Periodistas y activistas ecuatorianos atacados con el mismo software espía de la computadora del fiscal Nisman

Periodistas y activistas ecuatorianos atacados con el mismo software espía de la computadora del fiscal Nisman



ENGLISH VERSION

hack

El 21 de agosto de 2015, el portal informativo que trabaja en temas de transparencia “The Intercept” reveló que activistas, periodistas y ciudadanos ecuatorianos podrían haber sido infectados con un software espía similar al que pudo infectar los equipos del fiscal argentino Alberto Nisman -quien antes de su muerte responsabilizó a la presidenta de su país de un plan para encubrir a los supuestos responsables del ataque al centro judío de la Amia en 1994- y del periodista Jorge Lanata.

En la nota, escrita por Morgan Marquis-Boire, uno de los más reconocidos expertos en seguridad informática relacionada con asuntos públicos, se menciona que tanto Nisman como Lanata recibieron un documento adjunto titulado: “Estrictamente secreto y confidencial.pdf”, el cual simulaba ser un pdf pero, en realidad se trataba de un programa espía que enviaba información a un servidor. Dicho servidor, ligado a un grupo de direcciones dinámicas para evitar ser detectado, está relacionado con los dominios daynews.sytes.net y deyrep24.ddns.net los mismos que fueron hallados en algunos de los análisis realizados a programas maliciosos distribuidos en Ecuador.

Al respecto, la organización Accessnow confirmó que el primer dominio que se detalla en la publicación fue hallado en algunos de los análisis realizados a programas maliciosos que circulaban en Ecuador. En ese sentido alertó que tras hacerse público el caso, dichos dominios y servidores de control han sido eliminados y apagados, con lo que se podría intensificar la campaña de Phishing y los esfuerzos para infectar equipos que se encontraban previamente comprometidos. Accessnow recomendó ser especialmente cauteloso con las comunicaciones no esperadas; no abrir archivos adjuntos o enlaces web enviados por correos o chats que no se están esperando; mantener sistemas operativos, aplicaciones y antivirus actualizadas y no instalar aplicaciones de fuentes desconocidas.

Marquis-Boire detalla que en su investigación encontró al menos dos programas maliciosos ligados a ese servidor que fueron distribuidos en Ecuador. El primero se trataba de un archivo titulado “ProyectoGripen.docx.jar”, el cual simulaba ser un documento en Word que contenía una carta que supuestamente envió Mario Guerrero, embajador ecuatoriano en Suecia, al presidente Rafael Correa. Sin embargo, más allá de si la carta era o no legítima, el archivo en cuestión contenía un software espía creado en noviembre de 2014 y construido a través de la herramienta AlienSpy, que puede conseguirse fácilmente en línea por una suma de entre USD19 a USD219 dólares, según el experto.

El segundo archivo encontrado en la investigación que habría sido distribuido en Ecuador es uno denominado “Confidencial.pdf.jar”, construido en enero de este año y cuyo contenido es una hoja en blanco, pero con un software espía controlado por el dominio  “deyrep24.ddns.net”.

Cabe anotar que la investigación de Marquis-Boire no recoge detalles respecto al software espía que se habría distribuido en Ecuador, pero son claros los vínculos con este servidor, cuyo propietario o propietarios son aún desconocidos. Y es que desde febrero de 2015 Fundamedios ya alertó que algunos periodistas, personajes públicos y ciudadanos administradores de páginas en Facebook no alineados al oficialismo fueron víctimas de hackeos e intentos de hackeo por parte de piratas informáticos, según testimonios recogidos. A través de correos electrónicos engañosos que remiten a archivos con extensión java o enlaces maliciosos, los hackers han intentado tomar el control de sus computadoras, o aún peor, apropiarse de las cuentas de correos, nubes y toda la información que allí se aloja.

Uno de los casos es el de la periodista Jeanette Hinostroza quien aseguró que ha recibido al menos 100 correos de este tipo, algunos, con remitentes conocidos de periodistas y amigos, lo que hace más fácil caer en ellos a la hora de dar click o bajarse un archivo adjunto. Según Hinostroza, ha recibido mensajes como “mira la información que la Secretaría Nacional de Inteligencia SENAIN tiene de ti”; supuestos pedidos de entrevista de parte de periodistas del Miami Herald con preguntas adjuntas e invitaciones para visitar supuestos portales dónde se encontrarían denuncias sobre supuesta corrupción de funcionarios  del Gobierno, invitaciones para abrir documentos por personajes públicos como Carlos Vera o por portales informativos como ecuadorenvivo.com son los anzuelos que están utilizando los piratas informáticos. Hinostroza comentó que tras ser víctima de estos engaños ha perdido el control de su correo electrónico en al menos siete ocasiones y recientemente también perdió el control de su icloud personal con toda la información que guardaba en dicha nube.

Un caso similar le ocurrió al administrador de la página satírica Crudo Ecuador, quien comentó que recibió el supuesto pedido de entrevista de un periodista que afirmaba laborar en el Miami Herald. Sin embargo, a la hora de averiguar de quién se trataba, se enteró que había fallecido hace un par de años. Además de este correo engañoso, este administrador recibió al menos siete correos con enlaces que pretendían hacer phishing (suplantación de identidad) y que por suerte pudo identificarlos y evitar caer en ellos.

Al igual que el caso de “Crudo Ecuador”- quien hace varios meses decidió dejar de publicar memes tras recibir amenazas que atentan contra su integridad física y la de su familia- los administradores de las páginas satíricas de Facebook “Ecuatoriano Hasta las Huevas” y “Rokoto Feo” han sido víctimas de estos engaños. Un ejemplo de ellos es con un enlace que dice “el meme que volvió loco a Correa” , así como otro correo que denuncia una supuesta campaña de desprestigio, u otro que dice: “Compartimos con ustedes este documento filtrado sobre la jugada sucia del mandatario Rafael Correa hacia la oposición. Movimientoanticorreista.com”. El director ejecutivo de Fundamedios, César Ricaurte también recibió estos correos maliciosos.

Todos estos intentos por tomar el control de los computadores e información personal se da en medio de una intensa crítica a la Senain, que ha estado en la mira en las últimas semanas después de que Wikileaks revelara de una supuesta relación entre dicha Secretaría con la empresa italiana Hacking Team, a través de una tercera compañía colombiana para espiar la vida de los opositores como Cynthia Viteri, Lourdes Tibán, Luis Fernando Torres, entre otros.

Ecuadorian journalists and activists attacked with the same spyware as the computer of prosecutor Nisman

On 21 August 2015, the news portal that works on transparency related issues, “The Intercept”, revealed that Ecuadorian activists, journalists and citizens could have been infected with spyware similar to that which infected the equipment of Argentine prosecutor Alberto Nisman – who before his death blamed the president of his country of a plan to cover up the alleged perpetrators of the attack on the Amia Jewish center in 1994 – and journalist Jorge Lanata.

The article written by Morgan Marquis-Boire, one of the most renowned experts in computer security related to public affairs, mentions that both Nisman and Lanata received an attachment titled: “Estrictamente secreto y confidencial.pdf”, which appeared to be a pdf document but was actually a spy program that sent information to a server. That server, linked to a group of dynamic addresses to avoid detection, is related to the domains daynews.sytes.net and deyrep24.ddns.net, the same that were found in some of the analyses performed on malicious programs distributed in Ecuador.

In this regard, the organization Accessnow confirmed that the first domain mentioned in the publication was found in some of the analyses performed on malicious programs circulating in Ecuador. It alerted that after the case was made public, these domains and control servers were eliminated or turned off, which could lead to an intensification of the Phishing campaign and the efforts to infect computers that were previously compromised. Accessnow recommended being especially wary of unexpected communications; not opening unexpected attachments or web links sent as part of emails or chats; maintaining updated operating systems, applications and antivirus software, and not installing applications from unknown sources.

Marquis-Boire related that through his investigation he found at least two malicious programs linked to that same server and distributed in Ecuador. The first was a file titled “ProyectoGripen.docx.jar”, which appeared to be a Word document containing a letter allegedly sent by Mario Guerrero, Ecuador’s ambassador to Sweden, to President Rafael Correa. Regardless of whether the letter was legitimate or not, however, the file in question contained spyware created in November 2014 and built through the AlienSpy tool, which can be easily bought online for between USD 19 and USD 219, according to the expert.

The second file found through the investigation, which has apparently been distributed in Ecuador is called “Confidencial.pdf.jar”, built in January this year and whose content is a blank sheet, but including spyware controlled by the domain “deyrep24.ddns.net”.

We should note that Marquis-Boire’s investigation does not provide details on the spyware that has apparently been distributed in Ecuador, but the links to this server, whose owner or owners are yet unknown, are clear. Fundamedios had alerted since February 2015 that a number of journalists, public figures and managers of Facebook pages who are not aligned with the ruling party had been the victims of hackings and hacking attempts by software pirates (hackers), according to testimonies received. Through deceptive emails that directed the receivers to files with java extensions or malicious links, the hackers attempted to take control of their computers, or even worse, take over email accounts, data clouds and all the information stored there.

One of the cases was that of journalist Jeanette Hinostroza, who stated she had received at least 100 emails of this kind, some of them apparently from known journalists and friends, making it easier to fall for them and click on the link or download an attached file. According to Hinostroza, she received messages that said things like “look at the information that the National Intelligence Secretariat SENAIN has about you”; apparent requests for interviews from journalists for the Miami Herald with attached questions and invitations to visit supposed portals where she would be able to find reports of alleged corruption by government officials; invitations to open documents by public figures such as Carlos Vera or information portals such as ecuadorenvivo.com were the bait used by the software pirates. Hinostroza commented that after being a victim of these scams she lost control of her email account on at least seven occasions and recently also lost control of her personal iCloud with all the information she kept in this data cloud.

A similar case involved the administrator of the satirical page Crudo Ecuador, who said he received an apparent request for an interview from a journalist who claimed to work for the Miami Herald. When the administrator tried to find out who this person was, however, he found out that the journalist had died a couple of years before. In addition to this misleading email, this administrator received at least seven emails that were phishing attempts (identity theft), but was luckily able to identify them and thus avoid falling for them.

Just like “Crudo Ecuador” – who several months ago decided to stop publishing memes after receiving threats that attempted against his and his family’s physical integrity – the administrators of the satirical Facebook pages “Ecuatoriano Hasta las Huevas” and “Rokoto Feo”, were also victims of these ploys. One example is a link that said “the meme that maddened Correa”, another an email that reported an alleged smear campaign, or one that said: “We share with you this leaked document about the dirty trick played by President Rafael Correa against the opposition. Movimientoanticorreista.com”. Fundamedios’ executive director, César Ricaurte, has also received these malicious emails.

All these attempts to take control of computers and personal information is happening in the context of intense criticism of Senain, which has been under fire in recent weeks after Wikileaks revealed an alleged relationship between this Secretariat and the Italian company Hacking Team, through a third Colombian company, to spy on government opposition members such as Cynthia Viteri, Lourdes Tibán and Luis Fernando Torres, among others.

 

Documentos asociados