Investigadores de seguridad han descubierto una operación de ciberespionaje que ha estado afectando a periodistas, activistas y políticos latinoamericanos desde 2008. Se sospecha que la operación podría estar patrocinada por algún gobierno.
Los expertos de Citizen Lab descubrieron la operación y la denominaron Packrat. Los ataques están centrados en Argentina, Ecuador, Brasil y Venezuela y se distribuyen mediante sitios web y perfiles de redes sociales falsos de grupos de la oposición que distribuyen programas maliciosos y llevan a cabo ataques phishing.
“Los atacantes, a quienes denominamos Packrat, han demostrado un interés agudo y sistemático en la oposición política y prensa independiente de los países del ALBA (Alianza Bolivariana para los Pueblos de Nuestra América) y sus aliados más recientes. Estos países están vinculados por un acuerdo de comercio y cooperación en una serie de asuntos no-financieros”, explicaron los expertos de Citizen Lab.
Se descubrió que los atacantes habían intentado comprometer los equipos del fiscal argentino Alberto Nisman, que sufrió una sospechosa muerte por un disparo en la cabeza a finales del año pasado. Tras la resonada muerte de Nisman, se encontró un programa espía en su teléfono móvil que enviaba los datos robados a la misma infraestructura C&C que las víctimas de Packrat en Ecuador.
Las víctimas de Ecuador recibían correos electrónicos de una organización falsa que decía ser una fuerte opositora del presidente Rafael Correa. Otros mensajes prometían revelar los nombres de las personas que estaban bajo investigación por la inteligencia ecuatoriana.
“Mi ordenador ha estado contaminado por tanto tiempo que imagino que tienen acceso a toda mi información”, dijo la periodista ecuatoriana Janet Hinostroza. Otro periodista ecuatoriano, César Ricuarte, recibió 34 mensajes maliciosos de Packrat.
Packrat también ha establecido sitios web de organizaciones políticas falsas que publicaban noticias inventadas. “Lo interesante de estas organizaciones falsas es que no hay evidencias de que se usen para propagar malware o ataques phishing (….). Tal vez su propósito sea propagar información falsa o atraer al tipo de individuos que Packrat y sus patrocinadores quieren espiar”.
En septiembre, uno de los investigadores de Citizen Lab comenzó a recibir amenazas mientras analizaba uno de los equipos vinculado a Packrat ubicado en Estados Unidos: “Vamos a analizar tu cerebro con una bala — y también el de tu familia”, decía un mensaje que apareció en la pantalla. “Te gusta jugar al espía y meterte donde no debes, ya deberías haber aprendido que eso tiene un precio— ¡tu vida!”.
Morgan Marquis-Boire, una de las investigadoras, explicó que este tipo de comportamiento no es común entre los hackers profesionales y podría indicar que tienen muy poco miedo a ser rastreados y juzgados por la ley.
Packrat operó desde dominios alojados por compañías en Argentina, Brasil, Francia, España, Suecia, Uruguay y Estados Unidos, aunque durante los últimos dos años gran parte de sus sitios se alojaban en GoDaddy.com.
Los expertos de CitizenLab creen que la amenaza tiene todas las características de ser una operación de ciberespionaje impulsada y respaldada por algún gobierno en particular, pero no ha especificado a ningún sospechoso.
Fuentes
Se descubre una operación de ciberespionaje de 7 años en Latinoamérica