Este periodista turco encarcelado por terrorismo fue víctima de una trampa

Nuevos análisis hechos al computador de Barış Pehlivan encontraron un nuevo tipo de malware llamado Ahtapot. A partir de esto todo se vuelve aún más extraño.

|
ago. 25 2016, 7:36pm

Image: John Bolesky/Getty

El periodista de investigación turco Barış Pehlivan se ha pasado 19 meses en prisión acusado de terrorismo, después que se intervinieran documentos incriminatorios en su computadora de trabajo. Sin embargo, cuando los expertos digitales examinaron su PC descubrieron que los archivos que dieron lo llevaron a la cárcel habían sido introducidos por otra persona. Esa persona, de hecho, habría hecho desaparecer el disco duro del caso, habría copiado los documentos y reinstalado de nuevo el disco duro original.

Los resultados han concluido que los asaltantes habrían intentado entrar en la computadora del periodista remotamente. Al principio intentaron infectar el sistema operativo con links corruptos en su correo electrónico y en pendrives. Entre los virus detectados en su computadora, se detectó una variedad extremadamente rara del virus troyano al que se conoce como Ahtapot. Se trata de una de las pocas veces que ha sido detectado de manera independiente.

"Nunca nos habíamos encontrado con una computadora tan ferozmente atacada como la de Barış. Es como si sus perseguidores hubiesen utilizado hasta el último truco" dijo Mark Spencer, forense digital que trabaja para la compañía Arsenal Consulting.

Pehlivan ingresó en prisión en febrero de 2011 junto a otros seis de sus colegas, después que algunas evidencias recabadas durante una incautación policial en 2011 le implicaran con Ergenekon, una presunta organización terrorista señalada por el ejecutivo turco.

No está claro quién habría perpetrado el atentado. Sin embargo, la sofisticación del malware empleado, la manera tan deliberada en la que se utiliza un virus como el Athapot y el momento de la detención de Pehlivan sugieren que se trató de un ataque coordinado y bien financiado en contra el periodista. Se trata de un episodio clave tanto en el terreno de la infoseguridad como en el de la libertad de prensa en un país donde, tal y como asegura un grupo pro derechos humanos, "existe actualmente una caza de brujas contra los periodistas". Al menos 78 periodistas y profesionales de distintos medios de comunicación han sido encarcelados en Turquía desde el intento de golpe de estado del pasado 15 de julio.

Pehlivan trabajaba para un web de noticias Oda TV, que ha sido proverbialmente crítica con el gobierno y con el movimiento Gülen, que según Erdogan sería la organización que estaría detrás del intento de golpe. Los periodistas fueron liberados de prisión el 14 de septiembre de 2012, pero el juicio por terrorismo continúa.

"No somos culpables" aseguró Baris Pehlivan. "Nos metieron los documentos en nuestras computadoras a través de un virus. Los asaltantes entraron en la redacción de OdaTV. Ninguno de nosotros había visto antes los documentos que nos mostró el fiscal".

Un artículo académico recientemente publicado por el ingeniero informático Mark Spencer en la revista Digital Forensics arrojó algo de luz sobre el caso, después que varias denuncias han reconocido la presencia de un malware.

Barış Pehlivan. Imagen: Jimkuras/Wikimedia

Según relata Spencer, ningún otro forense digital advirtió la existencia del virus troyano Ahtapot en el caso de OdaTV ni ha podido determinar con precisión cómo tales documentos pudieron terminar en la computadora del periodista. Pese a todo, las informaciones apuntan a que los archivos incriminatorios fueron introducidos en la computadora por una mano negra.

Tres profesionales distintos de seguridad informática en distintas compañías han revisado el artículo de Spencer y aseguran que es fehaciente y que hay motivación. Además consideran que los datos extraídos de la computadora del periodista son precisos.

"Si, no cabe duda de que el informe ha causado sorpresa" dijo Taneli Kaivola, una experta consultora en seguridad en la compañía F-Secure.

***

"Hace falta mucha convicción para atentar contra una computadora cuatro veces in situ y otras siete remotamente [algo que sucedió entre el 1 de enero de 2011 y el 11 febrero de 2011]. Y no solo, eso, además se precisa también de un determinado nivel de conocimientos informáticos para planear atentados parecidos en los que concurren tanto la falsificación como la alteración de fechas y horas".

Lo que más sorprendió a Spencer durante la investigación fue la presencia de un malware muy poco habitual, uno con el que no se había encontrado nunca antes. El malware en cuestión fue instalado en la computadora de Pehlivan la noche del 11 de febrero de 2011, un viernes. La redada policial tuvo lugar en la mañana del siguiente lunes.

Spencer llamó entonces a Gabor Szappanos, el principal investigador de la compañía Sophos, un tipo que lleva veinte años analizando virus informáticos. Ambos se pusieron a trabajar juntos para averiguar qué había sucedido.

El malware resultó ser un malware en etapa beta. Se trataba de un virus troyano de acceso remoto, uno de los malwares que permiten a los asaltantes controlar la computadora sin necesidad de acceder a ella físicamente.

El virus en cuestión es conocido como Ahtapot, una palabra que en turco significa "pulpo". Existen algunas claves que sugieren que podría tratarse de un malware de origen turco. Es más, se sospecha que el código de Ahtapot estaría cifrado con algunas palabras turcas, por mucho que los expertos en seguridad no sean partidarios de teorizar sobre su procedencia.

"Lo cierto es que Ahtapot es un caso aparte. Nunca nos habíamos encontrado con el virus más allá de este caso" dijo Szappanos.

El investigador de Sophos cree que este troyano maniobrado a control remoto habría sido una opción desesperada. Según él, los perpetradores del ataque habrían acudido al virus remoto después de que varios ataques anteriores hubiesen fracasado. "Si te fijas en el código descubres muchos errores, los clásicos errores que se encuentran al principio del desarrollo de un malware" dijo Gabor Szappanos.

Lo que pasó es que los asaltantes intentaron copiar el Ahtapot en el disco duro de Pehlivan conjuntamente con algunos documentos incriminatorios. Sin embargo, el malware no quedó bien instalado. Uno de sus componentes fundamentales no llegó a ser creado. Así lo revela el nombre de un archivo, nombrado a partir de un componente que habría sido empleado durante el primer asalto a control remoto.

Antes de acudir al Ahtapot, los asaltantes habrían intentado acudir a un malware más habitual. Lo primero que intentaron fue infectar la computadora de Pehlivan instalando una versión de Turkojan a través de una memoria USB. También intentaron engañarle con archivos adjuntos en emails.

Aquí una tabla en la que se detalla la cronología de los ataques. Digital Forensics Magazine,número 27. Cortesía de Digital Forensics Magazine.

***

Spencer, quien trabajó inspeccionando computadoras y otros dispositivos durante los atentados perpetrados en la maratón de Boston, ha comentado que tanto él como su equipo en Arsenal Consulting examinaron la computadora de Pehlivan gracias a una técnica que han desarrollado para enfrentarse a la sofisticada falsificación de evidencias.

Se llama "Enlace de Tiempo Limitado" y permite ordenar cronológicamente las acciones que ha emprendido una computadora desde que ha sido activada hasta que ha sido desconectada, por mucho que los hackers hayan alterado la fecha y la hora de la misma. Los forenses digitales pueden detectar actividad sospechosa incluso después que alguien haya alterado las fechas y las horas.

Spencer acudió a esta técnica y detectó una anomalía en las noches entre el 9 y el 11 de febrero. Ninguno de los periodistas que trabajan para OdaTV se encontraba en la oficina en el momento de los ataques, según Pehlivan.

La computadora del periodista registró actividad pasadas las 10 de la noche. Un minuto después fue desconectada. Lo más extraño es que los documentos incriminatorios fueron creados mientras el PC estaba apagado, justo después de la infiltración. Desde Arsenal creen que solo existe una explicación para semejante movimiento: que alguien hubiese desactivado un disco duro, lo hubiese conectado a otra computadora y hubiese copiado sus archivos.

A partir de entonces los asaltantes abrieron brevemente el PC cada noche para comprobar que habían reconectado el disco duro correctamente, para permitir así que el malware que habían instalado con los documentos se infiltrara adecuadamente.

Según Spencer sucedió que los asaltantes copiaron tanto el malware como los documentos incriminatorios en el disco duro de Pehlivan durante las noches que van del 9 al 11 de febrero. Lo hicieron para cubrirse las espaldas en caso que fracasaran en su intento de controlar el malware remotamente.

Arsenal cree que solo existe una explicación posible: alguien desconectó el disco duro, lo conectó a otra computadora y copió los archivos.

Fueron lo suficientemente inteligentes como para falsificar las fechas asociadas a los documentos, cuenta Spencer. De tal manera que la clave de su investigación ha consistido en reconstruir la auténtica cronología de los acontecimientos.

Su sospecha es que el PC del periodista fue atacado in situ durante las dos noches que separaban el 9 del 11 de febrero, probablemente debido a que los intentos anteriores de infectar remotamente a la computadora con el malware habían fracasado.

"Sucedió que solo funcionaron los dos últimos ataques, los infligidos in situ. Entonces se plantaron los documentos incriminatorios que luego iba a utilizar la fiscalía" él comentó.

Arsenal estuvo inspeccionando la computadora de Pehlivan después de haber sido contactado por el abogado que defendía a Turquía en el caso. Según Mark Spencer, el abogado habría trabajado gratis.

Tanto Spencer como Szappanos sacaron varias conclusiones después de inspeccionar la computadora de Barış Pehlivan.

"Encontramos alrededor de una docena de muestras de malware. Si las analizamos detalladamente puedes comprobar que no se corresponden con incidencias independientes, sino que estaban todas conectadas" dijo Szappanos.

Según él se habría tratado de un ataque que habría costado mucho dinero y que habría sido coordinado. El asalto habría empleado muestras de malware y servidores de control consagrados exclusivamente a este caso.

"Los datos sugieren que los virus troyanos y los dominios relacionados con el caso fueron activados únicamente para este ataque, de manera que solo se infectó a 1 o 2 computadoras. No estamos hablando del clásico comportamiento de un software malicioso. Incluso en los casos de la llamada Amenaza Persistente Avanzada — una habitual forma de contagio de malware — las víctimas siempre son sensiblemente más numerosas. En este caso, lo específico del ataque delata que el asaltante tenía un objetivo muy claro" dijo.

El presidente turco Recep Tayyip Erdogan conversa con la periodista de la RAI italiana, Lucia Goracci, en Ankara, Turquía el 1 de Agosto del 2016. El gobierno turco ha arrestado a decenas de periodistas. Imagen: Kayhan Ozer/Anadolu Agency/Getty Images

Hay más de una docena de informes forenses sobre las computadoras de OdaTV. Expertos de tres universidades turcas y la empresa estadounidense Data Devastation han reconocido la existencia de un malware y han concluido que los periodistas no tienen nada que ver con los archivos que se encontraron en sus computadoras.

La mayoría de los especialistas en infoseguridad prefieren abstenerse a la hora de señalar quién podría ser el asaltante. Delatar no es algo que se produzca demasiado en el mundo ciber. "Creemos que habría sido desarrollado por una persona de habla turca. Todos los textos internos descubiertos en las muestras del malware estaban redactadas en turco" dijo Szappanos.

Incluso un informe redactado por la agencia TÜBITAK habría confirmado la presencia de un malware. Según reza su comunicado: "los virus han sido detectados en las computadoras examinadas. Sin embargo, no hemos detectado nada que revele si los virus fueron transferidos por alguien o no".

Los informes concluyen cosas ligeramente distintas y muchos investigadores se han concentrado en apenas un par de muestras de malware. "Cada informe será un poco diferente", explica Taneli Kaivola, un experto consultor en seguridad en F-Secure. "La cantidad de datos puede resultar abrumadora. Solo hay que analizar las partes relevantes y sacar conclusiones con sentido".

Según Kaviola, todo depende de la destreza de los analistas que se encarguen del trabajo y de la información que estos elijan.

Mientras tanto en Turquía, Barış Pehlivan se prepara para su próxima audiencia prevista para el próximo 21 de septiembre. El periodista confía en que el juicio termine este año y espera ser absuelto.

Durante su carrera como periodista de investigación, Pehlivan se ha mostrado muy crítico con la gestión de Erdogan y con el movimiento Gülen, a quien el actual presidente habría señalado como presunto culpable del golpe de estado fallido.

De hecho, Pehlivan está convencido de que si el golpe hubiese salido adelante "volvería a estar entre rejas". Y añadió: "O podría estar muerto".