"Spyware", el arma más nueva en el conflicto sirio
Los activistas ahora se tienen que preacupar además por el "malware" que puede revelar sus actividades contra el régimen.

Por Ben Brumfield, CNN

(CNN) — En la ciberguerra de Siria, los partidarios del régimen desplegaron una nueva arma en contra de los activistas opositores: virus computacionales para espiarlos, de acuerdo con un especialista en tecnologías de la información de un grupo opositor sirio y una exvoluntaria internacional cuya computadora fue infectada.

Un fabricante estadounidense de antivirus, que analizó uno de los virus por solicitud de CNN, dijo que el software fue escrito recientemente para una campaña específica de espionaje cibernético y que pasa la información que roba de las computadoras a un servidor de una compañía gubernamental de telecomunicaciones en Siria.

Los partidarios del dictador Bashar al-Assad primero robaron las identidades de los activistas de oposición, después se hicieron pasar por ellos en chats, dijo el ingeniero de software, Dishad Othman. Cuando se ganaron la confianza de otros usuarios, pasaron un virus troyano y alentaron a las personas a abrirlo.

Una vez instalado en la computadora de la víctima, el malware envía información a una tercera persona.

Para los activistas de oposición, Othman es la “persona indicada a la cual acudir” con el fin de obtener información de seguridad en tecnologías de la información. Vive fuera de Siria por su seguridad.

Desde diciembre ha escuchado a decenas de miembros de la oposición decir que sus computadoras fueron infectadas. Dos de ellos le enviaron recientemente a Othman y a un colega con el que trabaja los virus para que los revisaran.

“Tenemos dos malware; el primero es muy complejo —dice Othman, vía chat de Skype—. Puede ocultarse más”.

El análisis que hizo Estados Unidos de uno de los virus —el más sencillo— corrobora que el momento del lanzamiento fue alrededor de principios de año.

El virus tiene dos partes, dice Vikram Thakur, gerente de respuesta de seguridad de Symantec Corporation, conocido por los consumidores por su software antivirus Norton. Dijo que uno de ellos marca el 6 de diciembre y el otro el 16 de enero.

Thakur llamó al virus más simple: backdoor.breut.

El virus más complejo fue el que la exvoluntaria descargó sin intención durante un chat. Ya que viaja a Siria, solicitó por razones de seguridad que CNN no utilizara su nombre y en su lugar la llamaremos Susan.

Para obtener un panorama de las necesidades humanitarias en Siria, Susan contactó a miembros de la oposición a través de internet. En enero recibió una llamada a través de Skype de alguien que se identificó como un supuesto opositor al régimen.

Era un impostor y un partidario del régimen, afirma. “Me llamaron y se hicieron pasar por él, (por) este activista a quien yo no conocía, porque sólo había hablado con él dos veces, sólo por escrito”, explica Susan.

Días después, otros miembros de la oposición le dijeron a Susan y a Othman que el activista con quien ella pensaba que había hablado estaba detenido. Los activistas acusan a las fuerzas del gobierno de obligarlo a revelar su nombre de usuario e identidad, y de hacerse pasar por él en línea.

Otros activistas, quienes aseguran haber sido detenidos y después liberados, dicen que los obligaron a divulgar sus contraseñas a las autoridades sirias, explica Othman.

CNN no pudo confirmar de manera independiente las acusaciones, porque el gobierno sirio limita estrictamente la cobertura de los medios internacionales dentro de sus fronteras.

Las llamadas al gobierno sirio para buscar declaraciones de una portavoz de al-Bassad el viernes no fueron respondidas. El viernes es un día especial dedicado a la oración en el mundo musulmán.

El hombre que habló con Susan a través de Skype le pasó un archivo. Para convencerla de abrirlo, le dijo: “Esto garantiza que cuando hables conmigo, realmente sea yo quien esté hablando contigo y no otra persona”.

Hizo clic en el archivo. “Realmente no hizo nada”, dice. “No noté ningún cambio en absoluto”.

No se abrieron gráficos, ni apareció un anuncio para el usuario de que el archivo estaba siendo descargado. El vínculo parecía estar muerto o defectuoso, dice Othman.

Un clic cede control absoluto sobre la PC del usuario

El segundo virus, backdoor.breut, el cual le envió por correo electrónico un activista en Siria para que lo analizara, se inició de la misma forma. “Descargar, abrir, y luego nada”, dice Othman.

Contiene un logotipo falso de Facebook y estaba siendo pasado en el cuarto de un chat como una actualización de seguridad de Facebook, dice.

Por solicitud de CNN, Othman reenvió el virus a un experto en seguridad de tecnología de la información en California para un análisis independiente.

Othman eliminó el malware más complejo de la computadora de Susan, pero hizo una imagen del disco duro infectado con antelación. Con más de 250 GB, tuvo que ser enviado en un disco duro externo por servicio de correo postal para una evaluación independiente.

El experto estadounidense confirmó la naturaleza invisible de la descarga del troyano backdoor.breut.

“No se mostraba nada”, dice Thakur. “Lo único que hace el troyano es copiarse a sí mismo en los archivos temporales, pero eso no sería visible para un usuario común”.

El malware se carga cuando el usuario reinicia la computadora.

El ciberactivista sirio y el especialista estadounidense en seguridad de tecnologías de la información señalaron que la falta de fanfarrias durante la descarga ayuda a esconder los virus de sus víctimas.

“La mayoría dirá 'es un archivo dañado', y se olvidarán de él”, dice Othman.

Eso exactamente hizo Susan. No fue consciente de que había sido hackeada hasta que perdió sus cuentas de Facebook y de correo electrónico pocos días después de hacer clic en el archivo.

“No hice clic en ningún enlace nuevo o nada por el estilo, así que deben haber sabido sobre la contraseña”, dice, refiriéndose a la pérdida de su cuenta de Facebook.

Le dio su laptop a Othman y a su colega, quienes le dijeron que el troyano había grabado lo que ella tecleaba, había tomado fotos de su pantalla (pantallazos o screenshots), y había hurgado en todos los folders de su computadora. El virus escondió la dirección IP a la que envió la información, dice Othman.

Othman encontró una foto de pantalla que el troyano tomó de la página de la cuenta bancaria de Susan. Le dijo que cambiara todas sus contraseñas, dice Susan. “No quieres que los tipos de seguridad sirios te roben tu dinero”, dijo.

El otro virus —backdoor.breut— envía la información que se roba de las computadoras infectadas a la dirección IP 216.6.0.28 y no lo oculta.

“Revisamos la dirección IP a la que nuestro ingeniero nos refirió y pudimos confirmar que pertenece al STE (Syrian Telecommunications Establishment)”, escribió a CNN un representante de Symantec. STE es la empresa de telecomunicaciones del gobierno sirio.

Esto no necesariamente significa que alguien del STE esté hackeando, enfatiza Thakur. “Si es un usuario doméstico detrás de eso, o en realidad es una empresa o una organización que se alojó en esa dirección IP, no podemos saberlo desde donde nos encontramos”.

Pero el gobierno sirio tiene acceso a todas las actividades de ese servidor, “absolutamente y sin ninguna duda”, dice Thakur. Cualquier persona que no quiera que el gobierno vea lo que está haciendo, no usaría ese servidor.

Los activistas opositores hábiles evitan los servidores de telecomunicaciones del gobierno cuando están en línea.

El virus simple, backdoor.breut, actúa como un toro en una cristalería, dice Thakur, de Symantec. “No parece que haya sido escrito por algún hacker sofisticado”, dice después de examinarlo. “Sólo se armó con piezas, es de rápida funcionalidad”.

El malware simple está disponible para ser descargado en foros subterráneos en internet (foros underground no abiertos para todo el público). Los hackers pueden codificarle un nuevo propósito y difundirlo. Othman cree que el segundo software es un producto que alguien vende, ya que su construcción es amateur, pero el experto de California no está de acuerdo.

“No es algo que alguien simplemente salió, copió el código de un sitio de internet y lo pegó. Definitivamente fue programado para su propósito actual”.

Poco sofisticado, pero efectivo

El nombre backdoor.breut se deriva del comportamiento del virus.

“Tomamos la palabra brute (bruto) sólo porque eso es lo que en realidad estaba haciendo y sólo cambiamos un par de caracteres a b-r-e-u-t,”, dijo Thakur.

“Brute —significa que utiliza la fuerza bruta— se dedica a destruir y a robar; como 'intentaré tomar cualquier cosa que pueda y saldré de aquí lo más rápido posible'”.

Backdoor.breut intenta darle al hacker control remoto de la computadora de la víctima, de acuerdo con el análisis. Roba contraseñas e información del sistema; descarga nuevos programas, guía procesos internos, graba los golpes al teclado y toma fotos con la webcam.

También desactiva las notificaciones del antivirus, pero eso no lo oculta totalmente. “Algunos de los programas buenos pueden detectarlo el mismo día”, dice Thakur.

La naturaleza de su uso podría dificultar poder defenderse de backdoor.breut y de otros malware sirios nuevos. Los fabricantes de antivirus necesitan conocer al virus para poder asignarle una firma y hacer que el archivo pueda ser detectado para bloquear su descarga, de acuerdo con Thakur.

Mientras más se propaga un virus en el mundo, es más probable que caiga en el radar de los fabricantes de antivirus. Mientras más pequeña es la región en la que se ubica el virus, es menos probable que los vigilantes de virus puedan notarlo y combatirlo.

“Viendo a este troyano y la telemetría que reunimos durante los últimos cinco o seis días desde que hicimos el análisis, este (virus) no tiene como blanco a la gente de todo el planeta. Así que podrían transcurrir días antes de que los antivirus puedan crear una firma para el archivo”, dice Thakur.

Los softwares antivirus más complejos pueden detectar malware que todavía no tiene una firma, debido a la manera como se comporta después de infectar a la computadora, dice Thakur. Si el antivirus no tiene este componente de “comportamiento”, podría no defenderse en contra de un nuevo virus “durante una gran cantidad de tiempo”.

En una página de Facebook llamada Cyber Arabs, Othman advierte a los activistas del peligro que hay de descargar el virus y les recuerda a los usuarios mantener actualizado sus programas antivirus.

Download.com, el sitio de descargas de software de CNET, ofrece programas antivirus, algunos de los cuales incluyen el componente de “comportamiento” y es gratuito.

Pero eso aún no garantiza que no contraerás el nuevo virus sirio, recuerda Susan.

“Fue tan actual” dice. “El problema es que ellos enviaron un (…) archivo y fui lo suficientemente estúpida —como, es un programa ejecutable (EXE)— y lo abrí”.

John Scott-Railton contribuyó a esta historia.