAN”.

Troyano con control total

Los investigadores descubrieron que GhostNet se esparció infectando computadoras con un troyano conocido como “gh0st RAT” que da a los atacantes un control total sobre el sistema infectado.

Descubrieron también que el troyano era capaz de “tomar el control total de las computadoras infectadas, incluyendo la búsqueda y descarga de archivos específicos, y la operación encubierta de dispositivos conectados, incluyendo micrófonos y cámaras web”. Tal control permitiría a los atacantes incluso escuchar y ver eventos que ocurren en las computadoras afectadas.

Los troyanos eran un malware disimulado, lo que lo hacía difícil de detectar con los antivirus y anti-malware comerciales. “Solo 11 de los 34 antivirus provistos por Virus Total reconocieron el malware incorporado en el documento. Los atacantes a menudo usaban paquetes ejecutables para confundir su código malicioso a fin de evitar ser detectados por los antivirus”, dice el informe.

Los atacantes usaban “medios sociales” para difundir el troyano. Por ejemplo, “emails contextualmente relevantes son enviados a objetivos específicos” y estos emails, una vez abiertos, instalaban el troyano en la computadora del desprevenido usuario.

¿Apuntado a los disidentes chinos?

La red mundial de troyanos es solamente la última de una serie de ataques cibernéticos masivos originados en la China comunista. En 2003, el Departamento de Defensa de Estados Unidos (DoD) y numerosas empresas de defensa recibieron un fuerte ataque en una operación que el DoD llamó “Lluvia de Titanio”, y desde entonces ha estado bajo ataque.

Los ataques originados en China también han apuntado a grupos no gubernamentales y grupos de disidentes chinos. El informe detallaba que los ataques apuntaron a “organizaciones que abogan sobre el conflicto en la región de Darfur en Sudán, grupos tibetanos activos en India, y Falun Gong”.

Citizen Lab ha estado previamente involucrada en otros estudios sobre el ciber-espionaje chino. En octubre de 2008 publicaron un informe titulado “Verdad incumplida”, que se enfocaba en la vigilancia subrepticia de sesiones de chat en TOM-Skype en China. El instituto también está detrás de “psiphon”, que permite el acceso a Internet sin censura en países donde se censura Internet.