El ciberatac a la multinacional de l'espionatge Hacking Team s'hauria fet des de Barcelona

Les policies catalana i italiana col·laboren en la investigació als presumptes autors de la filtració de dades personals i adreces de 5.540 mossos

JAVIER GUTIÉRREZ
Enric Borràs
01/04/2017
3 min

BarcelonaLes policies catalana i italiana col·laboren, a través de la Interpol, en la investigació de l'atac informàtic al Sindicat de Mossos d'Esquadra i la filtració de les dades personals -adreces incloses- de 5.540 agents. Els Mossos sospiten que els quatre investigats, amb dues o tres persones més, formaven el grup que feia servir els pseudònims Phineas Fisher i Hack Back! i que també són els responsables del ciberatac a la multinacional de l'espionatge Hacking Team. Aquesta hipòtesi era sobre la taula des del principi perquè els dos atacs -més un d'anterior contra la companyia Gamma Group- es van reivindicar des del mateix compte de Twitter i des d'un correu electrònic amb el qual va contactar aquest diari. Però mai ha estat gens clar qui hi havia darrere del pseudònim Phineas Fisher i la policia no havia admès fins ara que treballava amb aquesta sospita ni que col·laborava amb les autoritats italianes.

Un investigador de la Unitat central de delictes informàtics dels Mossos d'Esquadra -que prefereix que no es publiqui el seu nom per raons de seguretat- explica que la policia italiana ja treballava amb la idea que l'atac a Hacking Team s'havia fet des d'Espanya. El juliol de 2015 Phineas Fisher va aconseguir i filtrar 400 GB d'informació de l'empresa dedicada a vendre software de vigilància informàtica a governs i corporacions. La filtració incloïa correus electrònics de l'empresa, documents interns i el codi font -que ve a ser el manual de construcció- de programes espia. L'any anterior, en una operació semblant, Phineas Fisher havia reivindicat un altre atac i filtració a la companyia de ciberespionatge angloalemanya Gamma Group. Aquesta vegada la filtració va incloure el codi font d'un dels programes espia més famosos del moment, el FinFisher.

Els agents calculen que, a part dels quatre investigats, hi ha dues o tres persones més involucrades. El grup, a part de l'home detingut a Salamanca, estaria ubicat a Barcelona o a l'àrea metropolitana. A l'home de Salamanca, a més, el van detenir per la redifusió de les dades personals dels policies, no per la implicació directa amb l'atac. Segons els Mossos va descarregar l'arxiu amb les dades, el va canviar de format per fer-lo més fàcil de compartir i el va publicar a un altre servidor d'on la policia no el va aconseguir treure fins que ja havien passat 37 hores. L'arxiu original s'havia eliminat en tan sols unes tres hores.

Els Mossos també van identificar la connexió de la parella d'enginyers industrials detinguts del barri de Sants de Barcelona com a vehicle de l'atac. Tot i que per fer-lo es va utilitzar la xarxa Tor, que permet anonimitzar l'adreça IP del propi ordinador, els responsables de l'atac van haver de sortir de Tor per fer algunes passes, perquè la web de l'SME no permetia l'accés a les zones restringides a adreces IP de fora d'Espanya. Els Mossos van detectar el mateix 'user agent' -el codi identificatiu del programari- en qui es connectava directament i qui ho feia via Tor, que va instal·lar al servidor de l'SME un programa 'webshell' anomenat Weevely per poder operar-hi. Els enginyers de Sants al·leguen que un desconegut havia fet servir per a l'atac el servidor 'proxy' que tenien instal·lat i que es pot utilitzar com una passarel·la per accedir a internet, però que ells no hi tenen res a veure.

El quart investigat va consultar arxius de l'estructura de la web del Sindicat de Mossos d'Esquadra, segons l'investigador, fent feines per preparar l'atac. La policia també en destaca els vincles amb alguns ateneus i moviments socials de la ciutat i que té antecedents per atemptat als Mossos d'Esquadra. El van identificar en una de les protestes contra el desallotjament del Banc Expropiat de Gràcia. De fet, els vincles amb els moviments "antisistema" de Barcelona són un dels punts claus del cas, segons l'investigador, perquè els implicats hi han coincidit en diferents espais i moments. No es descarta que algun d'aquests espais també hagués servit per cometre els atacs, tot i que això encara s'està investigant.

La investigació policial continua amb diferents línies obertes. S'analitza fins i tot com s'han escrit totes les reivindicacions i comunicacions dels comptes de Phineas Fisher mitjançant la lingüística forense, amb l'objectiu de comparar-les amb textos dels possibles autors. A més, el cas és especialment complex perquè els Mossos han trobat indicis de possibles nous delictes en tots quatre implicats i això podria implicar que es facin noves detencions.

stats