Radiografía de un escándalo: así hackeó un grupo ruso al Comité Demócrata Nacional

Radiografía de un escándalo: así hackeó un grupo ruso al Comité Demócrata Nacional

5 comentarios Facebook Twitter Flipboard E-mail
Radiografía de un escándalo: así hackeó un grupo ruso al Comité Demócrata Nacional

Vivimos tiempos en los que la tecnología y la política se cruzan más de lo que quizá a muchos les resulta cómodo. Está claro que las nuevas armas que se emplean en la guerra ya no son de fuego, sino que son más difíciles de ver venir, de detectar y de combatir. Nos referimos a las ciberarmas, desde _malware_ que espía las acciones que se llevan a cabo en un ordenador a emails fraudulentos que engañan a sus víctimas.

En Xataka han publicado un extenso artículo sobre el escándalo de las elecciones presidenciales de EE.UU., donde se detalla con profusión el caso del hack a los servidores de correo del Comité Nacional Demócrata (DNC), de su filtración a WikiLeaks. Nosotros, por nuestra parte, queremos profundizar en cómo se hizo el ataque y por qué la mala seguridad del comité fue una pieza clave.

El proceso está sembrado de dudas. Todavía hay más sombras que luces, todo son especulaciones y nadie parece tener nada muy claro. Por otra parte y atendiendo a lo publicado en el New York Times, podría haber un actor malicioso más que plausible en toda esta trama: una técnica conocida como phishing.

¿Qué es exactamente el phishing? Se trata de algo tan "sencillo" como enviar un email fraudulento a la víctima haciéndolo pasar por uno enviado por una fuente legítima. El entrecomillado no es casual, ya que según publicamos en un artículo anterior sobre la potenciación del phishing en la darknet, una campaña de estas características requiere muchos recursos y habilidad para llevarla a cabo, si bien ya existen formas de iniciar una campaña de phishing sin necesidad de conocimientos previos.

Volviendo a lo que es el phishing en sí, en dicho correo se suele incluir un enlace o un botón que lleva a la víctima a proporcionar algo de información personal sobre su cuenta, generalmente la contraseña de acceso. Una vez los hackers tienen esta información, ya pueden consultar todos los detalles de la cuenta objetivo.

Un vistazo a…
ROBO DE DATOS y PAQUETES NO SOLICITADOS QUÉ es el BRUSHING

La deficiente seguridad informática del DNC

Computer 1591018 1280

Según se recoge, el agente especial Adrian Hawkins del FBI llamó al Democratic National Committee en septiembre de 2015 para avisar de que su sistema informático se habría visto comprometido. Se transfirió la llamada al departamento informático, a quien pasó la información de que un grupo hacker al que los agentes federales llamaron "The Dukes" habría comprometido, al menos, un ordenador de toda su red.

El encargado del soporte informático del DNC responde al nombre de Yared Tamene. Esta persona no era un experto en ciberseguridad. Nunca se había tenido que enfrentar a algo así, aunque en su descargo se puede decir que las herramientas de que se disponía para luchar contra los ataques no eran las mejores.

La explicación para una seguridad tan deficiente es, en realidad, muy simple. El organismo que representa al conjunto del Partido Demócrata funciona como una organización sin ánimo de lucro, con lo que depende totalmente de las donaciones para financiarse. Sin recursos económicos suficientes, es imposible montar una infraestructura de seguridad decente.

Vale la pena señalar que en este momento su infraestructura de ordenadores incluía un filtro antispam diseñado para combatir el phishing, si bien las herramientas no eran las más avanzadas. A Tamene le quedó legada la tarea de encontrar, básicamente por su cuenta, la forma adecuada de responder.

Por otra parte, en el momento en el que Tamene recibió la llamada del agente del FBI no la tomó en suficiente consideración:

No tenía forma de diferenciar la llamada que había recibido de una broma.

Tampoco ayudó que el agente especial Hawkins no se personase en las oficinas del DNC. Está claro que no podía arriesgarse a enviar un correo electrónico, ya que a través de esta vía los hackers podrían interceptar una alerta que les obligaría a replantear su estrategia.

En el FBI, por otra parte, estaban seguros de lo que decían. Llevaban años intentando echar a The Dukes de los servidores de correo de los organismos gubernamentales. La primera medida de Tamene fue buscar el nombre del grupo en Google, y lo siguiente fue buscar en el sistema informático del DNC indicios de una ciberintrusión.

Lo que The Dukes estaban intentando conseguir era cualquier brizna de información que pudiesen remitir de vuelta como parte de una recolección de datos de inteligencia. Esta era, en realidad, la primera fase de un mismo ataque: conseguir entrar en la red del Democratic National Committee.

¿Quiénes son The Dukes?

Apple 691323 1280

Según se puede leer en un documento publicado por F-Secure, The Dukes son un "grupo de ciberespionaje bien surtido de recursos, bien organizado y muy dedicado a su trabajo". La firma de seguridad cree que llevan trabajando para el gobierno ruso desde 2008, recolectando datos de inteligencia para apoyar la toma de decisiones y la seguridad de dicho país. No se tienen datos sobre el país de origen del grupo, a excepción de para quién trabajan supuestamente.

Al parecer, este grupo de hackers ataca fundamentalmente a gobiernos occidentales. Para ello emplean un amplio arsenal de herramientas de malware, de las que han identificado nueve con los nombres de MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, y GeminiDuke.

Sus campañas suelen adoptar la estrategia de la guerra relámpago, con entradas aparatosas y rápidas con una recolección de datos a igual velocidad. Si encuentran un objetivo que consideran valioso, cambian enseguida su _set_ de ataque para usar técnicas más sigilosas que permitan espiar sin ser descubiertos.

El FBI lleva años luchando contra The Dukes para sacarlos de las infraestructuras informáticas gubernamentales

Su primera actividad como grupo hacker se remonta a 2008, cuando lanzaron dos campañas de PinchDuke contra medios de comunicación pro-chechenos. Su primer ataque contra Occidente se produjo en 2009, también con una campaña donde PinchDuke fue el malware protagonista. Sus objetivos en este caso fueron el gobierno estadounidense y la OTAN.

Desde 2010 sus campañas de malware han ganado en sofisticación y en repercusión, con esta última contra el DNC como una de las más sonadas sin duda alguna.

Un ordenador está "llamando a casa"

Computer 1431748 1280

Como era de esperar con unas herramientas de análisis limitado, el primer examen de Tamene no encontró amenazas. El problema seguía sin solucionarse, lo que provocó que el agente Hawkins volviese a llamar en repetidas ocasiones durante el mes de octubre de 2015 dejando mensajes para Tamene pidiéndole que le devolviera las llamadas. Este no devolvió ninguna ya que "no tenía nada de lo que informar".

En noviembre de 2015 la situación empeoró considerablemente. Hawkins volvió a llamar al DNC con noticias más preocupantes. Uno de los ordenadores de la infraestructura informática estaba "llamando a casa", y donde dice "casa" quiere decir "Rusia". Tamene se encargaba de las llamadas del FBI, pero al mismo tiempo tenía otra tarea que cumplir que desde el Partido consideraban de mayor importancia: determinar si Bernie Sanders había conseguido o no acceso al correo personal de Hillary Clinton.

Vale la pena recordar que Sanders fue rival de Clinton en la carrera hacia las presidenciales. En resumidas cuentas, las prioridades no estaban bien establecidas. No se concedió a la brecha en la seguridad la seriedad que merecía por culpa de una infraestructura deficiente.

El resultado: no se tomaron acciones pertinentes para frenar el filtrado de las decenas de miles de correos que fueron a parar a WikiLeaks de la mano del enigmático personaje Guccifer 2.0, quien ha reivindicado para sí la autoría del hack. A día de hoy nadie sabe si se trata de una persona o de un grupo de personas, si bien la creencia popular es que se trata de una forma del gobierno ruso de proteger a los grupos de hackers a los que patrocina. Incluso hay sospechas de que The Dukes también podrían formar parte de Guccifer 2.0.

Estados Unidos acusó formalmente a Rusia de interferir en las elecciones presidenciales hace un par de meses, no sin que antes hubiese un cruce de declaraciones entre oficiales del DNC y del FBI para establecer un culpable.

The Dukes consiguen acceso a los emails

La segunda fase de la campaña de The Dukes consistió en lanzar un ataque de _phishing_ contra el DNC y otros actores del mundo político, especialmente los asociados al Partido Demócrata. Un antiguo director regional del DNC que estaba trabajando en la campaña de Clinton y que responde al nombre de Billy Rinehart, recibió un mensaje de Google con la siguiente advertencia:

Alguien ha usado su contraseña para intentar entrar en su cuenta de Google. Google ha detenido este intento de entrada. Debería cambiar su contraseña inmediatamente.

Rinehart estaba en Hawaii en aquellos momentos, según publica el medio estadounidense. Se encontraba comprobando correos de asociados de la Costa Este a las cuatro de la mañana. Sin pensar mucho en el aviso, usó el mensaje para cambiar la contraseña e introdujo una nueva. No fue hasta meses después que supo que había otorgado acceso total a los hackers a su cuenta de correo electrónico.

Se enviaron cientos de emails similares a distintos objetivos políticos. Entre ellos se encontraba John Podesta, presidente de la campaña de Clinton. Dado que Podesta recibía miles de correos a diario, el dirigente demócrata contaba con distintos ayudantes que le ayudaban a estar al día.

Una pobre excusa sirve para justificar la filtración de correos confidenciales de miembros del Partido Demócrata

Fue uno de estos ayudantes el que detectó el email con el mismo aviso que recibió Rinehart, que envió a un técnico informático para comprobar su autenticidad antes de que a nadie se le ocurriese cambiar la clave de acceso. La respuesta de otro de los ayudantes de Podesta fue la siguiente:

Este email es legítimo. John tiene que cambiar su contraseña urgentemente.

Dicho esto y con sólo un clic más, se otorgó acceso a más de 60.000 emails reunidos a lo largo de una década de correspondencia electrónica. El ayudante que respondió al mensaje de fraude certificando su legitimidad responde al nombre de Charles Delavan, que achaca el error de hacer caso a este correo a un error tipográfico. El quería escribir que se trataba de un aviso ilegítimo, un error que podría tener mucha más trascendencia en el futuro. En cualquier caso, la excusa parece poco aceptable.

Durante esta segunda ola de ataques, los hackers también consiguieron acceso a la organización hermana del DNC, el Democratic Congressional Campaign Committee. Y después, usando sólo una VPN, acceso al ordenador principal de la red del DNC.

Por supuesto, el FBI también monitorizó esta actividad. De nuevo se volvieron a poner en contacto con Yared Tamene para advertirle, quien seguía sin ver motivo para preocuparse. El responsable del soporte informático del DNC encontró copias de los correos de phishing en el filtro de spam del servidor, pero "no tenía motivos" para pensar que los sistemas informáticos se habían visto comprometidos.

A mediados del mes de abril de 2016 se hizo por fin algún progreso. Meses después de haber recibido la primera advertencia, finalmente el DNC hizo caso de los avisos e instaló un set de herramientas de monitorización. Como siempre, las medidas se toman a destiempo, con un exceso de celo y preocupación cuando el mal ya está hecho y ya no tiene remedio.

Es difícil determinar si realmente The Dukes consiguieron alterar las elecciones presidenciales o no. Eso no somos nosotros los que debemos juzgarlo. Lo que está claro es que entre una infraestructura pobremente defendida y un error humano el sistema democrático del que más se ha presumido en el mundo se ha visto amenazado. ¿Aprenderán algo de esta experiencia?

Imagen | Cliff
En Genbeta | Google cree tener la extensión definitiva contra el phishing en sus propios servicios

Comentarios cerrados
Inicio