El grupo de ciberespionaje Hacking Team resurge

  • Actualidad

Una investigación ha descubierto nuevas versiones actualizadas de la herramienta de vigilancia desarrollada por Hacking Team, y se ha comprobado que están operando en 14 países, lo que indica que sigue siendo un grupo valorado por varios gobiernos en materia de espionaje.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

Hacking Team es un viejo conocido en el mundo del ciberespionaje. Este grupo, que desde 2003 venía desarrollando herramientas de espionaje para gobiernos y agencias de seguridad, saltó a la palestra en 2015 cuando más 400GB de información y herramientas de espionajes fueron robadas y puestas a disposición del público. Este incidente dio la oportunidad de conocer software que se estaba utilizando para espiar a ciudadanos de varios países, entre ellas la herramienta RCS (Sistema de Control Remoto), que permitía extraer ficheros desde un dispositivo, interceptar emails y mensajería instantánea, así como también activar remotamente la cámara y el micrófono.

Con un incidente de seguridad así, lo normal es que la empresa hubiese desaparecido del mapa, pero parece que el grupo Hacking Team se resiste a morir. Investigaciones llevadas a cabo por ESET han descubierto nuevas muestras de la herramienta RCS en al menos 14 países, y que esta se encuentra en continuo desarrollo. El descubrimiento de una nueva variante de la herramienta RCS con un certificado digital válido no visto hasta el momento ha provocado que se investigue la recuperación tanto financiera como operativa de este grupo.

Las nuevas muestras incluyen modificaciones leves de las desarrolladas antes de la filtración y con fechas de compilación comprobada entre septiembre de 2015 y octubre de 2017. Además, el análisis detallado de este software ha permitido deducir que fue desarrollado por el mismo grupo en lugar de por diferentes personas desarrollando sus propias versiones a partir del código filtrado. Uno de los principales indicadores que apoya esta deducción es la secuencia de certificados digitales utilizada para firmar las muestras, ya que se encontraron seis certificados distintos usados sucesivamente.

Entre las técnicas empleadas por estas nuevas muestras de software espía encontramos la modificación de metadatos en el Android Manifest, para hacerlas pasar como software legítimo. Además, los análisis han demostrado que estas muestras han estado utilizando técnicas de evasión (uso de VMProtect) para permanecer ocultas el máximo tiempo posible, algo que ya era común en las herramientas desarrolladas antes de la filtración.

Existen pruebas adicionales que apuntan a los desarrolladores de Hacking Team. Una de ellas es la continuación de la numeración de las diferentes versiones allí donde se habían quedado cuando la empresa sufrió la filtración de datos. Además de seguir con los mismos patrones, también se mantuvieron ciertos hábitos como el de compilar sus payloads, de nombre Scout y Soldier, de forma consecutiva y a menudo el mismo día. Por si fuera poco, el análisis de las nuevas herramientas ha desvelado que los cambios realizados a partir de la fecha de la filtración están realizados por alguien familiarizado con el código y estilo de programación de Hacking Team.

En lo que respecta al vector de ataque utilizado por estas nuevas variantes de las herramientas de espionaje, al menos en dos ocasiones se detectó el spyware en un archivo ejecutable camuflado como un falso PDF, con la vieja técnica de utilizar varias extensiones y adjunto a un correo electrónico dirigido a las víctimas. Los ficheros adjuntos tienen nombres que no levantan sospechas al ser recibidos por sus víctimas.