El conflicto online de Siria: Los hackers y sus armas

Desde un punto de vista occidental, hay un nombre que salta inmediatamente a la mente cuando se piensa en el conflicto cibernético de Siria: el del Ejército Electrónico Sirio (la Syrian Electronic Army o SEA, por sus siglas en inglés). Esto se debe a que muchos de sus objetivos han sido medios de comunicación occidentales que ayudan a moldear las mentes de la gente. Pero la guerra online es amplia y compleja. Algunos ataques tienen consecuencias mucho más graves que las alteraciones de sitios webs y el secuestro de cuentas de Twitter que se convierten en titulares con cadencia casi semanal.

Durante dos días del pasado mes de julio, un sitio web diseñado para advertir a los sirios sobre el lanzamiento de misiles Scud fue desconectado por un ataque distribuido masivo de denegación de servicio (DDoS). El fundador del sitio, Dlshad Olthman, le ha contado a nuestros compañeros de TechWeekEurope.co.uk que se mantuvo despierto desde las 6pm del 9 de julio hasta las 4am de la mañana siguiente para bloquear manualmente aquellas direcciones IP que se utilizaron como parte del ataque. “Entonces ondeé la bandera blanca. No podía aguantar más”, explica.

Una botnet apaga un sitio de alerta sobre misiles

Cuando reunió a los analistas de VirtualRoad.org, que brinda servicios de seguridad a organizaciones de derechos humanos, se determinó que unos 10.000 bots fueron utilizados en el asalto a la web Aymta (un nombre que significa “cuando” en árabe). La mayoría de las direcciones IP pertenecían a estados de la antigua Unión Soviética, como Rusia y Ucrania. Algunos procedían de Irán. Othman está convencido de que que el ataque DDoS fue patrocinado por estados nacionales. Sospecha que tenía el respaldo del presidente Bashar al-Assad. “Este gobierno está cometiendo ataques, no se trata de pequeñas organizaciones privadas”, comenta. “He estado haciendo trabajando en TI durante 10 años y nunca he visto un ataque como éste”.

Por lo general, DDoS sólo es una molestia, pero en casos como éste puede impactar de manera profunda en el mundo real. Creada a finales de junio, Aymta está diseñada para que fuentes confiables y seleccionadas en Siria compartan información segura sobre misiles Scud y sus posibles objetivos. Estas armas, una vez que se ponen en marcha, son fácilmente visibles por quienes están dentro de este país devastado por la guerra, pero han matado a cientos o posiblemente a miles de personas. Los datos sobre las amenaza de Scud se difunden entonces a la población a través de mensajes de texto, correos electrónicos, feeds RSS o mediante retransmisiones de televisión por satélite o radio no controladas por el Estado (también se prevé poner a su disposición muy pronto una aplicación para smartphones). Además, se usa un mapa para estimar sobre qué zona está volando el Scud, de modo que los usuarios pueden organizar evacuaciones efectivas. Que este sitio se caiga puede significar la diferencia entre la vida y la muerte.

Othman, un ingeniero de sistemas con pasión por la defensa de los derechos humanos, asegura que ya se han alcanzado los 3.000 registros para recibir actualizaciones de texto. Cree que se unirán más personas con el tiempo y, ahora que ha comenzado a alojar el sitio en un servicio en la nube escalable adecuado, espera que se mantenga online. En un país que ya ha experimentado más de un millón de muertes como consecuencia de la guerra civil, serán muchos los que esperen que el sitio no sólo se mantenga onnline, sino que se expanda lo más rápido posible.

El sitio web oficial de la Coalición Nacional para las Fuerzas de la Revolución y la Oposición Siria (National Coalition for the Forces of the Revolution and the Syrian Opposition) o etilaf.org, también fue tumbado por un ataque DDoS el mes pasado. El sitio estuvo inoperativo durante un día, según Tarek al-Jazairi, consultor de nuevos medios en la Coalición Nacional de Siria, que añade que muchas de las IPs usadas en el ataque venían de Rusia e Irán, conectándolo en este sentido con el golpe a Aymta. Teniendo en cuenta que el sitio es utilizado para la difusión de información a sus partidarios, se trata de un objetivo obvio. La información es especialmente potente en tiempos de guerra, lo que convierte a los ataques DDoS en un arma más poderosa.

Amenaza de malware

Más allá de los ataques DDoS, los enemigos de la oposición han demostrado contar con muchas otras habilidades ofensivas este mismo año. Citizen Lab descubrió dos ataques a mediados de junio. El primero consistía en una pieza de malware implantada en un cliente VPN legítimo con el nombre de Freegate que las fuerzas de la oposición estaban empleando para evitar el espionaje del régimen. Los hackers se infiltraron en un grupo de una red social privada para difundir la trampa, que contenía un troyano de acceso remoto, que se usa normalmente en las operaciones de vigilancia respaldadas por el gobierno. Tiene capacidades de keylogger, puede activar las webcams de las víctimas y robar sus archivos.

Otra campaña involucró “spear phishing” con mensajes de correo electrónico que aparentemente se dirigían a miembros de alto nivel de la oposición siria y contenían enlaces que acabaron infectando con malware a los usuarios que pinchaban en ellos. El software se conectaba a un servidor de comando y control con sede en Siria, con la dirección IP SyriaTel. SyriaTel es una empresa de telecomunicaciones propiedad de Rami Makhlouf, primo del presidente Bashar al-Assad, relacionado en alguna ocasión con el Ejército Electrónico Sirio.

Otras campañas de malware fueron detectadas lo largo de 2012, incluyendo una que utilizaba un sitio de YouTube falso y una actualización de Adobe Flash Player para introducir software maligno en los equipos de destino. Un sitio conocido simple y llanamente como Malware Sirio (Syrian Malware) rastrea ahora los ataques.

Ejército Electrónico Sirio

Por otro lado se encuentra el omnipresente Ejército Electrónico Sirio, con sus masivas suplantaciones de páginas, secuestros de Twitter y demás. Un portavoz del Ejército Electrónico Sirio ha confirmado a TechWeekEurope.co.uk que el grupo desarrolla malware, por lo general con una estrategia de “watering hole”. “A veces inyectamos código en alguna página y dejamos que sea el objetivo quien la visite. Eso hará que se ejecute el malware y se envíen las contraseñas almacenadas en su PC a un sitio web que pertenece a SEA”, relata. Quizás fueron los responsables de las campañas mencionadas anteriormente, aunque no lo admitan, pero este representante niega que se dediquen a ataques DDoS.

Grupos afiliados podrían estar haciéndolo, sin embargo. Un grupo llamado Escuela Siria de Hackers (Syrian Hackers School) gestionaba una página de Facebook en 2011 que difundía software para difundir la denegación de servicio (DoS) y estaba diseñado para atacar sitios web de medios de comunicación. (TechWeekEurope.co.uk no pudo encontrar la página en el momento de la publicación de este artículo).

El portavoz de SEA también rechaza las afirmaciones, reiteradas por al-Jazairi, de que el grupo recibe financiación de Makhlouf, dueño de SyriaTel y primo de Bashar al-Assad, y de que se su base está localizada en unas oficinas de Dubai. “Nuestra base está en Siria… Un gran número de sirios se ofreció voluntario para formar parte de SEA, se puede decir que miles de personas”. Todavía no hay una evidencia concreta que una a SEA con el régimen del presidente, a pesar de que Bashar al-Assad expresó su apoyo a las acciones del grupo en el año 2011.

SEA, según su vocero, comenzó atacando sitios web de la oposición siria, páginas de Facebook y Twitter. “Pero nos dimos cuenta de que no son más que marionetas controladas por sus dueños, así que comenzamos a dirigirnos contra sus jefes, como Qatar, Arabia Saudita y los Estados Unidos”. También están interesados ​​en atacar sitios israelíes, en apoyo a sus “hermanos palestinos” y los medios británicos. Cada semana, compromete cuentas de redes sociales y altera páginas web para difundir sus mensajes en favor del presidente Bashar al-Assad.

El Ejército parece tener apoyo de una amplia gama de otros grupos cibernéticos. Esto incluye a los Hackers de Yemen (Yemen Hackers), a los Hackers Musulmanes (Muslim Hackers) y a los Hackers Árabes por una Palestina Libre (Arab Hackers For Free Palestine), así como a la antes citada Escuela Siria de Hackers.

¿Poder rebelde limitado?

En cuanto a los enemigos de SEA, parecen ser diversos, como reflejo del mundo corpóreo y, en comparación, limitados en sus capacidades. SEA dice que no ve mucho trabajo ofensivo por parte de sus oponentes.

Sin embargo, un grupo nuevo, el Ejército Electrónico Al-Nusra (Al-Nusra Electronic Army) que parece tener afiliaciones con el rebelde Frente Al-Nusra (Al-Nusra Front), que a su vez se cree que es un brazo de Al Qaeda, ha estado ocupado durante los últimos tiempos. Suplantó la web de la Comisión Siria de Mercados Financieros y Valores (Syrian Commission on Financial Markets and Securitie) a principios de este mes, e hizo lo mismo con la del gobierno ruso en marzo. Las siguientes imágenes muestran ambas alteraciones:

Otro grupo, los Piratas de Aleppo (Pirates of Aleppo), está ahora operando en Turquía, cerca de la frontera con Siria. Fue fundado por un ex-empleado de SEA, trabajando mano a mano con otro colectivo, los Halcones de Damasco (Falcons of Damascus). El líder de los Piratas, Ahmed Hiedar, contó al Global Post a comienzos de este año que había hackeado trece veces las retransmisiones en directo de la televisión estatal.

Cismas sectarios y el control del régimen

Helmi Noman, investigador sénior de Citizen Lab, está preocupado por el aspecto cada vez más sectario del que se está impregnando el ciberconflicto, que se remonta al comienzo de la guerra. El cisma entre las ramas del Islam chií y suní ha sido cada vez más evidente en todo Siria, con la secta chií alauí del régimen luchando con los diversos grupos sunitas. “La identidad ideológica de estos guerreros es visible en los mensajes de suplantación que dejan en algunos de los sitios web comprometidos. En septiembre de 2011, por ejemplo, los hackers alteraron un sitio web sirio dedicado al Gran Ayatolá Jamenei, líder supremo de Irán y cabeza visible de la clase musulmana chiíta conservadora”, dice Noman a TechWeekEurope.co.uk.

“La alteración fue dedicada a los ‘revolucionarios del pueblo sirio’ y a los ‘mártires de Siria’, pero aún más importante, decía: ‘Siria seguirá siendo un castillo de Ahl Al-Sunnah’, un término árabe que se refiere a la comunidad sunita. Añadía que ‘los perros de Irán serán relegados al basurero de la historia'”.

La electricidad es otro tema. A medida que el régimen obtiene el control de gran parte de la infraestructura crítica de la nación, los cortes de energía organizados son frecuentes, señala Noman. Los cortes nacionales de Internet han generado mucha prensa, pero los cortes de energía localizados que dejan fuera de combate a todas las formas de comunicaciones electrónicas causan grandes problemas. “Hay un serio problema de electricidad, lo que se traduce en falta de telecomunicaciones, no sólo de Internet”, apunta Noman.

Las ISPs también están ceñidas al gobierno, lo que significa que el espionaje “man-in-the-middle” y otros ataques desde el nivel de red se utilizan asimismo con frecuencia, de acuerdo con Othman. Tener tanto poder sobre el contenido, no sólo en Internet sino en todos los medios de comunicación, ayuda también a impulsar campañas de propaganda.

En el conflicto online de Siria, el régimen sin duda tiene las de ganar.

El original de este artículo ha sido publicado por nuestro colega Tom Brewster, de TechWeekEurope.co.uk.