Un agente del gobierno de Kazajstán ha estado utilizando spyware de nivel empresarial contra objetivos nacionales, según una investigación de Lookout publicada la semana pasada.
La entidad gubernamental utilizó la suplantación de marca para engañar a las víctimas para que descargaran el malware, denominado "Ermitaño". Hermit es un programa avanzado y modular desarrollado por RCS Lab, una notoria empresa italiana que se especializa en vigilancia digital. Tiene el poder de hacer todo tipo de espionaje en el teléfono de un objetivo, no solo recopilar datos, sino también grabar y hacer llamadas.
El momento de esta operación de espionaje tiene un significado adicional. En la primera semana de 2022, las protestas antigubernamentales se encontraron con violentas medidas represivas en todo Kazajstán. 227 personas murieron en total, y casi 10.000 fueron arrestadas. Cuatro meses más tarde es cuando los investigadores descubrieron las últimas muestras de Hermit haciendo rondas.
La intrusión
¿Cómo consigues que un objetivo descargue su propio spyware?
En esta campaña, los perpetradores utilizan OPPO – Guangdong Oppo Mobile Telecommunications Corp., Ltd, un fabricante chino de dispositivos móviles y electrónicos, como su estratagema para ganarse la confianza entre los objetivos. Según los investigadores, los agentes que trabajan en nombre del gobierno envían mensajes SMS que pretenden provenir de OPPO, que en realidad es un enlace secuestrado maliciosamente a la página oficial de soporte en idioma kazajo de la compañía: http[://]oppo-kz[.] custhelp[.] (En el momento de la publicación del informe, esa página de soporte se había desconectado). En algunos casos, los atacantes también se hacen pasar por Samsung y Vivo, según Lookout.
La intrusión requiere que la víctima abra el mensaje SMS y haga clic en el enlace a la página secuestrada. Mientras se carga, el malware se descarga simultáneamente en segundo plano en la máquina de destino, luego se conecta a un servidor C2 alojado por un pequeño proveedor de servicios en Nur-Sultan, la capital del país.
Como Paul Shunk, investigador de seguridad de Lookout, escribió en un comunicado: "La combinación de la orientación de los usuarios de habla kazaja y la ubicación del servidor C2 de backend es una fuerte indicación de que la campaña está controlada por una entidad en Kazajstán". Aunque los investigadores de Lookout identificaron esa entidad como perteneciente al gobierno estatal, no atribuyeron a un funcionario o departamento gubernamental en particular.
El malware
Hermit no solo es sofisticado, es totalmente personalizable.
Está construido modularmente, lo que significa que sus propietarios pueden usar o ignorar algunos de sus 25 componentes conocidos, cada uno de los cuales cumple una función diferente. También significa que el despliegue de cualquier instancia dada de Hermit podría ser diferente a la siguiente.
Entre esas muchas funciones se encuentran la capacidad de grabar audio, hacer y redirigir llamadas, y recopilar datos en el teléfono inteligente de una víctima.
Luego hay más funciones de nicho. Por ejemplo, como señalaron los investigadores en su informe, "el spyware también intenta mantener la integridad de los datos de la 'evidencia' recopilada mediante el envío de un código de autenticación de mensajes basado en hash (HMAC). Esto permite a los actores autenticar quién envió los datos, así como garantizar que los datos no cambien". ¿Por qué es esto interesante? Porque "el uso de este método para la transmisión de datos puede permitir la admisibilidad de las pruebas recopiladas".
"El descubrimiento de Hermit agrega otra pieza del rompecabezas a la imagen del mercado secreto de herramientas de vigilancia de 'intercepción legal'", escribió Shunk. "Si hay un uso legítimo de esta tecnología, ciertamente requiere una supervisión estricta y protecciones contra el abuso".