Blog Blog

Segunda entrevista con Chronus Team

Segunda entrevista con Chronus Team

La segunda entrevista con Chronus Team deja una definición mucho más cruda sobre el grupo, su estructura y sus verdaderas motivaciones.

Por primera vez, sus integrantes confirman la detención de L0stex, reconocen que la caída de uno de sus líderes provocó pérdidas de infraestructura y admiten una reorganización interna. También describen cómo se habría desarrollado la última filtración contra organismos y obras sociales argentinas.

Pero las respuestas más importantes aparecen después.

Chronus reconoce haber vendido datos y accesos, aceptar pagos para evitar publicaciones y ejecutar objetivos financiados por terceros. También admite que la exposición de ciudadanos es utilizada de forma deliberada para aumentar la presión sobre gobiernos e instituciones.

Según el grupo, la reciente operación argentina no consistió en vulnerar una por una a todas las entidades nombradas. El acceso se habría producido mediante una plataforma de terceros con capacidad para consultar información de cientos de obras sociales.

De confirmarse, esta versión modificaría la lectura técnica del incidente. Algunas instituciones podrían no haber sufrido una intrusión directa en sus propios sistemas, aunque los datos de sus afiliados sí hubieran quedado expuestos a través de una infraestructura común.

Las respuestas que siguen fueron proporcionadas directamente por representantes de Chronus Team y se reproducen sin edición de contenido. Solo se agregaron mayúsculas iniciales cuando fue necesario para facilitar la lectura.

Las afirmaciones corresponden exclusivamente al actor entrevistado. La detención de L0stex, el origen de los datos, el supuesto compromiso de una plataforma compartida y la financiación de objetivos no fueron verificados de manera independiente.

L0stex y la estructura del grupo

Circula la versión de que L0stex fue detenido por la Policía Federal Argentina. ¿Lo confirman o lo desmienten?

Confirmamos.

¿Cuándo fue la última vez que algún integrante de Chronus tuvo contacto directo y verificable con él?

Shell tuvo contacto con el, días antes de su detención, y Adrxx tuvo contacto con el representante legal.

¿Qué función cumplía L0stex dentro del grupo? ¿Era una figura de liderazgo, un operador técnico, un vocero o una identidad compartida?

Lider y operador técnico.

¿La posible detención provocó pérdida de acceso a servidores, cuentas o información?

Perdimos acceso a varias VPS.

¿Chronus modificó su infraestructura o sus comunicaciones después de conocerse el rumor?

Si.

¿Temen que L0stex pueda colaborar con las autoridades o comprometer a otros miembros?

No, aún así entre los mismos miembros mantenemos OPSEC interna para evitar eso.

¿La posible caída de L0stex generó cambios de liderazgo o disputas internas?

No hubo disputas, más si hubo cambios de liderazgo.

¿Quién dirige actualmente Chronus?

Shell, Xyr0s, Lizard y H1.

La última filtración argentina

¿La operación contra organismos y obras sociales argentinas fue planificada como una campaña única o se agruparon accesos obtenidos en diferentes momentos para presentarlos como una megafiltración coordinada?

Fue planificada como campaña única (en el momento) vulnerando un sistema tercero con acceso a todas esas obras sociales, y cruzando datos para evitar la detección de la procedencia.

¿Todos los organismos mencionados fueron vulnerados directamente por Chronus o parte de la información provenía de terceros, proveedores o filtraciones anteriores?

Solo de Chronus, hecho por Xyr0s.

¿Las obras sociales fueron comprometidas una por una o mediante una infraestructura compartida? ¿Existía un proveedor tecnológico, sistema de gestión o plataforma común entre las entidades afectadas?

Mediante una plataforma con acceso a consultar afiliados de todas esas entidades (y unas 300 obras sociales más, que por cuestión de tiempo fueron dejadas de lado, aunque se tiene la información de los afiliados de todas esas).

¿Hubo movimiento lateral desde una organización central hacia otras?

Directamente no hizo falta, ya que con solo tener acceso a este sistema, todos los demás fueron posibles de comprometer.

¿Por qué algunas instituciones negaron haber sufrido una intrusión reciente?

Porque en sus sistemas no vieron logs, junto con que los datos que subimos nosotros no son los que ellos manejan (porque fue cross-referencing data para evitar la detección del sistema utilizado), sin embargo cada uno de esos afiliados si corresponden a esas obras sociales, y en cada uno de los archivos está el contacto (teléfono) de cada afiliado, para que hasta ellos mismos lo confirmen.

¿Pueden distinguir entre datos nuevos, bases antiguas y registros obtenidos de terceros? ¿Qué porcentaje de la filtración correspondía a información inédita?

Toda la información fue obtenida aprox desde inicios de junio hasta finales del mismo.

¿Qué opinan cuando las instituciones dicen que las bases de datos contienen información de filtraciones antiguas?

La verdad, me parece algo ilógico de mencionar por parte de las instituciones, es decir, acaso ellos cambian el formato de sus datos (tablas) cuando sufren una filtración? porque sino, como pretenden que una nueva filtración tenga distinta información? (más allá de tener más cantidad).

¿La expresión “megafiltración” describe una realidad técnica o fue utilizada para maximizar el impacto mediático?

La expresión se utiliza por la cantidad inmensa de las filtraciones ocurridas (casi 26 millones de personas en 66 archivos de 65 instituciones).

¿Qué participación concreta tuvo L0stex en esta operación?

Operativamente no tuvo participación, pero aunque habíamos quedado en ya no tocar más Argentina, con éste tema del arresto, lo volvimos a hacer, haciendo la filtración de afiliados de obras sociales más grande de Argentina.

Argentina y motivación política

¿Por qué Argentina se convirtió en un objetivo tan recurrente para Chronus?

Por el gran mercado que maneja de fondo, y la facilidad de obtener datos, que si son vistos por alguien con conocimiento real, puede ser un objetivo grande.

Si no había una demanda política definida, ¿por qué consideran que la operación fue hacktivismo?

Referido a la política no tuvimos ningún impulso, esto fue en venganza por el arresto de L0stex.

¿Argentina fue utilizada como escenario para aumentar la visibilidad y reputación regional del grupo?

Si, aunque al ser un mercado diferente al de México, es algo más lento el obtener nuevos periodistas que le den visibilidad al grupo en el país.

¿Recibieron información, credenciales, objetivos o apoyo de personas radicadas en Argentina?

Si, información y credenciales de sistemas del gobierno.

¿Algún actor político, económico o extranjero sugirió o financió objetivos argentinos?

Si, aunque no todos, algunos objetivos si fueron financiados.

¿Planean continuar concentrando operaciones contra Argentina?

Por ahora no, pero más para adelante seguramente si.

Hacktivismo, dinero y daño a terceros

En la entrevista anterior se definieron como una organización de cibercriminales. ¿Por qué luego intentan presentarse como hacktivistas?

A veces suele existir ese choque entre los miembros de quiénes creen que hacemos hacktivismo, y quiénes creen que solo son cibercrimenes.

¿Han vendido datos, accesos activos o información obtenida durante operaciones contra Argentina?

Si.

¿Han recibido pagos para no publicar información o para seleccionar determinados objetivos?

Si, aunque no se dice de forma mediatica, si se puede coordinar un pago para no publicar información.

¿Cómo justifican afectar a afiliados, pacientes o ciudadanos que no participan de las decisiones políticas cuestionadas?

Culpa de estas filtraciones, se genera disconformidad entre los afiliados, que luego culpan al gobierno y/o políticos, generando más presión que la que haríamos solamente nosotros.

¿Aceptan que la sociedad los considere ciberdelincuentes y no hacktivistas cuando venden datos, buscan beneficios económicos y no evalúan el daño colateral?

Claro, al final del día todos los integrantes saben lo que hacen y saben que afecta a otras personas, así que pedir no ser llamados ciberdelincuentes no tendría sentido.

Conclusión

Esta segunda entrevista modifica de forma sustancial la imagen pública de Chronus Team.

El grupo confirma la supuesta detención de L0stex, lo identifica como líder y operador técnico, y reconoce que su caída provocó la pérdida de varias VPS y una reorganización interna.

La respuesta también expone una debilidad estructural: pese al uso de compartimentación y OPSEC interna, un solo integrante habría conservado acceso suficiente como para generar pérdidas operativas después de su detención.

En relación con la última campaña argentina, Chronus sostiene que no comprometió individualmente a cada obra social. Según su versión, el acceso se produjo mediante una plataforma común con capacidad para consultar información de cientos de entidades.

Esa hipótesis es técnicamente relevante.

Una institución puede no registrar una intrusión directa y, aun así, ver expuestos los datos de sus afiliados si un proveedor, sistema centralizado o plataforma de terceros resulta comprometido.

La ausencia de logs dentro de cada organismo no demostraría que los datos sean falsos. Pero la existencia de registros reales tampoco prueba que todas las entidades nombradas hayan sido vulneradas directamente.

La identificación de esa plataforma es, por lo tanto, el punto central para validar la versión del grupo, determinar el origen real de los datos y establecer cuántas organizaciones fueron efectivamente afectadas.

Chronus también afirma haber cruzado información para ocultar la procedencia del sistema utilizado. Esto podría explicar por qué las estructuras publicadas no coincidirían con las bases internas de las instituciones.

Sin embargo, esa misma manipulación dificulta comprobar la actualidad, integridad y procedencia de los archivos.

La cifra de casi 26 millones de personas tampoco debería aceptarse sin un proceso de deduplicación. Una misma persona podría aparecer en varias obras sociales, registros históricos o archivos separados.

Pero el aspecto más relevante de la entrevista no es técnico.

Chronus admite que la operación fue una venganza por la detención de L0stex y no una acción impulsada por una demanda política concreta.

También reconoce que Argentina es un objetivo atractivo por el valor económico de los datos, la facilidad de acceso y la capacidad de obtener visibilidad mediática.

La entrevista expone además tres admisiones particularmente graves:

  • La venta de datos y accesos obtenidos en operaciones contra Argentina.
  • La aceptación de pagos para evitar publicaciones.
  • La ejecución de algunos objetivos financiados por terceros.

Estas declaraciones alejan al grupo de cualquier definición estrictamente hacktivista.

Un actor que vende información, comercializa accesos, acepta pagos para evitar filtraciones y ejecuta ataques financiados opera dentro de una lógica criminal, aunque en determinadas ocasiones utilice un discurso político.

La respuesta sobre el daño a terceros resulta todavía más clara.

Chronus reconoce que la exposición de afiliados y ciudadanos es utilizada para generar descontento y aumentar la presión sobre gobiernos e instituciones.

El perjuicio no aparece como un efecto secundario no deseado. Forma parte del mecanismo de presión.

Los ciudadanos son utilizados como intermediarios involuntarios de una disputa en la que no participaron.

La última respuesta termina de cerrar la discusión.

Chronus acepta que sus miembros sean considerados ciberdelincuentes porque conocen el daño que provocan y saben que sus acciones afectan a otras personas.

El grupo puede mantener debates internos sobre si algunas operaciones constituyen hacktivismo. Sus propias declaraciones, sin embargo, describen una estructura en la que conviven venganza, negocio, extorsión, reputación, operaciones por encargo y exposición deliberada de terceros.

La etiqueta importa menos que la conducta.

Y en esta entrevista, Chronus decidió explicar con bastante claridad cómo opera.

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Old school