Por Christopher Bing y Gram Slattery
(Reuters) – El equipo de piratería iraní que comprometió la campaña del candidato presidencial republicano Donald Trump es conocido por colocar software de vigilancia en los teléfonos móviles de sus víctimas, lo que les permite grabar llamadas, robar textos y encender silenciosamente cámaras y micrófonos, según investigadores y expertos que siguen al grupo.
Conocido como APT42 o CharmingKitten por la comunidad de investigación en ciberseguridad, se cree ampliamente que los hackers iraníes acusados están asociados con una división de inteligencia dentro del ejército de Irán, conocida como la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica o IRGC-IO. Su aparición en las elecciones de EE. UU. es notable, según fuentes citadas por Reuters, debido a su enfoque invasivo de espionaje contra objetivos de alto valor en Washington e Israel.
“Lo que hace que (APT42) sea increíblemente peligroso es esta idea de que son una organización que tiene un historial de atacar físicamente a personas de interés”, dijo John Hultquist, analista jefe de la empresa de ciberseguridad de EE. UU. Mandiant, quien mencionó investigaciones anteriores que encontraron al grupo vigilando los teléfonos celulares de activistas y manifestantes iraníes. Algunos de ellos fueron encarcelados o amenazados físicamente en el país poco después de ser hackeados.
Un portavoz de la misión permanente de Irán ante las Naciones Unidas en Nueva York dijo en un correo electrónico que “el gobierno iraní no posee ni alberga intención o motivo alguno para interferir en las elecciones presidenciales de Estados Unidos”.
Portavoces de Trump han dicho que Irán está atacando al ex presidente y actual candidato republicano porque desaprueban sus políticas hacia Teherán.
ALTAMENTE DIRIGIDO
El equipo APT42 que apuntó a Trump nunca ha sido nombrado formalmente en acusaciones o cargos criminales de las fuerzas del orden de EE. UU., lo que deja preguntas sobre su estructura e identidad. Pero los expertos creen que representan una amenaza significativa.
“El IRGC-IO está encargado de recopilar inteligencia para defender y promover los intereses de la República Islámica”, dijo Levi Gundert, director de seguridad de la empresa de inteligencia cibernética de EE. UU. Recorded Future y ex agente especial del Servicio Secreto. “Junto con la Fuerza Quds, son las entidades de seguridad e inteligencia más poderosas dentro de Irán”.
En marzo, los analistas de Recorded Future descubrieron intentos de piratería por parte de APT42 contra un grupo de medios con sede en EE. UU. llamado Iran International, que las autoridades británicas dijeron anteriormente que fueron el objetivo de violencia física y amenazas de terror por parte de agentes vinculados a Irán.
Hultquist dijo que los piratas informáticos suelen utilizar malware móvil que les permite “grabar llamadas telefónicas, grabaciones de audio de la habitación, robar bandejas de entrada de SMS (texto), tomar imágenes de una máquina” y recopilar datos de geolocalización.
En los últimos meses, los funcionarios de la campaña de Trump enviaron un mensaje a los empleados advirtiéndoles que fueran diligentes en cuanto a la seguridad de la información, según una persona familiarizada con el mensaje. El mensaje advirtió que los teléfonos celulares no eran más seguros que otros dispositivos y representaban un punto de vulnerabilidad importante, dijo la persona, que solicitó el anonimato ya que no se le permitía hablar con los medios.
La campaña de Trump no respondió a una solicitud de comentarios. El FBI y la Oficina del Director de Inteligencia Nacional declinaron hacer comentarios.
El Servicio Secreto no respondió a preguntas sobre si la actividad de piratería iraní podría estar destinada a apoyar ataques físicos planeados para el futuro. En un comunicado enviado a Reuters, un portavoz del Servicio Secreto dijo que trabajan en estrecha colaboración con socios de la comunidad de inteligencia para garantizar el “máximo nivel de seguridad” pero no podían discutir asuntos “relacionados con inteligencia de protección”.
APT42 también suele hacerse pasar por periodistas y grupos de reflexión de Washington en operaciones de ingeniería social complejas basadas en correo electrónico que tienen como objetivo atraer a sus objetivos para que abran mensajes trampa, que les permiten tomar el control de los sistemas.
Las “campañas de phishing de credenciales del grupo son altamente selectivas y bien investigadas; el grupo suele apuntar a un pequeño número de individuos”, dijo Josh Miller, analista de amenazas de la empresa de seguridad de correo electrónico Proofpoint (NASDAQ:). A menudo apuntan a activistas antiiraníes, periodistas con acceso a fuentes dentro de Irán, académicos del Medio Oriente y asesores de política exterior. Esto ha incluido el pirateo de funcionarios gubernamentales occidentales y contratistas de defensa estadounidenses.
Por ejemplo, en 2018, los piratas informáticos apuntaron a trabajadores nucleares y funcionarios del Departamento del Tesoro de EE. UU. en el momento en que Estados Unidos se retiró formalmente del Plan de Acción Integral Conjunto (JCPOA), dijo Allison Wikoff, analista senior de inteligencia cibernética de la empresa de servicios profesionales PricewaterhouseCoopers.
La aparición pública de APT42 en la actual carrera presidencial comenzó a principios de este mes después de un informe de Microsoft (NASDAQ:) el 9 de agosto, que dijo que el grupo estaba intentando hackear a trabajadores de una campaña presidencial no especificada.
APT42 todavía está apuntando activamente a funcionarios de campaña y figuras de la administración Trump críticas con Irán, según una publicación de blog del equipo de investigación de ciberseguridad de Google.