BogotáTecnología

Los chats filtrados muestran supuestos espías rusos que buscan herramientas de pirateo

Hace seis años, un investigador de ciberseguridad de habla rusa recibió un correo electrónico no solicitado de Kate S. Milton.

Milton afirmó trabajar para la empresa de antivirus Kaspersky, con sede en Moscú. En un intercambio que comenzó con una interrupción del inglés y cambió rápidamente al ruso, Milton dijo que estaba impresionada por el trabajo del investigador en exploits, los pellizcos digitales utilizados por los piratas informáticos para entrar en sistemas vulnerables, y quería ser copiado en los nuevos que el investigador se encontró.

“Casi siempre se tienen todos los exploits de alto nivel”, dijo Milton, luego de felicitar al investigador por una publicación en su sitio web, donde a menudo disecaba software malicioso.

“Para que nuestro contacto no sea unilateral, le ofrecería mi ayuda para analizar virus maliciosos y, a medida que obtenga nuevas muestras, las compartiré”, continuó Milton. “¿Qué piensas?”

El investigador, que trabaja como ingeniero de seguridad y administra el sitio para compartir malware, siempre tuvo una buena idea de que Milton no era quien decía ser. El mes pasado, ella recibió la confirmación a través de una acusación del FBI.

La acusación, hecha pública el 13 de julio, levantó la tapa sobre la operación de piratería rusa que tuvo como objetivo las elecciones presidenciales de 2016 en Estados Unidos. Identificó a “Kate S. Milton” como un alias para el oficial de inteligencia militar Ivan Yermakov, uno de los 12 espías rusos acusados ​​de irrumpir en el Comité Nacional Demócrata y publicar sus correos electrónicos en un intento de influir en las elecciones de 2016.

La investigadora, que dio sus intercambios con Milton a The Associated Press con la condición del anonimato, dijo que no le complacía saber que había estado en contacto con un presunto espía ruso. Pero ella tampoco estaba particularmente sorprendida.

“Esta área de investigación es un imán para las personas sospechosas”, dijo.

El investigador y Milton participaron en un puñado de conversaciones entre abril de 2011 y marzo de 2012. Pero incluso sus escasos intercambios, junto con algunas migas digitales dejadas por Yermakov y sus colegas, ofrecen una idea de los hombres detrás de los teclados en la Dirección Principal de Inteligencia de Rusia. o GRU

***

No es inusual que mensajes como Milton aparezcan de la nada, especialmente en el mundo relativamente pequeño de analistas de malware independientes.

“No había nada particularmente inusual en su enfoque”, dijo el investigador. “Tuve interacciones muy similares con investigadores aficionados y profesionales de diferentes países”.

El par correspondió por un tiempo. Milton compartió un fragmento de código malicioso en un punto y envió un video de YouTube relacionado con piratería en otro, pero el contacto se esfumó después de unos meses.

Luego, al año siguiente, Milton volvió a estar en contacto.

“Ha sido todo trabajo, trabajo, trabajo”, dijo Milton a modo de disculpa, antes de llegar rápidamente al punto. Ella necesitaba nuevas selecciones de cerradura.

“Sé que puedes ayudar”, escribió. “Estoy trabajando en un nuevo proyecto y realmente necesito contactos que puedan proporcionar información o tener contactos con personas que tienen nuevos exploits. Estoy dispuesto a pagar por ellos “.

En particular, Milton dijo que quería información sobre una vulnerabilidad revelada recientemente con el nombre en código CVE-2012-0002, una falla crítica de Microsoft que podría permitir a los hackers comprometer remotamente algunas computadoras con Windows. Milton había oído que alguien ya había improvisado una hazaña que funcionaba.

“Me gustaría obtenerlo”, dijo.

El investigador objetó. El comercio de exploits _ para uso de espías, policías, compañías de vigilancia o delincuentes _ puede ser una mala acción.

“Por lo general me mantengo alejado de cualquier comprador y vendedor”, dijo a la AP.

Ella declinó educadamente, y nunca más volvió a saber de Milton.

***

La cuenta de Twitter de Milton _ cuya foto de perfil presenta a la estrella de “Lost” Evangeline Lilly _ hace mucho que está inactiva. Los últimos mensajes contienen apelaciones urgentes y torpemente redactadas para exploits o consejos sobre vulnerabilidades.

“Ayúdenme a encontrar la descripción detallada CVE-2011-0978”, se lee en un mensaje, que hace referencia a un error en PHP, un lenguaje de codificación que a menudo se usa para sitios web. “Necesita un exploit de trabajo”, continúa el mensaje, que termina con una carita sonriente.

No está claro si Yermakov estaba trabajando para el GRU cuando se hizo pasar por Kate S. Milton. El silencio de Twitter de Milton, que comenzó en 2011, y la referencia a un “nuevo proyecto” en 2012 podrían insinuar un nuevo trabajo.

En cualquier caso, Yermakov no estaba trabajando para la firma antivirus Kaspersky, ni entonces ni nunca, dijo la compañía en un comunicado.

“No sabemos por qué supuestamente se presentó como un empleado”, dijo el comunicado.

Los mensajes enviados por el AP a la cuenta de Gmail de Kate S. Milton no fueron devueltos. Los intercambios entre Milton (Yermakov) y el investigador podrían leerse de diferentes maneras.

Podrían mostrar que el GRU estaba tratando de cultivar personas en la comunidad de seguridad de la información con el objetivo de obtener las últimas hazañas lo antes posible, dijo Cosimo Mortola, un analista de inteligencia de amenazas en la compañía de seguridad cibernética FireEye.

También es posible que Yermakov haya funcionado inicialmente como un hacker independiente, buscando herramientas de espionaje antes de ser contratado por la inteligencia militar rusa _ una teoría que tiene sentido para el analista de defensa y política exterior Pavel Felgenhauer.

“Para cyber, tienes que contratar niños que entienden las computadoras y todo lo que los viejos espías en el GRU no entienden”, dijo Felgenhauer. “Si encuentras un buen hacker, lo reclutas y le das algo de entrenamiento y un rango _ un teniente o algo así _ y luego hará lo mismo”.

***

La filtración de las conversaciones de Milton muestra cómo el resplandor de la publicidad revela elementos de los métodos de los piratas informáticos y quizás incluso pistas sobre sus vidas privadas.

Es posible, por ejemplo, que Yermakov y muchos de sus colegas viajen al trabajo a través de la entrada arqueada de Komsomolsky 20-22, una base militar en el corazón de Moscú que sirve de hogar a la supuesta unidad 26165 de los hackers. Fotos tomadas desde adentro demuestre que es una instalación bien cuidada, con una fachada de la época zarista, jardines bien cuidados, macizos de flores y árboles con sombra en un patio central.

AP y otros han tratado de rastrear las vidas digitales de los hombres, encontrando referencias a algunos de los acusados ​​por el FBI en documentos académicos sobre computación y matemática, en las listas de asistentes a la conferencia de ciberseguridad rusa o en el caso de Cpt. Nikolay Kozachek, apodado “kazak” _ escrito en el código malicioso creado por Fancy Bear, el apodo aplicado desde hace tiempo al escuadrón de piratería antes de que sus identidades fueran supuestamente reveladas por el FBI.

Uno de los otros apodos de Kozachek también aparece en un sitio web que permite a los usuarios extraer tokens para nuevas armas para usar en el videojuego de disparos en primera persona “Counter Strike: Global Offensive” _ proporcionando una muestra de los intereses extracurriculares de los hackers.

La AP también ha descubierto varios perfiles de redes sociales vinculados a otro de los acusados ​​colegas de Yermakov _el teniente Aleksey Lukashev, presuntamente el hombre detrás del phishing exitoso de la cuenta de correo electrónico que pertenece al presidente de la campaña de Hillary Clinton, John Podesta.

Lukashev operó una cuenta de Twitter bajo el alias “Den Katenberg”, de acuerdo con un análisis de la acusación, así como con los datos proporcionados por la firma de seguridad cibernética Secureworks y la función de Twitter “Find My Friends”.

Un informante que usa el motor de búsqueda de reconocimiento facial ruso FindFace recientemente apuntó al AP a una cuenta en la red social rusa VKontakte que, aunque usa un nombre diferente, aparece activa y muestra fotos del mismo hombre joven de aspecto eslavo.

Muchos de sus mensajes y sus amigos parecen proceder de un distrito fuera de Moscú conocido como Voskresensky. Las fotos le muestran el esquí de fondo por la noche, vadeando en aguas color esmeralda en algún lugar cálido y visitando Yaroslavl, una antigua ciudad al norte de Moscú. Apareció un video que mostraba el 2017 Spasskaya Tower Festival de Rusia, un festival de música militar popular entre los oficiales.

La AP no pudo establecer con certeza que el hombre en la cuenta de VKontakte es Lukashev. Varias personas incluidas en la lista como amigos declinaron hacer comentarios cuando se acercaron a la AP o dijeron que el nombre de Lukashev era desconocido para ellos.

Poco después, el propietario del perfil bloqueó su cuenta, haciendo que sus vacaciones se vuelvan invisibles para los de afuera.