Así podría el gobierno infectar tu PC con Spyware

De la misma forma que cualquier empresa tecnológica, proveedores de servicios de hacking como NSO Group o Hacking Team -que venden software para que terceros puedan espiar en teléfonos o equipos informáticos ajenos, tienen que convencer a sus clientes de que esos productos carísimos (hablamos de miles de dólares) valen lo que cuestan.

Para conseguirlo, las empresas normalmente proporcionan «demos» controladas, que demuestran el potencial de cada suite a los compradores, en muchos casos agencias de inteligencia o departamentos de policía de todo el mundo. Para el resto de los mortales -que no somos agentes de policía, intermediarios o contratantes del gobierno, es muy difícil ver este tipo de herramientas en acción. Hasta hoy.

Así podría el gobierno infectar tu PC con Spyware

El sitio web Motherboard ha obtenido acceso exclusivo a un vídeo recién desclasificado -no me preguntéis por quién- de 10 minutos que incluye una demostración de un spyware utilizado por un pequeño contratista italiano dedicado al ciberespioanje: RCS Lab. Al contrario que el Hacking Team, RCS Lab ha sido capaz de pasar desapercibida durante años. Casi no hay información sobre sus productos o clientes.

https://youtu.be/3HFPUIYUMvo

Este vídeo -que data de Septiembre de 2015- muestra como un empleado de RCS Lab lleva a cabo una demo en vivo para un hombre sin identificar, donde además se incluye un tutorial que explica como controlar el spyware para realizar ataques de tipo man-in-the-middle o MiTM.

El ataque se lleva a cabo con una técnica de spear phishing, ya que se pretende engañar a una víctima que va a visitar una web específica. Se busca, por tanto, un objetivo concreto, seguramente de alto nivel.

La suite de RCS Lab

La suite de RCS Lab, bautizada como Mito3, permite a los agentes configurar fácilmente este tipo de ataques mediante la sencilla aplicación de una regla en el software. El operador puede utilizar cualquier sitio web de su conveniencia como vector de ataque. Símplemente deben seleccionar la opción inyectar HTML en el menú desplegable para forzar la aparición de la ventana emergente maliciosa.

Mito3 permite a sus clientes escuchar las comunicaciones del objetivo, interceptar sus llamadas de voz, videollamadas, actividades en redes sociales y chats, según parece tanto en plataformas móviles como PC.

Además, permite geo-localizar a las víctimas gracias al GPS del teléfono. Incluso pone a su disposición un sistema de transcripción automática de las grabaciones, al más puro estilo «espía de Hollywood».

El empleado de la compañía muestra como funciona este tipo de ataque, que comienza asignando una redirección con descarga de malware para una copia de la página mirc.com (minuto 4:25). Cuando el objetivo ficticio navega por la web, se le presentará una falsa actualización de Adobe Flash. La actualización simula de forma exitosa el proceso, pero de hecho no tiene lugar en absoluto.

Esta actualización contiene el malware necesario para poner un pie en el equipo remoto. Así lo describe el operador:

Todo el proceso es, realmente, una mentira. Es como una película. En realidad, mientras el usuario ve esa «película», ya ha sido infectado.

La demostración no muestra realmente una técnica de hacking revolucionaria -las falsas actualizaciones de Flash llevan mucho tiempo siendo usadas por cibercriminales para engañar al usuario- pero nos permite saber de primera mano como trabajan y con qué herramientas lo hacen este tipo de proveedores de spyware/malware para agencias y gobiernos.