Los hackers iraníes están utilizando cada vez más las herramientas de espionaje cibernético contra los exiliados y disidentes.
Este correo electrónico llegó la tarde del 9 de marzo de 2016 y parecía traer noticias de la burocracia más temida por un exiliado: el servicio de inmigración de Estados Unidos.
"Recibió este correo electrónico porque no tiene una residencia permanente, su estado de residencia permanente necesita ser ajustado o necesita renovar/reemplazar su tarjeta de residencia permanente", se leía en el correo.
Enviado desde una dirección de correo dhs.gov, que contenía enlaces a los formularios correspondientes, y terminaba con una despedida cordial. El correo electrónico tenía el aspecto de un documento legítimo remitida por el gobierno de Estados Unidos.
Pero no fue así: El correo electrónico en realidad lo había enviado un hacker que probablemente trabaja por encargo del gobierno iraní. Los enlaces a los formularios requeridos contenían un malware diseñado para espiar a sus destinatarios – en este caso un activista de derechos humanos y probablemente otros involucrados en la diáspora iraní - en nombre de Teherán.
El correo electrónico no fue un ataque aislado contra un posible disidente. Teherán está poniendo cada vez más las herramientas de espionaje informático en contra tanto de los exiliados en el extranjero como de posibles disidentes en el país. Algunos investigadores occidentales han encontrado pruebas de que hackers iraníes han fijado como objetivo a presuntos partidarios de la oposición al régimen, pirateando sus ordenadores para instalar un software espía, rastreando a los millones de usuarios iraníes del servicio de mensajería encriptada Telegram y seleccionando a periodistas para espionaje.
Aunque no está claro exactamente cómo el software ha infectado a los ordenadores de muchos disidentes, cuando tiene éxito el software espía al menos rastrea cada golpe de teclado de un usuario y, a veces, da a los hackers la posibilidad de tomar el control de un ordenador y examinar todo su contenido y sus comunicaciones. Los investigadores han documentado más de 200 intentos de intrusión y han obtenido pruebas técnicas de que una variedad de malware examinado infectó a 236 víctimas en 27 países. Sin embargo, todas estas cifras sin duda constituyen una pequeña parte de toda la actividad de la piratería iraní.
Los hallazgos vienen de un proyecto de investigación de tres años realizado por el técnico de Amnistía Internacional Claudio Guarnieri y el investigador de seguridad independiente Collin Anderson. Su investigación fue presentada por primera vez la semana pasada en la conferencia de seguridad de Black Hat en Las Vegas y aunque apuntan con el dedo directamente a Teherán por llevar a cabo estos ataques, es importante señalar que las pruebas acerca de la responsabilidad de Irán siguen siendo circunstanciales. La atribución de delitos en el ciberespacio sigue siendo un asunto complicado, pero Anderson y Guarnieri han recogido pruebas de tácticas, herramientas y procedimientos que constituyen una sólida prueba para atribuir la responsabilidad de estos ataques a los iraníes.
A pesar de que Irán continúa aplicando los términos de un acuerdo nuclear histórico, los miembros conservadores de la clase dirigente han tratado de mantener una permanencia en el poder y evitar un acercamiento más amplio con Washington. Los partidarios de la línea dura están respaldando a Bashar al-Assad en Siria, apoyando a los grupos militantes en el Líbano, Yemen e Irak y manteniendo el lamentable historial de derechos humanos de su país. Irán sigue siendo un líder mundial en ejecuciones y la semana pasada condenó a muerte a Shahram Amiri, un científico nuclear sospechoso de espiar en nombre de Estados Unidos.
La vigilancia agresiva sigue siendo una herramienta clave en el intento del régimen para mantener el poder, y hoy en día, que tiene instalado un sofisticado software de espionaje en su propio ordenador puede ser tan fácil como abrir el archivo adjunto equivocado o hacer clic en un vínculo pernicioso. El software se descarga tranquilamente en un segundo plano e inicia la comunicación con la persona que ha seleccionado para la vigilancia.
Los hackers que trabajan en nombre de Irán recurren con frecuencia a un método conocido como ‘spear phishing’, término en inglés que indica el uso de un correo electrónico que parece provenir de una cuenta legítima, pero que en realidad contiene un archivo adjunto o enlace malicioso, con el fin de instalar un software espía en los dispositivos digitales de sus objetivos".
El correo electrónico de marzo de 2016 que supuestamente provenía de la inmigración de Estados Unidos fue enviado realmente por un grupo de hackers al que Guarnieri y Anderson denominan "Sima" por para una palabra que se repite en el código de malware. Los investigadores dicen que ese tipo de suplantación sofisticada se ha convertido en una tarjeta de presentación del grupo.
En otro caso de intento de piratería por parte de Sima, el grupo envió un correo electrónico a un activista de derechos humanos en el que el grupo se hizo pasar por Peter Bouckaert, un alto funcionario de Human Rights Watch y una figura muy conocida dentro de la comunidad activista internacional.
En el correo electrónico falsificado por Sima, los hackers se hicieron pasar por Bouckaert y escribieron para alertar al destinatario sobre una nueva investigación de HRW que muestra que las autoridades iraníes estaban enviando a miles de afganos sin papeles que viven en Irán a combatir en Siria. De hecho, el enlace a la investigación contenía un software que podría utilizarse para espiar al destinatario. Horas antes el destinatario, que permanece en el anonimato para evitar represalias por parte del régimen iraní, había estado tuiteando sobre el mismo tema.
Durante la presentación de la semana pasada en Las Vegas, Anderson declaró que los hackers del grupo Sima estuvieron "vigilando de forma activa a sus objetivos y después respondiendo muy rápidamente a sus intereses" con el fin de instalar el software espía.
Pero a pesar de toda su sofisticación a la hora de elaborar los correos electrónicos, los hackers del grupo Sima a veces eran torpes. Un llamado "dropper" utilizado por el grupo –un programa que permite a los hackers descargar otras aplicaciones a un ordenador– generó continuas ventanas emergentes cuando trataba de instalarse en el ordenador de la víctima.
En otro ataque dirigido por Irán, sus hackers irrumpieron en la página web de la Universidad de Navarra en España y, luego, pretendieron organizar un seminario a través de internet sobre cuestiones de derechos humanos en Oriente Medio. Los hackers – denominados "Cleaver" por la empresa de seguridad cibernética Cylance cuando escribió sobre ellos en 2014– enviaron por correo electrónico invitaciones a los activistas de derechos humanos. Si éstos decidían participar, se les pedía que actualizaran Adobe Flash - y al hacerlo, el software de vigilancia se instalaba en sus equipos.
Otros hackers que trabajan en nombre de Irán, conocidos como "Infy" por la empresa de seguridad cibernética Palo Alto Networks a principios de este año, fijaron como objetivo a los periodistas que trabajan para la BBC y su servicio en lengua persa. Antes de las elecciones de junio de 2013, les enviaron correos electrónicos, supuestamente de parte de miembros de la oposición iraní, entre ellos Mohammad Taghi Karrubi, el hijo de Mehdi Karrubi, un político de la oposición que actualmente se encuentra bajo arresto domiciliario. Más tarde se infiltraron en el correo electrónico de un periodista de Voice of America y utilizaron su cuenta de correo electrónico para enviar malware a otros periodistas, según Anderson y Guarnieri.
Para países como Irán, el malware se ha convertido en una herramienta del arte de gobernar. Después de que Estados Unidos e Israel fijaron como objetivo las centrales nucleares iraníes para realizar el sabotaje con el virus Stuxnet, Irán respondió manipulando los ordenadores del gigante petrolero Saudi Aramco y perjudicando a través de Internet a los bancos americanos. Irán ha utilizado las mismas herramientas de piratería informática en contra de los grupos de derechos humanos y la sociedad civil, con consecuencias devastadoras. Anderson afirmó: "Estas organizaciones son bastante menos capaces de defenderse".
Sin embargo, las actividades de Infy no se han limitado a la oposición política moderada, sino que también han fijado como objetivo a los militantes que libran una pequeña guerra con las autoridades iraníes. Además, el grupo creó un sitio web asociado con el Jundallah, un grupo terrorista que opera en la frontera de Irán con Afganistán, con el fin de instalar software espía a los visitantes de un blog que publicaba noticias sobre el grupo.
A pesar de que los grupos de hackers iraníes van tras sus objetivos con precisión – los activistas de derechos humanos interesados en cuestiones de género eran los favoritos de Sima – Guarnieri y Anderson también han documentado cómo la selección indiscriminada de usuarios es probablemente la técnica que estén utilizando para facilitar la vigilancia del régimen.
Los servicios de mensajes encriptados como WhatsApp, Viber y Telegram son extraordinariamente populares en Irán, tanto como medio de comunicación en el país como entre los exiliados en el extranjero.
Estos servicios, con un fuerte cifrado de extremo a extremo de los datos almacenados en servidores fuera del país, suponen un desafío para las autoridades iraníes. Recientemente, Telegram se ha convertido en la aplicación del día, y según la investigación de Guarnieri y Anderson, las autoridades iraníes aprovecharon un error en la interfaz de la aplicación y consiguieron el número de teléfono de casi todos los usuarios que utilizaban la aplicación en Irán. Antes de que Telegram solucionara el error en el sistema, las autoridades iraníes recogieron más de 15 millones de números. Según Anderson, el conseguir los números de teléfono –que Telegram utiliza para autentificar a sus usuarios– no afectó a las comunicaciones, pero podría utilizarse para la selección de más objetivos entre los usuarios de Telegram en Irán.