C¨®mo intentan sabotear las elecciones americanas con ciberataques

Con el 3 de Noviembre a la vuelta de la esquina, el d¨ªa de las Elecciones USA 2020 a la presidencia del pa¨ªs est¨¢ cada vez m¨¢s cerca. Y para evitar que se repita el esc¨¢ndalo de 2016, en el que ¡®actores¡¯ extranjeros jugaron papeles importantes alterando el libre proceso democr¨¢tico gracias a sus ciberataques, gigantes como Facebook est¨¢n buscando blindarse.

Pero, a un par de semanas solamente, la cosa no es sencilla, porque parece que medio mundo intenta torpedear, o al menos ciberfastidiar el proceso.

Google TAG

Para quien no lo conozca, Google tiene un equipo especial llamado TAG, Threat Analysis Group, un equipo especializado de expertos en seguridad que trabaja para ¡°identificar, informar y detener el phishing y la pirater¨ªa inform¨¢tica respaldados por el gobierno contra Google y las personas que utilizan nuestros productos¡±. El TAG trabaja con los productos de Google para identificar nuevas vulnerabilidades y amenazas. Y cada cierto tiempo comparten ¡°nuestros ¨²ltimos hallazgos y las amenazas¡± en su blog oficial.

De cara a las pr¨®ximas elecciones en EEUU, el TAG lleva meses identificando intentos de ataques de 'phishing' en torno a las elecciones presidenciales de Estados Unidos por parte de grupos de ciberactivistas iran¨ªes y chinos, que en el caso de estos ¨²ltimos incluso han llegado a hacerse pasar por el antivirus McAfee.

Iraq y China contra la democracia USA??

En el pasado mes de junio, el equipo inform¨® de la detecci¨®n de intentos de phishing contra las cuentas de correo electr¨®nico personales de los empleados de las campa?as Biden y Trump por parte de los APT (Advanced Persistent Threats) chinos e iran¨ªes respectivamente. El grupo de atacantes iran¨ªes (APT35) y el grupo de atacantes chinos (APT31) atacaron los correos electr¨®nicos personales de los empleados de la campa?a con correos electr¨®nicos de phishing con credenciales y correos electr¨®nicos que conten¨ªan enlaces de rastreo.

Ampliar

El TAG asegura que ¡°no hemos visto ninguna evidencia de que tales intentos hayan tenido ¨¦xito. Como parte de nuestro seguimiento m¨¢s amplio de la actividad del APT31, tambi¨¦n los hemos visto desplegar campa?as de malware dirigidas¡±. De hecho, una campa?a de APT31 se bas¨® en el env¨ªo de emails con enlaces que en ¨²ltima instancia descargaban malware alojado en GitHub. El malware era un implante basado en Python -un lenguaje de programaci¨®n de nivel alto- que utilizaba Dropbox para manejarlo, y que permitir¨ªa al atacante subir y descargar archivos, as¨ª como ejecutar comandos arbitrarios.

Cada pieza maliciosa de este ataque estaba alojada en servicios leg¨ªtimos, haciendo m¨¢s dif¨ªcil para los softwares de protecci¨®n digital confiar en las se?ales de la red para su detecci¨®n. De hecho, en uno de los ejemplos los atacantes se hicieron pasar por el conocido antivirus McAfee. El objetivo eran incitar a instalar una versi¨®n leg¨ªtima del software antivirus de McAfee desde GitHub, mientras que el malware se instalaba simult¨¢neamente y de forma silenciosa en el sistema.

La advertencia de TAG

Cuando el TAG de Google detecta que un usuario es el objetivo de un ataque respaldado por el gobierno, ¡°les enviamos una advertencia prominente. En estos casos, tambi¨¦n compartimos nuestros hallazgos con las campa?as y la Oficina Federal de Investigaci¨®n. Este objetivo es consistente con lo que otros han informado posteriormente¡±.

En general, el TAG ha visto una mayor atenci¨®n a las amenazas que representan los APT en el contexto de las elecciones de EE.UU. Las agencias del gobierno de EE.UU. han advertido sobre los diferentes actores de la amenaza, y ¡°hemos trabajado estrechamente con esas agencias y otros en la industria de la tecnolog¨ªa para compartir pistas e inteligencia sobre lo que estamos viendo en todo el ecosistema¡±.

Poco despu¨¦s de que el Departamento del Tesoro de EE.UU. sancionase al miembro del Parlamento ucraniano Andrii Derkach por intentar influir en el proceso electoral de EE.UU, ¡°eliminamos 14 cuentas de Google que estaban vinculadas a ¨¦l¡±.

Operaciones coordinadas de influencia en YouTube

Hasta la fecha, TAG no ha identificado ninguna campa?a de influencia coordinada significativa dirigida, o que intente influenciar, a los votantes de EE.UU. en las plataformas ? Google. Pero lo que s¨ª ha detectado el TAG desde el pasado es una gran red de spam vinculada a China que intenta llevar a cabo una operaci¨®n de influencia, principalmente en YouTube.

Esta red tiene presencia en m¨²ltiples plataformas, y act¨²a principalmente adquiriendo o secuestrando cuentas existentes y publicando contenido spam en mandar¨ªn como videos de animales, m¨²sica, comida, plantas, deportes y juegos. Una peque?a fracci¨®n de estos canales de spam publicar¨¢ luego videos sobre eventos actuales. Tales videos frecuentemente presentan traducciones torpes y voces generadas por computadora.

Los investigadores de Graphika y FireEye han detallado c¨®mo se comporta esta red, incluyendo su cambio de publicar contenido en mandar¨ªn sobre temas relacionados con la respuesta de Hong Kong y China a COVID-19, a incluir un peque?o subconjunto de contenido en ingl¨¦s y mandar¨ªn sobre acontecimientos actuales en los Estados Unidos (como las protestas en torno a la justicia racial, los incendios forestales en la Costa Oeste y la respuesta de los Estados Unidos a COVID-19).

Seg¨²n Google, ¡°hemos adoptado un enfoque agresivo para identificar y eliminar el contenido de esta red, por ejemplo, s¨®lo en el tercer trimestre, nuestros equipos de Confianza y Seguridad terminaron m¨¢s de 3.000 canales de YouTube. Como resultado, esta red no ha sido capaz de construir una audiencia. La mayor¨ªa de los videos que identificamos tienen menos de 10 visitas, y la mayor¨ªa de estas visitas parecen provenir de cuentas de spam relacionadas en lugar de usuarios reales. As¨ª que mientras esta red ha publicado con frecuencia, la mayor¨ªa de este contenido es spam y no lo hemos visto llegar efectivamente a una audiencia real en YouTube¡±.