¿Alguien podría hacer pasar su ataque informático por el de otra persona, organismo o grupo? Podría si al analizar dicho ataque se tiene en cuenta de forma exclusiva y excluyente el código malicioso empleado y ya está.
La entradilla de una noticia publicada en The Guardian el pasado 8 de mayo reza así: “Empresas de seguridad piensan que un grupo con vínculos en la inteligencia rusa está detrás de la filtración de emails y otros documentos pertenecientes al comité de campaña del ganador de las elecciones francesas”.
Varias empresas de seguridad atribuyeron a Rusia el ataque informático sufrido por el equipo de campaña de Macron
En el cuerpo de la noticia se especifica que se trata del mismo grupo al que se señala por el hackeo llevado a cabo contra los servidores del Partido Demócrata poco antes de las elecciones que finalmente ganó Donald Trump.
También se detalla que varias compañías de seguridad informática compartieron una información que señala al famoso grupo conocido como Fancy Bear, APT28 o Pawn Storm.
APT28, según continúa relatando este diario británico apoyándose en un experto de Flashpoint, “registró direcciones de Internet como señuelo imitando el nombre del movimiento de Macron En Marche!”.
Este grupo presuntamente cercano a la inteligencia rusa sería el mismo que hackeó los servidores del Partido Demócrata
Seguramente, suponen, con el fin de enviar emails con los que poder hackear los ordenadores de la campaña electoral de este candidato.
Continúa contando el rotativo que Trend Micro se dio cuenta de cómo los miembros del grupo sospechoso “registraron la misma dirección falsa de Google” usada tanto en el hackeo a Macron como en el que se produjo contra el Comité Nacional Demócrata en abril del año pasado.
Finalmente incluyen la valoración de un especialista de Footprint que señaló: “Algunos metadatos de esta fuga de información indican claramente que ciertos documentos se editaron en ordenadores con sistemas operativos en lengua rusa”.
Según recoge el medio británico, una empresa de seguridad atribuye el ataque a un grupo de ‘hackers’ rusos a raíz del análisis de los metadatos
Un investigador especializado en ciberseguridad que se presenta detrás del pseudónimo x0rz escribió un post en su blog donde detalla cómo cualquiera con unos conocimientos mínimos podría falsificar datos clave de este tipo para que se le atribuya el diseño del código malicioso a un actor distinto.
Cómo se disfrazan
“Instala una versión rusa de Windows, añade como usuario Dimitri [en caracteres cirílicos], configura Microsoft Office, abre un nuevo documento” y ya está, esto según x0rz es lo que se necesita para empezar.
Ahora “podríamos crear o editar cualquier documento de Word” para que parezca escrito por un tal Dimitri de Moscú, aunque hay más opciones.
Se puede también editar el documento “en bruto”. Para esto x0rz indica que se tome aleatoriamente un documento con la extensión .docx “lo extraemos (es un simple archivo comprimido) y modificamos el archivo docProps/core.xml”.
Basta una versión rusa de Windows y configurar Microsoft Office de la forma apropiada para empezar el proceso de enmascaramiento
Dicho archivo con la extensión .xml contiene los metadatos, donde figura el nombre del autor y las marcas temporales o sellos de tiempo. Una vez alterados, podemos dar por consumada la falsificación de esos datos.
Pero la labor de enmascaramiento no se queda aquí.
El experto informático que se oculta tras el misterioso pseudónimo asegura haber encontrado “varios nombres de dominios relacionados con el grupo APT28” usados en 2014 que actualmente continúan disponibles.
Varios nombres de dominio usados por el grupo de ‘hackers’ rusos en 2014 continúan operativos en la actualidad
El propio x0rz expone en su entrada que él mismo decidió ir un paso más allá y registrar su propio dominio con los mismos datos que constan en un dominio que el grupo ruso APT28 empleó para dirigir el ataque contra el equipo de campaña de Macron usando técnicas de phishing.
El autor de la entrada revela que “una vez registrado el nombre de dominio los registradores de dominio [valga la redundancia] te pedirán tu nombre, dirección, etcétera”. Estos datos “nunca se verifican y cualquiera puede falsificarlos”.
Finalmente, sube un pantallazo donde muestra el resultado de su experimento y concluye: “Este dominio (que yo poseo) esta ligado ahora a la infraestructura de APT28 propiamente dicha”.
La pregunta sigue en el aire
Las cuestiones que pone sobre la mesa x0rz son muy claras: “¿Qué impide a un grupo imitar los métodos de una APT (Amenaza Persistente Avanzada, en español) conocida?”.
Tampoco hay que olvidar que “se conocen listas con nombres de dominio usadas por varios grupos en ciberataques”.
Los editores de antivirus “se hacen con nombres de dominio maliciosos para poder seguir el rastro que les lleva a las víctimas”, por lo que “las Amenazas Persistentes Avanzadas también pueden hacer” esto mismo.
Igual que los editores de antivirus se hacen con dominios de carácter malicioso para seguir el rastro de las víctimas que han dejado los cibercriminales, un grupo atacante también podría hacer lo mismo
Todo ello, no obstante, no debería llevarnos a pensar que una vez conocido esto hay que apartar toda sombra de duda sobre la implicación de Rusia en el hackeo dirigido contra el equipo de Macron que tantas líneas en la prensa está generando.
“Ahora que todo el mundo es consciente de los ataques [informáticos] de falsa bandera” razona x0rz, “los estrategas de APT28 pudieron elegir seguir con los ataques sin importarles una m***da dejar huellas dactilares porque saben que cualquiera puede suplantarlos de todos modos”.
Lo que también está claro es que cualquiera podría usar estas técnicas para cargar el muerto a otro.
Si el grupo supuestamente vinculado a los rusos asume que los metadatos se pueden falsificar, tal vez no les importó dejar huellas
De hecho, si la filtración de información publicada por Wikileaks de la que se hizo eco The Independent es exacta, la CIA se dedicó a clasificar los métodos de hackeo de los atacantes extranjeros en el proyecto UMBRAGE.
Una vez debidamente catalogados, “podrían usarse para penetrar en los ordenadores y teléfonos de la gente de otros países haciéndolo pasar por el ataque de un país distinto” a Estados Unidos.
Como insiste x0rz a merca2, su artículo “solo muestra que no debemos fiarnos de una fuente de información solamente (los artefactos) a la hora de llevar a cabo la atribución” de un ataque informático.