Posible puerta trasera en software espía de Hacking Team podría exponer a usuarios gubernamentales

Análisis del paquete de datos extraído por hacker a Hacking Team ha revelado, además, una grave vulnerabilidad en el kernel de Windows.

Hacking Team es un renombrado proveedor italiano de software para espionaje, intrusión cibernética y vigilancia electrónica. El pasado fin de semana, la propia empresa fue hackeada por un desconocido que publicó sus listas secretas de clientes en todo el mundo. La filtración consiste de más de 400 GB de datos robados, que están siendo analizados por empresas de seguridad, analistas y otros interesados.

La información confirmada hasta ahora revela que la empresa ha mentido cuando anteriormente ha negado categóricamente vender sus controvertidas herramientas a regímenes represivos y totalitarios. El software de Hacking Team, que puede infectar y controlar remotamente teléfonos móviles y computadoras de terceros, ha sido vendido a organismos estatales de países como Etiopía, Baréin, Egipto, Kazajstán, Marruecos, Rusia, Arabia Saudita, Sudán, Azerbaiyán, y otros. Asimismo, la empresa habría vendido su software a actores privados, algo que también ha negado anteriormente.

Vulnerabilidades de día cero

En el paquete de datos robados a Hacking Team ha dejado al descubierto al menos tres vulnerabilidades en software de Microsoft y Adobe. Dos de ellas afectan a Flash Player, y una al kernel de Windows. Una de las vulnerabilidades en Flash (CVE- 2015-0349) ya ha sido corregida mediante un parche, según informa la empresa de seguridad Trend Micro. “Una de las vulnerabilidades es descritas por Hacking Team como ‘la más hermosa vulnerabilidad Flash descubierta en los últimos cuatro años’. Esta vulnerabilidad aún no cuenta con un número CVE (Common Vulnerabilities and Exposures)”, escribe la empresa.

La vulnerabilidad detectada en el kernel de Windows tampoco ha sido clasificada con un número CVE, agrega la empresa. Esta vulnerabilidad, para la que aún no existe un parche, estaría situada en el archivo atmfd.dll, que es el conector de fuentes a nivel de kernel que Adobe instala en Windows. Es una bibliotecas que acompaña sistema operativo, y estaría presente en las versiones de Windows desde XP a 8.1, en versiones de 32 y 64 bits. Su aprovechamiento podría dar a un atacante derechos administrativos. El hecho que las vulnerabilidades carezcan de un número CVE es indicativo de que se trata de vulnerabilidades de día cero; es decir, desconocidas hasta ahora.

Hacker se atribuye la intrusión

Un hacker que opera bajo el seudónimo “Phineas Fisher” asumió el 8 de julio la responsabilidad por la intrusión informática contra Hacking Team. La relación fue hecha inicialmente al sitio web Motherboard, y posteriormente vía Twitter.

“Phineas Fisher” es la misma persona, o agrupación, que el año pasado hackeó a la organización de seguridad británico-alemana Gamma Group, desarrolladores del software espía FinFisher. Indudablemente, el seudónimo hace alusión directa a este último producto de la empresa, mientras que la cuenta en Twitter del hacker usa el sarcástico nombre “GammaGroup PR”.

Los ataques contra Gamma Group y Hacking Team tiene muchas características similares. Ambas empresas ofrecen software de espionaje, aparte de vender sus servicios a regímenes represivos. En ambos casos también se han filtrado a Internet las listas de clientes.

En su último tweet, “Phineas Fisher” dice que revelará el procedimiento utilizado para la intrusión contra Hacking Team “una vez que hayan tenido tiempo para fallar y fallar, mientras intentan entender qué ha ocurrido y por qué su negocio se ha arruinado”.

Según el sitio Motherboard, la propia empresa Hacking Team ha pedido a sus clientes desactivar su software. La razón sería que Hacking Team ha instalado puertas traseras en su software. Según las fuentes de Motherboard, “los atacantes se hicieron con todo lo que encontraron”. En caso de ser efectiva esta información, y que Hacking Team efectivamente haya instalado puertas traseras en su software, surge la posibilidad de intervenciones directas contra los clientes de Hacking Team que, por consiguiente, revelarían quienes están siendo espiados con el software de la empresa. Hacking Team no habría informado a sus clientes sobre esta puerta trasera.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022