ENGLISH VERSION
El 8 de diciembre de 2015 el grupo de control de Internet CitizenLab reveló que activistas, periodistas y ciudadanos ecuatorianos vinculados con la oposición han sido objeto de reiterados ataques por parte de piratas informáticos. En el informe se mencionan los casos del director de Fundamedios, César Ricaurte, la exasambleista Martha Roldós, la periodista Jeanette Hinostroza, el administrador de la página de Facebook Crudo Ecuador, entre otros.
Según la investigación, el grupo de ciber-espías es el mismo que atacó los equipos del fiscal argentino Alberto Nisman -quien antes de su repentina muerte responsabilizó a la presidenta de su país de un plan para encubrir a los supuestos responsables del ataque al centro judío de la Amia en 1994- y al periodista Jorge Lanata. Los investigadores determinaron que el software espía hallado en el smartphone del fiscal argentino fue escrito para enviar datos robados a la misma estructura de mando y control que el malware de los objetivos infectados en Ecuador. También se afirma que los piratas informáticos tenían un «interés incansable y sistemático en la oposición política y la prensa independiente» en tres países, todos ellas gobernados por ejecutivos de izquierdas aliados. Esto sugiere que puede haberse operado en beneficio de uno o más de esos gobiernos.
En el reporte elaborado por CitizenLab se explica cómo este grupo, a través de programas espía, campañas de phishing, envío de correos maliciosos y páginas de noticias falsas atacan a sus objetivos con el fin de tomar el control de sus computadores e información, por lo que la operación fue denominada como “Packrat” porque los atacantes utilizan el paquetes comerciales de troyanos de accesos remotos para lograr sus objetivos. En dos ejemplos, las víctimas recibieron un correo electrónico de una organización falsa que simulaba estar en contra del presidente de Ecuador, Rafael Correa. Otros recibieron un mensaje falso firmado por un líder de la oposición que decía revelar nombres de personas investigadas por la agencia de espionaje de Ecuador.
Al respecto, el reporte da cuenta de al menos 35 tipos distintos de archivos trampa operados desde dominios alojados por empresas con sede en Argentina, Brasil, Francia, España, Suecia, Uruguay y Estados Unidos. Durante buena parte de los últimos dos años, unas dos docenas de sitios «infectadas» residieron en en servidores propiedad de la firma estadounidense GoDaddy.com LLC, una empresa de alojamiento web bajo los dominios: soporte-yahoo.com,update-outlook.com, mgoogle.us y login-office365.com.
Los investigadores apuntan que “Packrat” envió a Jorge Lanata, un virus idéntico al que recibió Nisman un mes antes de su muerte y afirman que el rastro digital de este software malicioso indica que fue creado para comunicarse con los mismos dominios de internet empleados para espiar a miembros de la oposición en Ecuador.
En agosto de 2015, el portal informativo que trabaja en temas de transparencia “The Intercept” ya había revelado que activistas, periodistas y ciudadanos ecuatorianos podrían haber sido infectados con un software espía similar al que pudo infectar los equipos del fiscal argentino. En la nota, escrita por Morgan Marquis-Boire, uno de los más reconocidos expertos en seguridad informática relacionada con asuntos públicos, se menciona que tanto Nisman como Lanata recibieron un documento adjunto titulado: “Estrictamente secreto y confidencial.pdf”, el cual simulaba ser un pdf pero, en realidad se trataba de un programa espía que enviaba información a un servidor. Dicho servidor, ligado a un grupo de direcciones dinámicas para evitar ser detectado, está relacionado con los dominios daynews.sytes.net y deyrep24.ddns.net los mismos que fueron hallados en algunos de los análisis realizados a programas maliciosos distribuidos en Ecuador.
Al respecto, la organización Accessnow confirmó que el primer dominio que se detalla en la publicación fue hallado en algunos de los análisis realizados a programas maliciosos que circulaban en Ecuador. En ese sentido alertó que tras hacerse público el caso, dichos dominios y servidores de control han sido eliminados y apagados, con lo que se podría intensificar la campaña de Phishing y los esfuerzos para infectar equipos que se encontraban previamente comprometidos. Accessnow recomendó ser especialmente cauteloso con las comunicaciones no esperadas; no abrir archivos adjuntos o enlaces web enviados por correos o chats que no se están esperando; mantener sistemas operativos, aplicaciones y antivirus actualizadas y no instalar aplicaciones de fuentes desconocidas.
Marquis-Boire detalló que en su investigación encontró al menos dos programas maliciosos ligados a ese servidor que fueron distribuidos en Ecuador . El primero se trataba de un archivo titulado “ProyectoGripen.docx.jar”, el cual simulaba ser un documento en Word que contenía una carta que supuestamente envió Mario Guerrero, embajador ecuatoriano en Suecia, al presidente Rafael Correa. Sin embargo, más allá de si la carta era o no legítima, el archivo en cuestión contenía un software espía creado en noviembre de 2014 y construido a través de la herramienta AlienSpy, que puede conseguirse fácilmente en línea por una suma de entre USD19 a USD219 dólares, según el experto.
El segundo archivo encontrado en la investigación que habría sido distribuido en Ecuador es uno denominado “Confidencial.pdf.jar”, construido en enero de este año y cuyo contenido es una hoja en blanco, pero con un software espía controlado por el dominio “deyrep24.ddns.net”.
CItizen Lab research reveals that ecuadorian journalists and activists have been systematically attacked
On December 8, 2015 the Internet monitoring group Citizen Lab revealed that Ecuadorian activists, journalists and citizens with links to the opposition have been subjected to repeated attacks by hackers. The report mentions the cases of Fundamedios director César Ricaurte, former assemblywoman Martha Roldós, journalist Jeanette Hinostroza, and the administrator of Facebook page Crudo Ecuador, among others.
According to the investigation, the group of hackers is the same that infected the equipment of Argentine prosecutor Alberto Nisman – who before his sudden death blamed the president of his country of a plan to cover up the alleged perpetrators of the attack on the Amia Jewish center in 1994 – and journalist Jorge Lanata. The investigators determined that the spyware found on the smartphone of the Argentine prosecutor was written to send stolen data to the same command and control structure as the malware that has infected targets in Ecuador. They also stated that the hackers had «a tireless and systematic interest in the political opposition and the independent press» in three countries, all of them ruled by allied leftist executives. This suggests they may have operated to benefit of one or more of those governments.
The report prepared by Citizen Lab explains how this group, through spyware, phishing campaigns, malicious emails and false news bulletins attacks their targets in order to take control of their computers and information. The operation has been referred to as «Packrat» because the attackers use commercial packages of remote access Trojans to achieve their goals. In two instances, the victims received an email from a fake organization pretending to be against the president of Ecuador, Rafael Correa. Others received a false message signed by an opposition leader claiming to reveal the names of persons investigated by Ecuador’s espionage agency.
The report gives an account of at least 35 different types of trap files operated from domains hosted by companies based in Argentina, Brazil, France, Spain, Sweden, Uruguay and the United States. For much of the past two years, about two dozen «infected» sites resided on servers owned by US firm GoDaddy.com LLC, a web hosting company under the domains:soporte-yahoo.com, update-outlook.com, mgoogle.us and login-office365.com.
The investigators claim that «Packrat» sent Jorge Lanata a virus identical to the one received by Nisman a month before his death and state that the digital trace of this malware indicates that it was created to communicate with the same Internet domains used for spying on members of the opposition in Ecuador.
In August 2015, the news portal that works on transparency related issues, «The Intercept», had already revealed that Ecuadorian activists, journalists and citizens could have been infected with spyware similar to that which infected the equipment of the Argentine prosecutor. The note, written by Morgan Marquis-Boire, one of the most widely recognized experts on computer security related to public issues, mentions that both Nisman and Lanata received an attached document titled: «Estrictamente secreto y confidencial.pdf», which appeared to be a pdf but was actually spyware that sent information to a server. That server, linked to a group of dynamic addresses to avoid detection, is related to the domainsdaynews.sytes.net and deyrep24.ddns.net, the same that were found in some of the analyses performed on malicious programs distributed in Ecuador.
In this regard, the organization Accessnow confirmed that the first domain mentioned in the publication was found in some of the analyses performed on malicious programs circulating in Ecuador. It stated that after the case was made public, the domains and control servers were eliminated and turned off, which could lead to an intensification of the Phishing campaign and the efforts to infect computers that were previously compromised. Accessnow recommended being especially wary of unexpected communications; not opening unexpected attachments or web links sent as part of emails or chats; maintaining updated operating systems, applications and antivirus software, and not installing applications from unknown sources.
Marquis-Boire related that through his investigation he found at least two malicious programs linked to that server that were distributed in Ecuador. The first was a file titled «ProyectoGripen.docx.jar», which appeared to be a Word document containing a letter allegedly sent by Mario Guerrero, Ecuador’s ambassador to Sweden, to President Rafael Correa. Regardless of whether the letter was legitimate or not, however, the file in question contained spyware created in November 2014 and built through the AlienSpy tool, which can be easily bought online for between USD 19 and USD 219, according to the expert.
The second file found through the investigation that may have been distributed in Ecuador is called «Confidencial.pdf.jar», built in January this year and whose content is a blank sheet, but including spyware controlled by the domain «deyrep24.ddns.net».