Argentina:
Nisman tenía en su celular un potente virus que lo espiaba
Por Ariel Torres
La Nación, Buenos Aires
http://www.lanacion.com.ar//1818409-nisman-tenia-en-su-celular-un-potente-virus-para-espiarlo?utm_source=n_tis_nota1&utm_medium=titularS&utm_campaign=NLPol
12 de agosto de 2015
Hace 7 días, en la versión estadounidense de una de las convenciones de hackers más importantes del mundo, llamada Black Hat (https://www.blackhat.com), el experto en seguridad Morgan Marquis-Boire ofreció pruebas de que el teléfono celular del fiscal Alberto Nisman, que fue encontrado muerto en su departamento de un tiro en la cabeza el 18 de enero, había sido infectado con un poderoso programa espía.
El canadiense-neozelandés Marquis-Boire es una prestigiosa figura de la seguridad informática, cuyas investigaciones han llegado hasta la primera plana del New York Times y el Washington Post. Este es el diálogo que Marquis-Boire mantuvo con LA NACION mediante numerosos correos electrónicos. Los links fueron insertados por la Redacción con fines de ampliar la información.
-¿Por qué decidió investigar sobre el smartphone de Alberto Nisman?
-Porque su caso ha tenido mucha notoriedad en todas partes del mundo. Leí artículos sobre el tema en el New York Times, The New Yorker y otros medios. Hay mucha controversia respecto de la forma en que murió.
-¿Qué es lo que encontró y dónde expuso sus hallazgos?
-Los expuse en la conferencia Black Hat USA 2015. Di una charla con Marion Marschalek [ingeniera en Cyphort Inc.] llamada "Caza Mayor: las peculiaridades de la investigación sobre el malware de las Naciones-Estado" (https://www.blackhat.com/us-15/briefings.html#big-game-hunting-the-peculiarities-of-nation-state-malware-research). Durante la charla, analicé el hecho de que Alberto Nisman había sido blanco de un RAT, siglas de Remote Access Toolkit. Se trata de una clase de software que permite a un hacker o a un espía acceder de forma remota a la computadora o el dispositivo móvil de alguien. Esta clase de programa le permitiría a terceros grabar los correos electrónicos, mensajes de texto, obtener capturas de pantalla, incluso oír a esa persona por medio del micrófono o tomar fotos usando la webcam de la notebook o la cámara del teléfono.
-¿Cómo descubrió que Nisman había sido blanco de un RAT? Usted no tuvo acceso al teléfono del fiscal.
-La pista provino de una noticia publicada en el diario Tiempo (http://tiempo.infonews.com/nota/155284/fein-quiere-saber-quien-llamo-a-lagomarsino-el-dia-que-murio-nisman). La nota dice que la policía encontró archivos sospechosos durante su investigación de los dispositivos digitales de Nisman. También dice que subieron esos archivos a un sitio web que ofrece un antivirus online. El artículo menciona un nombre de archivo, "estrictamente secreto y confidencial.pdf.jar". Al buscar este nombre de archivo en el sitio Virus Total se encuentra una sola coincidencia, un archivo que fue subido desde Buenos Aires, Argentina, el 29 de mayo último (https://www.virustotal.com/es-ar/file/aa9aa05af8df2cc99eb936e2d17623a68abdbb60606bb097379457c4a3760116/analysis/).
"El programa espía en cuestión es una herramienta conocida como Alien Spy, que se vende online. Este software es el resultado de varias iteraciones. Originalmente, se trató de una prueba de concepto, un spyware conocido como Frutas. Luego se lo desarrolló para ponerlo a la venta, bajo el nombre de Adwind, y fue más tarde rebautizado como Unrecom. Recientemente, ha sido empleado en ataques dirigidos bajo el nombre de Alien Spy. Las marcas temporales muestran que el malware parece haber sido empacado el 1° de diciembre de 2014, más o menos 6 semanas antes de la muerte de Nisman. Las investigaciones de la infraestructura muestran que la gente detrás de esto parece haberse dirigido a otros objetivos, empleando contenidos políticos como carnada. Los indicadores de esta campaña basados en la Red (incluidos los dominios relacionados y las muestras de malware) apuntan a la Argentina y Uruguay. Sin embargo, también observamos estos servicios de hospedaje en Estados Unidos, Alemania y Suecia. Es difícil atribuir de una manera concluyente esta clase de ataques.
-¿Qué significa empacar un archivo, en este caso?
-Empacar [packing, en inglés] es un término que significa ocultar un programa ejecutable de modo que parezca otra cosa, aunque sigue siendo capaz de correr y los resultados cuando se lo ejecute serán los mismos. Los maleantes suelen usar empacadores personalizados con sus malware, de tal modo que resulte más difícil que los antivirus los detecten. [En el caso de Nisman] es probable que la técnica usada haya sido la que de enviarle un mail tentándolo a descargar y abrir el adjunto. Aunque el artículo de prensa dice que el archivo malicioso fue encontrado en su teléfono, es probable que los atacantes hayan tenido como blanco su notebook. Esta técnica se conoce como spear-phishing, un tipo de ataque que va dirigido una organización específica, buscando acceder a datos confidenciales.
-¿Su conclusión es que Nisman estaba siendo activamente espiado por un gobierno o esta clase de software malicioso es más o menos común?
-No parece ser un caso de crimen cibernético no dirigido. Es diferente en su naturaleza de los troyanos bancarios y los ransomware que mucha gente común recibe. Este malware parece haber sido dirigido específicamente a Nisman, y el tipo de software utilizado permite niveles de acceso a la vida en línea de la víctima altamente invasivos. Es difícil decir de forma concluyente si Nisman estaba siendo espiado o era blanco de un gobierno. Incluso si tuviera acceso a todos sus dispositivos y se me permitiera poner en práctica todos los análisis forenses, siempre es difícil atribuir de manera concluyente este tipo de campañas.
-¿Usted fue contactado por las autoridades argentinas?
-Sí.
-¿Cuándo?
-Inmediatamente después de que di mi charla.
-¿Quién se puso en contacto con usted, la Justicia, la policía, o el gobierno?
-Prefiero no aclarar eso. No sé con qué se sienten cómodos en esta etapa.
Lea la entrevista completa en:
http://www.lanacion.com.ar//1818409-nisman-tenia-en-su-celular-un-potente-virus-para-espiarlo?utm_source=n_tis_nota1&utm_medium=titularS&utm_campaign=NLPol
------------------------------------------------------------------------------------------fin------------------------------------------------------
Poco a poco, van apareciendo informaciones sobre el asesinato del Fiscal Nisman, que parecieran apuntar hacia un crimen ¿ de Estado ?
ResponderEliminar