Uso de extensiones de navegador por parte del aparato propagandístico del Estado Islámico

miércoles, 11 de enero de 2017

Una de las herramientas que mejor ha sabido utilizar el Estado Islámico para difundir su propaganda es el uso de las redes sociales. En el pasado han demostrado ser capaces de ampliar sus capacidades hacia el mundo móvil, pero recientemente también han optado por el desarrollo de complementos para el navegador con el objetivo de facilitar aún más el acceso a sus contenidos.

Aunque las extensiones de Firefox se pueden distribuir a través del mercado oficial de Mozilla, se tiene constancia de que la Agencia Amaq, identificada como medio propagandístico del Estado Islámico, está distribuyendo los ficheros .xpi de la extensión a través de páginas afines. Estos archivos son ficheros comprimidos en .zip a los que se les cambia el formato y que contienen el código Javascript, CSS y HTML que definirá el comportamiento de la extensión.


Sobre esta extensión, se han identificado dos versiones, la 1.0.1 y 1.0.2., cuya estructura de carpetas descomprimida contiene la misma serie de ficheros.
.
├── bootstrap.js
├── data
│   ├── safe-16.png
│   ├── safe-32.png
│   ├── safe-48.png
│   ├── safe-64.png
│   ├── safe.png
│   ├── unsafe-16.png
│   ├── unsafe-32.png
│   ├── unsafe-48.png
│   ├── unsafe-64.png
│   └── unsafe.png
├── icon.png
├── install.rdf
├── lib
│   └── main.js
├── META-INF
│   ├── manifest.mf
│   ├── mozilla.rsa
│   └── mozilla.sf
└── package.json

Los archivos más interesantes son tres: el fichero package.json, el fichero install.rdf y el fichero lib/main.js:
·         package.json contiene metadatos e información sobre la extensión como el nombre, el autor, la licencia o los permisos que requiere.
{
    "name": "amaq",
    "title": "Amaq AR",
    "id": "jid1-5Fs7iTLaaUaZBgwdar@amaq",
    "description": "Amaq AR.",
    "author": "Amaq AR",
    "license": "MPL 2.0",
    "version": "1.0.2",
    "icon": "icon.png",
    "permissions": {
        "private-browsing": true
    },
    "engines": {
        "firefox": ">=38.0a1",
        "fennec": ">=38.0a1"
    },
    "main": "lib/main.js",
    "devDependencies": {
        "gulp": "^3.8.11",
        "gulp-image-resize": "^0.6.0",
        "gulp-rename": "^1.2.2"
    }
}
·         install.rdf indica en su campo em:targetApplication que la extensión puede ser instalada en determinadas versiones. En este caso se especifica explícitamente que la extensión es válida tanto para el navegador Firefox como para Firefox en Android.

<em:targetApplication>
    <Description>
        <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
        <em:minVersion>38.0a1</em:minVersion>
        <em:maxVersion>43.0</em:maxVersion>
    </Description>
</em:targetApplication>
<em:targetApplication>
    <Description>
        <em:id>{aa3c5121-dab2-40e2-81ca-7ea25febc110}</em:id>
        <em:minVersion>38.0a1</em:minVersion>
        <em:maxVersion>43.0</em:maxVersion>
    </Description>
</em:targetApplication>

·         lib/main.js contiene la lógica del complemento en sí misma. En este caso se resume en la apertura de una nueva pestaña hacia una dirección URL concreta en las líneas 107 y 108. La única diferencia entre la primera versión y la segunda es la dirección URL a la que enlazan.

var tabs=require("sdk/tabs");

tabs.open("http://190.14.37.220/v/");


La extensión como marcador

En el caso de la versión 1.0.1, la URL a la que apuntaba estaba alojada en la dirección 88.80.20.1 (dirección ya no disponible vinculada a un proveedor de servicios de internet afincado en Suecia) mientras que en la versión más reciente esta dirección IP es la 190.14.37.220. Esta dirección, vigente a fecha de redacción de este artículo, está vinculada a un proveedor de servicios de hosting anónimo afincada en Panamá y alojada detrás de un servidor nginx 1.6.2. Dicho proveedor de servicios de hosting parece no contener la página web en cuestión ya que al consultar la URL de la web devuelve un código 302 Moved Temporarily al dominio jkikki.at desde el que también se facilita un enlace de descarga al fichero amaq_news_agency_ar-1.0.2.xpi, junto con un hash del mismo que permitiría al usuario verificar la legitimidad de la extensión.

$ curl http://190.14.37.220/v/ -I
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.6.2
Date: Tue, 10 Jan 2017 11:02:55 GMT
Content-Type: text/html
Content-Length: 160
Connection: keep-alive
Location: https://jkikki.at/


El sitio web enlazado almacena información en árabe sobre Amaq y el Estado Islámico y se encuentra protegido por Cloudflare por lo que no ha sido posible establecer la localización real de las máquinas empleadas.  Al utilizar esta aproximación, bloquear el acceso al dominio jkikki.at no sería suficiente para detener la propagación del contenido ya que el desarrollador de la aplicación solamente tendría que modificar el campo Location de la redirección al nuevo dominio en el que alojen el contenido.



Identificando otras páginas afiliadas

La estructura de la URL sugiere la posibilidad de que existan otros dominios. Las pruebas realizadas han devuelto también el código 302 al apuntar hacia al menos otros 6 dominios también protegidos por Cloudflare y cuyo contenido también está vinculado con temática vinculada al Estado Islámico. Los detalles de los certificados empleados indican períodos de validez recientes tal y como se puede ver en la siguiente tabla.

URL
Dominio de redirección
Idioma
Certificado válido desde (aaaa/mm/dd)
http://190.14.37.220/b/
bibifm.at
árabe
2017/01/10
http://190.14.37.220/f/
vosn.pw
N/F
2016/01/06
http://190.14.37.220/g/
baqiya.ga
alemán
2017/01/01
http://190.14.37.220/h/
halummu.at
N/F
N/D
http://190.14.37.220/t/
nikmat.gq
bengalí
2017/01/10
http://190.14.37.220/u/
vijestiummeta.ga
bosnio
2017/01/05
http://190.14.37.220/v/
jkikki.at
árabe
2016/12/31

Al margen de esta extensión, no se tiene constancia de la existencia de otras de comportamiento similar que apunten al resto de dominios. Sin embargo, la reciente creación de los certificados hace pensar que podrían crearse próximamente otras extensiones similares modificando únicamente la dirección URL de la extensión amaq_news_agency_ar-1.0.2.xpi.


Información de los registros y metadatos 

Con respecto al registro de los dominios identificados, aquellos que no presentan especiales medidas de protección de la privacidad, han sido registrados con cuentas de correo asociadas al buzón cifrado de correo tutanota.com ya que tanto las direcciones @keemail.me, @tuta.io, @tutamail.com y @tutanota.com enlazan con dicho servicio.

Dominio
Registrador asociado
bibifm.at
francnomoli@keemail.me
vosn.pw
e12b69957ce848b0b00e47a96a5682ef.protect@whoisguard.com
baqiya.ga
N/F
halummu.at
elana.samra@tuta.io
nikmat.gq
N/F
vijestiummeta.ga
N/F
jkikki.at
stephenjells@tutamail.com
jkikki.de
tomorrowdoma@tutanota.com

Por otro lado, el resto de ficheros identificados en las extensiones no muestran demasiados detalles. Los datos EXIF de los logotipos de la agencia que aparecen en la extensión parecen haber sido editados con diversos productos de Adobe para Windows según sus metadatos. 


Valoración final

El Estado Islámico ha demostrado en el pasado que ha sabido utilizar los medios a su alcance para dar una difusión lo más amplia posible de sus contenidos, tanto a través de las redes sociales como a través de aplicaciones móviles. En este caso, la utilización de un complemento de navegador es un ejemplo más de cómo es capaz de adaptarse para garantizar la difusión de contenido haciendo uso, ya no solamente de infraestructura tecnológica situada en diferentes países, si no de tecnologías como Cloudflare y diversos servidores y métodos para garantizar la vigencia de su mensaje.


Félix Brezo
Intelligence Analyst at ElevenPaths
@febrezo

Yaiza Rubio
Intelligence Analyst at ElevenPaths
@yrubiosec


No hay comentarios:

Publicar un comentario