Un grupo de documentos clasificados fueron robados de los altos niveles del gobierno de la India por una serie de hackers y a lo largo de varios meses, según un informe publicado el lunes por la noche por los investigadores de la Universidad de Toronto.

Los investigadores, pertenecientes al Laboratorio de los Ciudadanos (Citizen Lab) en el Centro Munk para Estudios Internacionales, siguieron la pista a la botnet (una red de ordenadores comprometidos) utilizada en los ataques llevados a cabo por piratas informáticos con sede en China, pero afirman que no hay ninguna evidencia que vincule la actividad al gobierno chino . El informe revela el modo en que los hackers realizaron un sofisticado uso de los sitios de medios sociales para controlar su botnet, haciendo que fuera mucho más difícil de localizar y cerrar.

Los documentos comprometidos incluían una serie de evaluaciones confidenciales de las relaciones internacionales de la India con África Occidental y Oriente Medio, las solicitudes de visado, así como información personal relativa a un miembro de la Dirección General de Inteligencia Militar. Los atacantes también irrumpieron en los sistemas pertenecientes a los académicos, periodistas, y las oficinas del Dalai Lama—lograron obtener un año de correos electrónicos del Dalai Lama, así como informes académicos sobre varios sistemas de misiles de la India.

Muchas de las técnicas utilizadas por los atacantes han sido empleadas por otras redes de espionaje, entre ellas GhostNet, que fue revelada por los mismos investigadores el año pasado, y los recientes ataques sufridos por Google. Como con anterioridad, los atacantes robaron los datos mediante el envío de malware dirigido a individuos específicos dentro de una organización. Después el malware conectaba ordenadores comprometidos a una botnet gestionada por los atacantes, que emitía instrucciones y canalizaba la información robada a unos servidores donde podía ser accedida por los atacantes. "Los sistemas antivirus no son muy eficaces frente a estos ataques tan dirigidos," señala Greg Walton, miembro SecDev en el Laboratorio de los Ciudadanos que investigó los ataques.

Sin embargo, esta vez los atacantes también utilizaron sitios web basados en la nube para hacer más difícil el cierre de la infraestructura de comando y control de su botnet. Ron Deibert, director del Laboratorio de los Ciudadanos, afirmó en una conferencia de prensa que la forma en que los atacantes usan los sitios sociales para proteger sus actividades maliciosas revela "el núcleo oculto y oscuro" de los servicios en la nube.

Después de que un equipo resultaba infectado con el malware, se conectaba con la botnet para empezar a recibir órdenes. Por lo general, eso suponía ponerse en contacto con un servidor controlado por los atacantes. No obstante, en este caso, los ordenadores infectados se programaron para acceder a sitios sociales como Twitter, Baidu (blogs) y Google Groups, desde dónde se dirigían a la dirección URL de un servidor de control. Mediante el uso de los sitios sociales, los atacantes era capaces de trasladar sus operaciones cada vez que parte de su infraestructura era cerrada, explicó Nart Villeneuve, miembro SecDev senior de investigación en el Laboratorio de los Ciudadanos, durante la conferencia de prensa. También evitaba que los administradores de red sospechasen nada.

Los atacantes también llevaron a cabo un innovador uso de la interfaz de programación del correo electrónico de Yahoo, señaló Villeneuve. Su malware daba instrucciones a los ordenadores infectados para que se conectaran a las cuentas de correo de Yahoo de los atacantes a través de esta interfaz, y a continuación proporcionaban información sobre su nombre, su sistema operativo y la dirección IP. Los atacantes también utilizaban esta conexión para instalar malware adicional en el equipo, y para enviar órdenes. Villeneuve afirma que este sistema servía principalmente como copia de seguridad para los atacantes, en caso de que la infraestructura basada en la web fuera desactivada.

Brett Stone-Gross, investigador de la Universidad de California en Santa Bárbara, dedicado al estudio de las botnets, afirma que el informe pone de manifiesto un cambio de estrategia dentro del control de botnets. No sólo hace más difícil que los administradores vean el tráfico se que dirige a la botnet, afirma, sino que también hace más difícil que puedan detenerlo. Los administradores generalmente no pueden bloquear un sitio como Twitter o Google Groups sin causar demasiados inconvenientes a los usuarios legítimos, señala. Stone-Gross compara la práctica con el uso por parte de los spammers de cuentas legítimas de Gmail, Yahoo, y Hotmail, que poseen tanta actividad legítima que las organizaciones no pueden bloquear los dominios para filtrar los correos electrónicos maliciosos.

Deibert añadió durante la conferencia de prensa que, si bien la investigación sugiere que los hackers responsables de los ataques tienen su sede en China, no hay pruebas concluyentes de que el gobierno chino estuviera involucrado. "Estamos dispuestos a trabajar con las secciones del gobierno chino que quieran resolver esta cuestión," señaló, y agregó que han estado cooperando con el CERT chino (Computer Emergency Readiness Team).

Sin embargo, Deibert criticó a aquellos gobiernos que tengan la esperanza de poder realizar actividades de espionaje cibernético y otras relacionadas con la guerra. "Existe una carrera armamentística muy real dentro del ciberespacio, y este informe no es más que un pequeño ejemplo," señaló. Los investigadores esperan que parte de la información robada por la botnet llegará al gobierno chino a través de algún canal, incluso si el gobierno no fue quien ordenó los ataques.