En los últimos días, expertos en seguridad de Internet y miembros de la comunidad bahá'í advirtieron que piratas informáticos afiliados a la República Islámica han estado utilizando una aplicación llamada Ahl-e Baha ("El pueblo de Bahá") para espiar a los bahá'ís y robar su información personal.
La política de la República Islámica hacia los baha’ís iraníes, desde 1979, ha sido silenciarlos y difundir desinformación contra la comunidad. Las autoridades han utilizado todas las herramientas de comunicación a su disposición, desde libros y periódicos hasta medios de audio y visuales, y ahora en línea, para atacar unilateralmente a los bahá’ís por sus creencias religiosas. Durante mucho tiempo, incluso la palabra "bahá'í" se filtró en las búsquedas de Google.
Más recientemente, cada vez que aparecía un informe o una noticia sobre los bahá’ís en sitios web en idioma persa ubicados fuera de Irán, los agentes de las fuerzas de seguridad digital del gobierno iraní publicaban comentarios insultantes debajo de ellos, utilizando nombres falsos. El último enfoque, sin embargo, es un poco diferente.
La aplicación de software espía Ahl-e Baha pretende ser administrada por bahá'ís. Utiliza un canal de Telegram del mismo nombre para alentar a los bahá'ís a descargar e instalar la aplicación en sus teléfonos inteligentes. Pero al igual que otras aplicaciones maliciosas dirigidas a la diáspora iraní, la plataforma es insegura y permite a los piratas informáticos recopilar información personal de los usuarios.
Cuando los expertos descubrieron la naturaleza nefasta de la aplicación, alertaron a los miembros de la comunidad bahá'í a través de Telegram y les advirtieron que no la usaran.
El canal Telegram de Ahl-e Baha se lanzó el 9 de febrero de 2022, según la fecha de su primera publicación. El canal comenzó mostrando una imagen de Abdu'l-Bahá, el hijo de Bahá'u'lláh, el profeta de la fe bahá'í, quien dirigió la comunidad bahá'í desde 1892 hasta 1921. Las siguientes publicaciones eran entonces promociones para la aplicación Ahl-e Baha como un servicio proporcionado por jóvenes bahá'ís.
Desde principios de marzo, probablemente porque pocos bahá’ís cayeron en su trampa, el canal comenzó a publicar enseñanzas y oraciones bahá’ís incluso mientras continuaba promocionando la aplicación. "Dedicado a la comunidad bahá'í" y "Una colección completa para las necesidades de los Ahiba" [los amados (de Dios), un término que los bahá'ís usan para referirse a sus correligionarios], son algunos de los lemas que han utilizado para este propósito.
Cada imagen que promocionaba Ahl-e Baha declaraba que “no necesitaba rompefiltros”. Esta afirmación, por sí misma, y en particular porque se afirma públicamente, levantó sospechas. Todas las aplicaciones, sitios y blogs relacionados con la comunidad bahá'í y la fe bahá'í se filtran en Irán. Si los creadores de esta aplicación tuvieran alguna conexión con la comunidad bahá'í, habrían sabido que esto conduciría inmediatamente a su filtración.
“El tamaño de la aplicación Ahl-e Baha era inusualmente grande, alrededor de 50 a 60 megabytes”, dice el experto en informática bahá’í a IranWire. “Tal tamaño para una aplicación con esta funcionalidad es sospechoso. Comenzamos a sospechar más cuando descubrimos que solicita muchos permisos al usuario para acceder a la información proporcionada y almacenada en el teléfono, cuando una aplicación como esta no necesita tantos permisos. Por ejemplo, quiere permiso para acceder a la ubicación, todos los contactos, todos los archivos, todas las imágenes, mensajes de texto, etc.
Ahl-e Baha no está disponible en Google Play porque Google no aprueba las aplicaciones que solicitan permisos excesivos. La aplicación solo se puede descargar desde el canal Ahl-e Baha Telegram y se puede "cargar lateralmente" en los teléfonos inteligentes.
“Después de que la aplicación despertara algunas sospechas”, continuó el experto, “nuestros colegas en tecnología de la información en el Instituto Bahá'í de Educación Superior de Irán [BIHE, una universidad informal o “clandestina” que sirve a los bahá'ís negaron el acceso a las universidades públicas] desarmó la aplicación y descubrió que oculta una puerta trasera peligrosa.
"Las puertas traseras brindan a los piratas informáticos una puerta de entrada al sistema operativo y les permite acceder al sistema eludiendo las medidas de seguridad. Y dado que las puertas traseras son invisibles, es posible que los usuarios nunca sepan que otra parte se ha infiltrado en el sistema.
“Después de encontrar la puerta trasera, rastreamos las direcciones IP que usa esta aplicación y descubrimos que usa dos; uno de ellos obtiene información del menú, como enseñanzas, oraciones e historia bahá'ís, y se las proporciona a los usuarios, mientras que la otra dirección IP recopila información del teléfono y la almacena en otro lugar.
"Cuando rastreamos la segunda dirección IP, descubrimos que el servidor pertenecía a una empresa ficticia en Londres. El nombre de la empresa probablemente se tomó de una tira cómica. Cuando investigamos aún más, descubrimos que se utilizó la dirección IP. en un ataque cibernético de 2019 por parte de un grupo de piratas informáticos llamado Muddy Water, bajo la dirección del gobierno iraní.
“En los últimos días, la ubicación del servidor cambió. Ahora está registrado en el estado estadounidense de Delaware con otro nombre ficticio”.
Mientras tanto, el 12 de enero de 2022, y por primera vez, un portavoz del comando cibernético del ejército de los Estados Unidos conectó explícitamente al Ministerio de Inteligencia de Irán con el grupo de espionaje y piratería conocido como Muddy Water.
El grupo ha tratado de desviar datos de empresas de telecomunicaciones y otras organizaciones en todo el Medio Oriente. Cyber Command publicó muestras de código malicioso supuestamente utilizado por los piratas informáticos iraníes para ayudar a las organizaciones en los EE. UU. y en otros lugares a defenderse de futuros intentos de intrusión.
El 24 de febrero de 2022, Reuters informó que, según la Oficina Federal de Investigaciones de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad y las autoridades británicas y estadounidenses, Muddy Water se había dirigido a una variedad de organizaciones gubernamentales y del sector privado en múltiples sectores de Asia, África, Europa y América del Norte. Dijeron que habían observado a este actor malicioso apuntando a las telecomunicaciones, la defensa, el gobierno local y los sectores de petróleo y gas natural.
Según se informa, Muddy Water ha estado activo desde noviembre de 2019. En octubre de 2021, la firma de seguridad cibernética IBM X-Force identificó a Muddy Water como uno de los tres principales actores de amenazas a la seguridad cibernética patrocinados por el estado iraní. La firma dijo que Muddy Water fue responsable de los ataques dirigidos a Turquía y los países del Golfo Pérsico con el objetivo de desplegar "caballos de Troya" de acceso remoto dentro de los sistemas comprometidos.
Un exploit de caballo de Troya, al igual que el mito griego, inserta un código malicioso en un sistema, luego de lo cual se implementa para tomar el control o dañar el sistema.
El experto en informática que habló con IranWire dice que el mejor curso de acción es no instalar Ahl-e Baha. Pero los usuarios que la hayan instalado deben saber que la aplicación también instala una segunda aplicación invisible. Una desinstalación estándar eliminaría la primera aplicación, dijo, pero no la segunda. Su teléfono debe restablecerse a la configuración de fábrica.
Publicar comentario