Detekt: ¿Hay alguien espiándome en mi ordenador?

Estándar
Ya hace mucho tiempo que salieron a la luz pública casos de espionaje de gobiernos a ciudadanos por medio de software especialmente creado para espionaje gubernamental. Ahora Amnistía Internacional, Electronic Frontier Foundation y otras organizaciones pro-derechos civiles ha lanzado Detekt, una herramienta creada por Claudio Guarnieri para ayudar a encontrar software de espionaje utilizado en equipos de personales.

Figura 1: ¿Hay alguien espiándome en mi ordenador?


Dentro del desarrollo de soluciones R.A.T. (Remote Administration Tools) existen algunas que son más del mundo underground hechas por hacktivistas para sus acciones de reivindicación, otras que son generadas por grupos de cibercrimen que pueden ir desde soluciones amateurs hasta bots profesionales que se comercialización, algunas hechas a medida para operaciones A.P.T. contra objetivos concretos – famosos son los ataques contra los grupos pro-Tibet y el Dalai Lama – y otras que se hacen para comercializar en gobiernos y cuerpos de seguridad del estado.

El software de espionaje comercial
Este último, el software de espionaje gubernamental es un sector en el que se posicionan algunas empresas para cubrir las necesidades que en algunos países tienen los gobiernos que han legalizado este tipo de técnicas, como por ejemplo enHolanda y Alemania donde los cuerpos de seguridad del estado puede utilizar estos programas baja la supervisión judicial. Por supuesto, como denunció Reporteros sin Fronteras, también acaban siendo utilizados por gobiernos totalitarios que persiguen a disidentes sin ningún control. De las empresas que hacen este tipo de software hay algunas que se han hecho muy populares por incidentes y filtraciones recientes.


Figura 2: Funcionamiento de FinFisher/FinSpy Mobile

El primero que saltó a los medios de comunicación masiva fue el caso de FinFisher y su software de monitorización móvil FinSpy que desarrolla la empresa Gamma International. Este software fue descubierto en las revueltas de la primavera árabe en Egipto, y desde entonces ha estado en el centro de la noticia. En un análisis posterior de la herramienta se descubrieron paneles de control en 25 países por todo el mundo, lo que dejaba al descubierto más o menos qué organizaciones y/o países estaban utilizando dichos programas.

Figura 3: Ubicaciones en las que se encontraron paneles de FinFisher
Por supuesto, en el mundo de la seguridad se le sigue la pista a FinFisher & FinSpydesde hace tiempo, ya que el truco de Masque utilizando provisioning profiles – no suplantando apps, pero si metiendo fake apps – para infectar terminales iPhone con software de espionaje ya lo usaban ellos hace tiempo, y en los equipos Windows llegaron a utilizar a Mozilla Firefox para colarse dentro de los sistemas.
Figura 4: Panel de análisis de Hacking Team RCS 9
Otro de los software comerciales posicionados como R.A.T.s gubernamentales es el famoso RCS de Hacking Team, que recientemente ha sufrido una filtración de su documentación permitiendo saber exactamente cómo funciona este software. Entre los trucos que usan este último están los ataques de fake AP en redes WiFi para infectar equipo o el último de hacer Jailbreak a los terminales iPhone desde un equipo Windows pareado para poder infectarlo con el bot de RCS.
Por supuesto estos no son los únicos programas espías que se venden, ni las únicas empresas que los desarrollan. Ya vimos hace tiempo cuando Anonymous hackeó la empresa HBGary como ellos desarrollaban herramientas como 12 Monkeys o Task.Bpara troyanizar equipos infectados.
¿Qué hace Detekt?
Detekt es un software desarrollado en Python para buscar los rastros deFinFisher/FinSpy & Hacking Team RCS dentro del equipo, además de algún otraR.A.T. popular como DarkComet, Por supuesto, después de toda la información que se ha hecho pública de ambas familias se conoce mucho de ellos ya que de FinFisher se filtró el código completo y de HackingTeam RCS toda la documentación, así que si se lanza en un equipo infectado, entonces es posible que sepa si hay alguno de ellos actualmente instalados en el equipo.
Figura 5: Funcionamiento de Detetk. Te recomienda hacerlo offline
La pregunta que mucha gente se hace es si es fiable o no. La respuesta es que no es100% fiable, por supuesto. En primer lugar los creadores de los RATs que busca este software están acostumbrados a lidiar con software antimalware desde hace mucho tiempo, y está claro que harán los deberes para primero hacerse indetectables y segundo atacar e inutilizar este software en los equipos en los que se vaya a utilizar.
No hay que olvidar que este software de espionaje tiene conexión directa con el panel de control y puede mutar a gusto, cambiar los binarios, modificarse en caliente, etcétera. Nada sencillo para detectarlo en un equipo vivo. De hecho, mi solución contra este tipo de casos es la que os propuse en en un artículo que decía que una buena política antimalware y antiAPTs debe mirar en el pasado, analizando instantáneas pasadas de los sistemas informáticos de una organización.

Figura 6: Propuesta de análisis de copias de seguridad para detectar bots mutados
Sea como fuere, esto es un juego del gato y el ratón, así que si tienes un equipo del que sospechas pueda haber sido infectado con FinFisher/FinSpy o Hacking Team RCSmejor que pases un antimalware actualizado y pruebes Detekt antes que no hacer nada, pero lo suyo sería que le hicieras un buen análisis forense a ver qué sale de ahí, y que antes de llegar a ese punto tengas fortificado al máximo tu Windows. A día de hoy Detekt sólo funciona en Windows en versiones anteriores a Windows 8.1.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s