El 19 de marzo del 2016, un ataque de phishing originado en colectivos de hacking rusos fue finalmente exitoso contra la campaña presidencial de Hillary Clinton. Los correos electrónicos obtenidos de uno de los líderes de la campaña (John Podesta), fueron rápidamente divulgados e instrumentalizados por Trump en la contienda política que lo llevó a la victoria. Este breve texto analiza algunos de los elementos conocidos del ataque, como una forma de reflexionar acerca del grave impacto que puede tener un ciberataque en una democracia.
Una nota aclaratoria
Aunque los sucesos descritos en este documento acaecieron hace ya más de cinco años, algunos de los detalles específicos del ataque no son completamente conocidos y comprobados. Debido a que detrás de los hechos hubo un incidente de seguridad de información (específicamente de phishing), se pretende en estas líneas analizar los hechos y discutir desde el punto de vista de las prácticas infosec qué sucedió. No se trata de críticas a la forma en que los participantes actuaron (bueno, tal vez un poco), sino más bien se busca una reflexión en el lector acerca de las dificultades que tienen las organizaciones y sus líderes manejando aspectos de seguridad de la información.
Un legítimo y completo desacierto
No se trató de un esfuerzo aislado... Ya aproximadamente desde el 2014, varios grupos élite de hacking del gobierno ruso (Glavnoye Razvedyvatelnoye Upravlenie - GRU) venía realizando diferentes ataques contra instalaciones informáticas del gobierno de los Estados Unidos.
En noviembre del 2014, por ejemplo, consiguieron infiltrar el componente de baja seguridad del Departamento de Estado, luego infiltraron la red de baja seguridad de la Casa Blanca y tuvieron acceso a algunos correos informales de Obama.
En abril del 2015 lograron entrar a la red de baja seguridad del Pentágono, con el sistema de correo de baja seguridad del Joint Chiefs of Staff, pero en la medida en que el gobierno federal mejora sus controles infosec, paulatinamente estos colectivos de hacking se iban quedando sin objetivos valiosos.
El 19 de marzo del 2016 decidieron enfocar sus esfuerzos de hacking en las elecciones presidenciales Hillary-Trump. Simultáneamente enviaron cientos de correos electrónicos falsos a personal de ambas campañas. Uno de los destinatarios era John Podesta, uno de los intelectuales del partido Demócrata más conocido y con mayor trayectoria y ascendencia en la Campaña de Hillary Clinton. El correo recibido por John Podesta era el siguiente:
El mensaje parecía legítimo, usaba los colores y logos legítimos de Google® para su servicio GoogleMail®. Por otro lado, el texto ’Someone has your password’ y un presunto acceso desde ’Ukraine’ (¡la ironía!) tenía una connotación bastante alarmante que invitaba a tomar acciones inmediatas.
John Podesta venía de una larga trayectoria trabajando en la Presidencia de Bill Clinton y sabía bastante bien los riesgos de información a los que los políticos están expuestos. De manera que hizo lo que debiera hacer alguien racional con un mensaje de esta naturaleza: le pidió a su secretaria que remitiera el mensaje recibido al equipo de help-desk para recibir la orientación adecuada.
Y aquí sucedió posiblemente una de las mayores embarradas cometidas por alguien en el área de IT en la historia. Charles Delavan, Director IT de la campaña, contestó la consulta con un “This is a legitimate email, John (Podesta) needs to change his password immediately, and ensure that two-factor authentication is turned on his account”.
Podesta inocentemente hizo click en el botón ’CHANGE PASSWORD’ que lo llevó al atajo bit.ly/1PibSU0, que en realidad era una abreviatura del sitio web accoounts-google.com/ ServiceLoginAuth/i.jspcontinue=https://www.google.com/settings/&followup=https://www.google.com/settings/fkdocid=Ym9oZGFuLm9yeXNoa2V2a1NNoQGdtYWWIsLmNvhQ==&refer=Qm9oZGFuK09yeXNoa2V2aWNo&tel=ji8
El lector atento notará en esta URL particularmente larga la secuencia .accoounts-google” en lugar de “accounts-google”... en efecto, la técnica se llama "typosquatting", un error difícil de detectar para un usuario ocupado que cree que la url lo conducirá a los servidores de Google® y en realidad lo termina conduciendo a un servidor en el dominio “.tk” de la isla Tokelau, cerca a Nueva Zelanda.
Un dominio que el atacante había registrado y controlaba y que por supuesto no tiene nada que ver con Google®.
Podesta digitó su password allí y poco tiempo después, un total de 50,000 mensajes viajaron del buzón de Podesta a los servidores del gobierno ruso.
La naturaleza del phishing
Los servicios de contrainteligencia de USA han estado registrando estas actividades de colectivos de hacking auspiciados por el gobierno Ruso y la GRU y clasificándolas dependiendo del móvil de ataque.
Esta ataque particular corresponde al patrón de comportamiento del grupo bautizado como por el FBI como "fancybear" y su largo accionar delictivo incluye ataques contra periodistas y diferentes agencias del gobierno Alemán, Francés, Holandés y Sueco (https://en.wikipedia.org/wiki/Fancy_Bear).
En general el FBI clasifica los colectivos de hacking dependiendo del gobierno al que le prestan sus servicios... Así los colectivos hackers con simpatías rusas son "bears", los colectivos chinos son "pandas" mientras los colectivos iraníes son "kittens". En los colectivos rusos más conocidos está "fancybear" y "cozybear".
El ataque al que fue víctima Podesta es un ataque conocido como spear phishing. En este tipo de ataques se envían mensajes especialmente dirigidos a la víctima y se diferencia de los ataques clásicos de phishing en que estos últimos son dirigidos genéricamente a un grupo de víctimas lo que hace que sean más fácilmente detectables.
En el caso de este ataque spear phishing iba dirigido específicamente al usuario John Podesta. En realidad se trataba de cientos de mensajes falsos generados a cientos de direcciones de correo electrónico que "fancybear" había conseguido utilizando motores de búsqueda. Un proceso bastante sencillo que no requiere mayores destrezas técnicas.
Muchos de estos mensajes fallaron, ya sea porque la dirección de correo ya no existía o ya sea porque el receptor prudentemente decidía ignorar el mensaje o entrar directamente a los servidores de Google® a cambiar su password sin hacer click en ningún enlace sospechoso.
Pero en este caso, Podesta, fue aconsejado por su confiable personal de IT a seguir el enlace y así entregar su password al gobierno Ruso. Dada la importancia de Podesta en la política de USA y el éxito completo del ataque, en términos del mundo de phishing, el ataque de spear phishing, se dice que el atacante ’got a whale’.
En efecto, en general los ataques de spear phishing son muy exitosos... las estadísticas indican que aproximadamente el 60 % de las víctimas de ataques spear phishing hacen al menos una vez clic en el enlace... un valor supremamente alto que cualquiera que trabaje en mercadeo digital de productos envidiaría.
El lector atento notará que este ataque hoy en día no es posible. En efecto hoy en día todos los servicios de Google Mail utilizan certificados digitales y autenticación TLS, luego posiblemente el hacer click en el enlace espurio llevará a un mensaje de advertencia del navegador indicando que se trata de un sitio no autenticado y recomendando no continuar... (bueno a menos que el director de IT, le recomiende a un usuario no técnico seguir el enlace del correo fraudulento de phishing).
Adicionalmente cada vez es más frecuente es contar con doble factor de autenticación en gmail. Un control como este haría inútil este ataque de spear phishing específico.
Sin embargo en el viejo juego infosec del gato y el ratón que constituye la interacción entre el atacante y el defensor, cada vez hay nuevas variantes que burlan de manera creativa los controles.
En efecto, no es casualidad que muchos de los recientes ataques ramsonware que recientemente plagaron el mundo corporativo y el sector público, hayan sido originados como ataques de phishing y spear phishing, con los que se obtuvieron credenciales de acceso con los que se alcanzó la información para luego cifrarla, con una clave desconocida para la víctima.
Epílogo
Ya previamente habíamos reseñado en este blog de diferentes tipos de ataque y el impacto en infraestructuras críticas como los ataques contra SolarWinds® y Colonial® pipeline. Ya habíamos reseñado también las ciber-armas Petya / NotPetya (https://en.wikipedia.org/wiki/Petya_and_NotPetya) desarrolladas por colectivos hacking vinculados al gobierno Ruso y utilizadas contra Ucrania como preludio a la invasión y que terminaron afectando múltiples organizaciones inocentes a ambos lados del Atlántico, víctimas del daño colateral del fuego cibernético cruzado del mar negro.
Pero el ataque contra la campaña electoral de Hillary constituye un nivel nuevo de hostilidad. No es casualidad que las preferencias de voto de los norteamericanos cambiaron perceptiblemente después que algunos correos electrónicos -un tanto vergonzosos- de Podesta fueron publicados uno a uno por la campaña de Trump, en los momentos más neurálgicos. En efecto, uno podría afirmar que el ’gran elector’ de Trump en la campaña fue precisamente Vladimir Putin y "fancybear".
El epílogo de la historia es bastante conocido y de alguna manera sin sorpresas... Trump ganó cómodamente las elecciones. Un Juez Federal acusó formalmente a un grupo de 12 nacionales rusos pertenecientes a "fancybear" (véase la acusación en https://www.scribd.com/document/383793959/Nety ksho-Et-Al-Indictment), acusación que Trump menospreció considerándola una ’cacería de brujas’ del partido Demócrata.
En efecto, este ataque fue tan exitoso que ya se han registrado múltiples casos similares, en los que los colectivos de hacking al servicio de Putin buscan influir los resultados de las elecciones en varios países de Occidente.
Al parecer la ciberdelincuencia es cada vez más factor importante de influencia en la geopolítica mundial.
Si deseas tener siempre a la mano el artículo escrito por Milton Quiroga, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
REFERENCIAS
La primera imagen usada en esta nota fue tomada de https://abcnews.go.com/Politics/clinton-campaign-head-r ussian-hacker-indictments-show-crimes/story?id=56568076, adhiriendo estrictamente a los criterios de fair-use. Las demás imágenes fueron tomadas de la información que wikileaks filtró acerca del ataque y que aparece resumida en https: //en.wikipedia.org/wiki/Podesta_emails.