Contradicciones en los ataques a la Agencia Mundial Antidopaje

jueves, 15 de septiembre de 2016

El 13 de septiembre el grupo identificado como @FancyBears en Twitter publicaba, en una web de reciente creación, información sobre cuatro conocidas deportistas de élite que, presuntamente, habría sido sustraída en una acción perpetrada contra la WADA (World Anti Doping Agency). En un comunicado oficial la propia organización ha confirmado el ataque y la exposición de información de hasta 29 atletas, atribuyendo el ataque a orígenes rusos. Este incidente se produce apenas unas semanas después del envío de una serie de correos electrónicos de spear phishing para la recolección de credenciales de usuarios de WADA.

Qué se sabe de la información expuesta
La información publicada en las webs pertenecientes al colectivo incluía diversos ficheros PDF y capturas de pantalla de lo que parecían ser informes oficiales de WADA. En ellos se recoge información personal de los deportistas vinculada a los certificados de aprobación para uso terapéutico de determinados medicamentos. Los metadatos de los documentos extraídos exponen el nombre usuario chnd, el software OpenOffice 2.1 y la fecha del 31 de agosto de 2016 en una zona horaria UTC-4 salvo un fichero fechado el 8 de septiembre.


Se ha podido identificar que este usuario chnd es el creador de otro documento disponible públicamente a través de un subdominio de WADA en el que se aloja el gestor documental ADAMS. Dicho documento publicado en noviembre de 2008 recoge los cambios que han tenido lugar en la versión 2.0 de la plataforma lo que apunta a que este usuario podría ser un usuario de administración dentro de la organización.

En los metadatos, también se ha identificado la versión de OpenOffice 2.1, que se liberó en diciembre de 2006 y fue la versión más reciente utilizada hasta marzo de 2007. Actualmente se trata de una versión obsoleta de la suite de ofimática y se tiene constancia de la existencia de vulnerabilidades como CVE-2008-2152 que permiten la ejecución remota de código malicioso a partir de documentos ofimáticos especialmente diseñados.

Con respecto a la web de difusión
Las ciberidentidades implicadas utilizan una narrativa característica asociada tradicionalmente al colectivo hacktivista Anonymous que los propios autores enmarcan en el contexto de una operación a mayor escala bautizada como #OpOlympics. Tanto su iconografía como los mensajes publicados sitúan las acciones en la órbita de este colectivo. Por otro lado, se tiene constancia de que la marca Fancy Bear Hack Team ya ha sido asociada en febrero de 2016 a otros grupos hacktivistas vinculados a Rusia como APT28.

En este sentido, la creación de la cuenta de Twitter @FancyBears data del 6 de septiembre de 2016 aunque su primer tweet no se publicó hasta las 23:08 del 12 de septiembre (UTC+2). En las páginas web se utiliza como fecha de la filtración el 13 de septiembre lo que podría indicar un desfase horario que situara al filtrador en la franja horaria de, al menos, UTC+3 (hora de Moscú). La segunda parte de la filtración tiene fecha de publicación en  la web del 15 de septiembre. Sin embargo, las cabeceras consultadas hoy mismo sirven como fecha de última modificación el 14 de septiembre de 2016 a las 21:30 GMT. Es decir, el miércoles 14 de septiembre 23:30 de UTC+2 y ya 15 de septiembre para la zona horaria de UTC+3 y anteriores. Esta circunstancia es coherente con la hipótesis barajada por la WADA acerca de los orígenes del ataque.

En la cuenta de Facebook facilitada por el colectivo también se publicita la información filtrada. Aunque el primer comentario está en griego, 6 de los 10 siguientes se encuentran en ruso, lo que también sugiere una primera divulgación de la página de Facebook en plataformas de habla rusa.

La cuenta de correo facilitada como contacto es un correo electrónico de Yahoo que estaría vinculado a otro que utiliza el mismo alias en mail.ws. Por su parte la dirección de Bitcoin 1CPYPJkUwqCAdq5WhJKz765aa44JpQGxXN publicada en la página del grupo ha recibido al menos seis transacciones por valor de 0,04752135 bitcoins (25,71 euros al cambio).



El dominio fancybear.org está registrado con un proveedor de registro anónimo mientras que en fancybear.net sí que se ha identificado información adicional que apuntaría a un usuario situado en Francia con una cuenta gmx.com. Ambos dominios fueron registrados recientemente: el 1 de septiembre de 2016.

No se ha podido establecer la localización de los servidores porque la web utiliza la plataforma Cloudflare.com que ofrece un servicio de protección frente a ataques de denegación de servicio. Ninguno de los correos electrónicos identificados en la investigación ha sido utilizado para la contratación de este servicio lo que hace pensar en el uso de al menos otra cuenta de correo electrónico adicional por parte de los autores.

Los comentarios del código HTML de la página en la que se expuso la primera parte de la fuga estaban en coreano, aunque se correspondían con palabras sencillas como: contenido (함유량), redes sociales (소셜) 네트워킹) o final (끝). Curiosamente, tras la divulgación de la segunda parte de la fuga, no se ha podido encontrar estos comentarios ni en el código de la página principal ni en las páginas page-1.html y page-2.html que se han creado tras esta segunda actualización. La estructura del nombre de estos archivos sugiere que en el futuro se vayan a producir más filtraciones.



Por último, una de las imágenes de fancybear.net es 0_125b8b_3cb8177e_M.png con hash MD5 a20350dc2e412a9c351d83571ecc3251. La única referencia que se ha podido identificar en internet a una imagen con ese nombre se encuentra en el sitio de habla rusa kira-scrap.ru.

Valoración
Diversos medios de comunicación y la propia Agencia Mundial Antidopaje han manifestado que los presuntos responsables procederían de Rusia y estarían vinculados al grupo hacktivista Fancy Bear. Se han identificado evidencias que respaldan esta hipótesis como la publicación de los contenidos en una zona horaria de al menos UTC+3 y la referencia a una fotografía solamente encontrada en un dominio de origen ruso. Sin embargo, la información obtenida en esta investigación es en algunos momentos contradictoria, por lo que tampoco se puede descartar por completo que se trate de un ataque de falsa bandera en el que la información fuera intencionadamente expuesta para hacer creer que el ataque procede de Rusia. En tal supuesto, se desconocen los posibles actores así como sus motivos para llevar a cabo estas acciones.


1 comentario: