FUENTE: XATACA.COM

Este mes ha sido conocida la noticia del ataque a HackingTeam, pero quienes son y porque este hackeo es el más importante ocurrido hasta ahora.

¿Quiénes son?

Según su página web oficial, HackingTeam ofrece “tecnología efectiva y fácil de utilizar a las autoridades y agencias de inteligencia de todo el mundo“. Resumiendo: desarrolla “soluciones de seguridad” que sirven para explotar vulnerabilidades. Fue fundada en 2003 y tienen un equipo de más de 50 profesionales (ver su sitio web).

En 2013, The Verge publicaba un interesante reportaje sobre los orígenes de la compañía. Según su investigación, en 2001 dos programadores italianos crearon Ettercap, un software capaz de ejecutar ataques man-in-the-middle para hacerse con contraseñas y otra información personal. La policía contactó con ellos pero no para detenerlos: querían usar su tecnología. Unos años después se unía David Vincenzetti (el diario Telegraph publicó un completo perfil sobre él en 2011) y en 2007 llegaba una inyección importante de capital. Wikileaks también tenían documentos sobre ellos.

¿Para quién trabajan?

En el año 2014, esta empresa se hizo conocida después de que The Citizen Lab, un blog desarrollado por investigadores de la Universidad de Toronto, publicaran que su software estaba siendo utilizado por Etiopía para espiar a algunos periodistas del Ethiopian Satellite Television Service, una estación conocida por ser muy crítica con el Gobierno local. The Intercept les había culpado de ello unos días antes, aunque desde HackingTeam lo negaron.

En una segunda entrega de su investigación, Citizen Lab publicó un completo informe sobre el Remote Control System que HackingTeam vendía a alguno de sus clientes. Según explicaban, con este software se puede “grabar llamadas de Skype, copiar contraseñas, emails, ficheros y mensajes de mensajería instantánea”, además de poder “encender la webcam de un teléfono o micrófono”. Finalmente, y en la tercera y última parte explicaban cómo utilizaban varios dataceters establecidos en Estados Unidos para dar servicio con sus herramientas a otros países extranjeros.

Desde HackingTeam aseguraron que, antes de ofrecer sus servicios a un cliente, deciden si es apropiado que éste tenga acceso a su tecnología y se reservan el derecho a no comercializar su software a agencias u autoridades que puedan hacer uso de él para “facilitar el abuso de los Derechos Humanos”.

Pero ¿por qué entonces vendían sus servicios a Etiopía y a otros países donde no se garantizan los Derechos Humanos? De hecho, y desde 2013, HackingTeam figura entre los servicios “Enemigos de Internet” según Reporters Without Borders. Les acusaban, entre otras cosas, de espiar a periodistas en Marruecos y en Emiratos Árabes. Aunque resulte paradójico, el CEO de la empresa bromeaba sobre la que les podría caer encima si se filtrara a Wikileaks cómo funcionaba “la tecnología más malvada del planeta”, según sus palabras.

Entre todos los documentos de HackingTeam que han salido a la luz pública, se encuentran facturas y listas con sus supuestos clientes. Así sabemos, por ejemplo, que el CNI posiblemente usa sus servicios y que la Policía Nacional al menos los usaba (aparecen con contrato “Expirado”).

El año 2010 Eldiario.es, publica facturas de la empresa en la que compran un Módulo de Infección Móvil Remota por 17.500 euros. Otra, de noviembre de 2010 habla de un Portal de Zero Day Exploits por 48.000 euros y “módulos con objetivos distintos de Windows” por 24.000 euros. Finalmente, aparece otra de 52.000 euros por una actualización del Remote Control System del que hablábamos antes.

También se nombran entres sus posibles clientes: el FBI y el Departamento de Defensa en Estados Unidos, Marruecos, Singapur, México, Ecuador, Colombia, Líbano, Egipto, Chipre, Bahrein, Kazajistán, Rusia, Omán, Nigeria, Brasil, Sudán. También tiene bancos como clientes. ¿Bancos? ¿Pero no vendían sólo a gobiernos según ellos?

¿Qué herramientas de espionaje ofrecen?

Antes de la filtración ya conocíamos alguno de sus programas espía estrella. Da Vinci es unas herramientas más conocidas que fue descubierta en 2013 y es capaz de interceptar y monitorizar llamadas, ficheros cifrados, Skype o chat (incluidas apps de mensajería). En los documentos que han publicado los atacantes, la organización también presumen de ser capaces de interceptar tráfico Tor (cosa que Tor ha desmentido).

Los móviles tampoco se salvan. Al parecer, han desarrollado una herramienta para comprometer móviles o tablets con iOS, válida para aquellos dispositivos que tengan jailbreak. Existen módulos también para Android, BlackBerry y Windows Phone. En escritorio, algunas facturas hablan de software para Windows, pero también para Mac y para Linux.

Además, en uno de los fragmentos de código filtrados que se recogen en un repositorio GitHub, aparece una línea que hace referencia a la creación de archivos con nombres sospechosos, que hacen referencia a pornografía infantil y a planos de bombas. ¿Es un ejemplo o es un programa real que llegaron a desarrollar? ¿Pertenece a los programas de HackingTeam o alguien lo ha metido a posteriori? No tenemos respuesta.

hackingteam

¿Quién está detrás de su hackeo y cómo lo ha hecho?

Todavía se desconoce esta información. Motherboard pudo hablar con él brevemente por mensaje privado cuando todavía poseía el control de la cuenta de Twitter @hackingteam y éste les dijo que era la misma persona que el año pasado había atacado la compañía Gamma International. Ésta es otra de las empresas mundiales que fabrican spyware bajo demanda: su producto más conocido es FinFisher. En la cuenta @GammaGroupPR dice “Gamma y HT fuera, quedan todavía unos pocos :)”.

¿Cómo lo hizo? En @GammaGroupPR asegura que lo explicará próximamente “una vez hayan tenido tiempo de fallar y no encontrar qué ha pasado y acaben cerrando el negocio”, en referencia a HackingTeam. Al parecer, podrían haber atacado los ordenadores de alguno o de los dos administradores sistemas de la compañía. De nuevo, todo está sin confirmar.

¿Qué han dicho o hecho HackingTeam desde entonces?

Esta es de hecho una de las preguntas más fáciles: no hay respuesta oficial, salvo la confirmación del ataque por parte de un portavoz a Reuters. Su Twitter lleva callado desde entonces (sí que borraron un tweet, que fue el utilizado por los atacantes para distribuir el enlace al material filtrado), al igual que su página web. Uno de sus empleados aseguró en su supuesta cuenta personal que la Policía estaba investigando el ataque y amenazaba con medidas legales a otros usuarios que estaban republicando la información, aunque terminó borrando su cuenta. Desconocemos si era él el que estaba publicando mensajes.

Según Motherboard, que cita a fuentes conocedoras de la investigación, en HackingTeam están en “modo emergencia total” y han pedido a todos sus clientes que desactiven y no utilicen su Remote Control System. Además, dicha persona añade que en la compañía llevan sin tener acceso a sus correos desde el lunes y asegura que los atacantes podrían haberse llevado “todo”, hasta 1 TB de información y no únicamente los 400 GB que se han publicado hasta ahora.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>