Seguimos a vueltas con el culebrón de las últimas elecciones estadounidenses. Si hace unos días comentábamos que Obama y la NSA decían tener pruebas de la intervención de hackers rusos, ahora el análisis de los datos no prueba que estuviesen involucrados según se ha publicado en ZDNet.
Todo esto llega después de que Estados Unidos acusase a Rusia formalmente de haber intervenido en las elecciones y de que el presidente en funciones, Barack Obama, expulsase a diplomáticos rusos a la luz de estos hechos. Ahora todo esto podría ser interpretado como una pataleta ("la pelota es mía y me la llevo") ante la falta de pruebas concluyentes.
Es difícil cuestionar que Rusia quería que Trump ganase. Las declaraciones del ahora presidente expresaban sus deseos de que los rusos hackeasen la cuenta de correo de Hillary Clinton. Dicho y hecho: la sede del DNC se vio comprometida. Se extrajeron miles de correos electrónicos, a excepción de 33.000 que la candidata habría borrado mientras era Secretaria de Estado.
¿Desde Rusia con amor?
Y sin embargo, a pesar de que todos los medios (incluyéndonos a nosotros mismos) dieron pábulo a la teoría de que el hack al DNC venía desde Rusia, el Departamento de Seguridad Nacional y el FBI han elaborado un informe de análisis conjunto o JAR que no extrae pruebas concluyentes de que el ataque viniese del frío.
El documento no apunta directamente al gobierno ruso, sino que se limita a afirmar que hay "indicadores técnicos" de que los servicios rusos de Inteligencia están atacando al gobierno estadounidense y a enitidades políticas y del sector privado de forma continuada. Este asalto ininterrumpido es lo que se conoce como Grizzly Steppe.
El método principal que se usa en esta técnica es el llamado spear phishing. Se trata de una técnica de hacking muy común, en la que el objetivo recibe mensajes de correo electrónico que parecen venir de un amigo o un compañero de trabajo. Al hacer clic en su contenido o en un enlace, se infecta al objetivo con malware que permite el acceso remoto al ordenador. A partir de ahí, todos los datos del PC infectado van a parar al atacante.
El JAR incluye "indicadores específicos de compromiso, con direcciones IP y una muestra de malware PHP". Lo que esto prueba, según Wordference, es que apenas hay pruebas de que fuesen los rusos los que iniciasen el ataque mediante spear phishing. Lo que sí encontraron fue una herramienta web desactualizada, P.A.S. 3.1.0, que aseguran que se escribió en Ucrania.
El CEO de Wordference, Mark Maunder, concluyó que "dado que los ataques se realizaron con una herramienta muy por desactualizada. Cabe esperar que los operativos de la Inteligencia rusa desarrollen sus propias herramientas, o al menos usen aplicaciones de terceros actualizadas".
El asunto se complica: podría haber sido cualquiera
En el blog de Errata Security se vuelve a mencionar que se trata de una herramienta popular entre los hackers de Europa del Este, especialmente en Rusia y en Ucrania. Pero "también en el resto del mundo". Sólo porque el hack se realizó usando P.A.S. no se puede concluir que se tratase del gobierno ruso.
El CEO de Errata Security, Rob Graham, comentó que si los atacantes tienen registros donde los datos extraídos de las direcciones IP objetivo "iban a parar a la herramienta web", entonces todos serían obra del mismo actor. Pero no es el caso.
Los análisis de Wordference, por su parte, muestran que el ataque pudo haber sido obra de un actor como Rusia, pero "no ofrecen ningún tipo de asociación" con el país eslavo. Probablemente la herramienta se usa por un amplio espectro de actores maliciosos, entre ellos un significativo 15% de IPs que van a parar a nodos de salida de Tor.
Otros, sin embargo, encontraron el documento mucho menos convincente. El especialista en seguridad Robert M. Lee escribía:
Esto parece un informe escrito a toda prisa por múltiples equipos trabajando con diferentes sets de datos y con distintas motivaciones. Es mi opinión y es pura especulación que había grandes profesionales y analistas involucrados en contribuir a estos datos que después revisiones del informe, procesos de aprobación de los líderes y los procesos de sanitización han eliminado la información de más valor y han dejado un informe muy confuso intentando abarcar mucho sin decir nada.
En pocas palabras, que a lo mejor fueron los rusos los que atacaron al DNC y a otras organizaciones estadounidenses, pero ni el código fuente, ni el análisis de la red han aportado pruebas convincentes o concluyentes que demuestren inequívocamente que fue obra suya.
Mientras tanto, Donald Trump no admite la influencia de Rusia en las elecciones, así que desde la Casa Blanca seguramente no se harán muchos comentarios al respecto una vez él la ocupe. También ha prometido revelar información sobre el hacking ruso, información que dice sólo conocen quienes se mueven en ese entorno. Claro que, estamos hablando de Donald Trump, con lo que a saber a qué se refiere.
Lo que parece es que la historia todavía no ha acabado. Este asunto ha resultado altamente controvertido durante los últimos meses, con lo que es necesaria una investigación más profunda y mejor hecha que intente aclarar mejor estos sucesos.
Vía | ZDNet
Imagen | markusspiske
En Xataka | Hackeos, espías rusos y conspiraciones: no es una película, sino el escándalo de las elecciones de EEUU
Ver 3 comentarios