Dark Caracal: nueva operación de ciberespionaje gubernamental puede haber expuesto una nueva forma de vender el cibercrimen

Investigadores han descubierto una operación de espionaje cibernético que ha sido vinculada con una de las agencias de inteligencia más poderosas del Líbano. Los ataques virtuales, que recibieron el nombre de Dark Caracal, han puesto una vasta cantidad de información privada de personas de todo el mundo en manos de espías y cibercriminales en una operación tan extendida que los investigadores creen que podría tratarse de un nuevo tipo de servicio de alquiler de spyware.

El descubrimiento fue fruto de un esfuerzo conjunto entre la compañía de seguridad Lookout y el grupo de defensa de los derechos de los internautas Electronic Frontier Foundation. Los atacantes instalaron un programa espía en miles de equipos Windows y teléfonos Android repartidos en 21 países, que recopiló cientos de gigabytes de información de los dispositivos de sus víctimas para compartirla con los criminales y, en muchos casos, exponerla en Internet.

La compañía de seguridad informática EFF había publicado el año pasado un estudio sobre la Operación Manul, un grupo de ciberataques espía. Lookout decidió indagar más sobre los datos que robaron los atacantes, y esto le llevó a descubrir Caracal, una operación similar de ciberespionaje que se descubrió se controlaba desde el Directorio General de Seguridad General del Líbano en Beirut, una de las principales agencias de inteligencia de la nación.

Al rastrear las redes a las que se conectaron las víctimas de Caracal, los expertos descubrieron un patrón: “[la red del edificio de la agencia de inteligencia en Beirut] es la primera red a la que todos los teléfonos evaluados se conectaron”, dijo Eva Galperin, directora de seguridad de EFF.

Pero a pesar de que era la misma infraestructura que se utilizó el año pasado para realizar otro ataque de espionaje gubernamental, aquella vez atribuido al gobierno de Kazajistán, los investigadores no creen que la misma persona u organización sea la que organizó ambos ataques. En total los investigadores encontraron seis operaciones de ciberataques diferentes que tenían el mismo patrón de ataque y utilizaban la misma infraestructura y herramientas básicas, y es imposible culpar al Líbano de todos ellos.  “No cabe duda de que es otro grupo usando la misma infraestructura”, indicó Galperin. “Creemos que alguien más está vendiendo este  programa a los gobiernos”.

Esto significaría que está surgiendo una nueva forma de sacar ganancias con los ataques virtuales, y es ofreciendo los servicios de ataque a blancos específicos con un programa malicioso en vez de vender las herramientas de ataque sueltas. Por lo tanto, los expertos creen que encontraron un caso en el que un ciberespía está ofreciendo sus servicios a seis clientes diferentes, incluyendo algunos gobiernos. “Administran la infraestructura y venden los portales”, explicó Galperin. “Hasta ahora habíamos visto casi exclusivamente compañías que venden spyware directo a los gobiernos”.

Los investigadores descubrieron la información robada en los ataques de Dark Caracal expuesta en Internet sin ningún tipo de protección. “Es como si los ladrones hubiesen robado un banco y dejado abierta la puerta de la sala en la que guardaron el dinero”, explicaron los expertos.

La información robada era una colección muy diversa de todo tipo de información que se logró recopilar de los equipos afectados: desde millones de mensajes de texto hasta fotos de campos de batalla en Siria, documentos privados, registros de llamadas, conversaciones telefónicas privadas, contraseñas, imágenes de activistas y periodistas y fotografías de niños celebrando su cumpleaños.

“Había de todo. No exagero, de todo”, dijo Michael Flossman, investigador de seguridad de Lookout. Aunque la falta de especificidad en los datos que se buscan puede confundirse con desinterés o conformismo, en realidad ayuda a armar una imagen clara de cuáles son las rutinas, secretos y cotidianidad de la persona que se está espiando.

Fuentes

Researchers have discovered a new kind of government spyware for hire The Verge

Someone is touting a mobile, PC spyware platform called Dark Caracal to governments The Register

https://www.washingtonpost.com/business/technology/researchers-hacking-campaign-linked-to-lebanese-spy-agency/2018/01/18/1fb36142-fc62-11e7-9b5d-bbf0da31214d_story.html — “Report links hacking campaign to Lebanese security agency”, The Washington Post