Connect with us

PC

Hackers del estado-nación violaron el grupo de expertos de EE. UU. Tres veces seguidas

Published

on

Un grupo de piratería avanzada que se cree que trabaja para el gobierno ruso ha comprometido la red interna de un grupo de expertos en Estados Unidos en tres ocasiones.

Los respondedores de incidentes de la compañía de ciberseguridad Volexity que investigaron los ataques entre finales de 2019 y julio de 2020 nombraron al actor de amenazas Dark Halo, un adversario versátil capaz de cambiar rápidamente a diferentes tácticas y técnicas para llevar a cabo operaciones sigilosas a largo plazo.

En un ataque, Dark Halo aprovechó una vulnerabilidad recientemente revelada para el servidor de Microsoft Exchange que les permitió eludir las defensas de autenticación multifactor (MFA) contra el acceso no autorizado al correo electrónico.

En otro, el actor utilizó una actualización troyanizada para la red de SolarWinds y la plataforma de monitoreo de aplicaciones Orion que permitió la brecha de la empresa de ciberseguridad FireEye y varias redes del gobierno de EE. UU.

Eludir el desafío de autenticación de Duo

Al investigar el primer incidente, Volexity descubrió que el atacante utilizó “múltiples herramientas, puertas traseras e implantes de malware que habían permitido que el atacante permaneciera sin ser detectado durante varios años”.

Dark Halo utilizó principalmente servicios públicos que viven fuera de la tierra en operaciones semanales, con el objetivo de extraer correos electrónicos de personas seleccionadas (ejecutivos, expertos en políticas, personal de TI). El atacante implementó malware y herramientas solo cuando no tenía otra opción.

“Dark Halo usó malware y herramientas de creación de equipos rojos, pero en gran parte solo para tareas específicas únicas como mecanismo de reserva cuando se cortaron otras vías de acceso” – Volexity

Después de ser expulsado de la red de la víctima por primera vez, Dark Halo encontró el camino de regreso explotando una vulnerabilidad de ejecución remota de código en el servidor Microsoft Exchange local.

La falla, rastreada como CVE-2020-0688, recibió un parche el 11 de febrero y los detalles técnicos al respecto se publicaron dos semanas después. A principios de marzo, Volexity había observado a piratas informáticos avanzados que intentaban e incluso aprovechaban con éxito la vulnerabilidad.

Después de ingresar, Dark Halo pudo iniciar sesión en la cuenta de correo electrónico de la víctima a través de la aplicación web Outlook (OWA) utilizando solo el nombre de usuario y la contraseña robados, a pesar de la protección del sistema de autenticación multifactor de Duo.

MFA es un segundo desafío de autenticación que protege contra el acceso no autorizado utilizando la combinación legítima de nombre de usuario y contraseña.

El registro del servidor de autenticación de Duo no mostró ningún intento de inicio de sesión para esa cuenta, por lo que el desafío MFA no se presentó al iniciar sesión. Los registros del servidor Exchange confirmaron que el atacante había obtenido acceso solo al proporcionar el nombre de usuario y la contraseña correctos.

Investigando más, Volexity descubrió que Dark Halo no se había basado en una vulnerabilidad, sino que utilizó una “técnica novedosa” que aprovechó el flujo normal de MFA.

Al analizar la memoria del servidor OWA, los investigadores descubrieron que el atacante había obtenido acceso a la cuenta de correo electrónico protegida al proporcionar una cookie para la sesión Duo MFA llamada “duo-sid”.

La generación de la cookie fue posible después de comprometer el servidor OWA y robar la clave secreta que integra Duo con OWA, conocida como akey , una cadena generada por el usuario desconocida para Duo y esencial para que funcione la autenticación multifactor.

En su documentación, Duo aconseja a los administradores que traten la akey como una contraseña y la almacenen “de manera segura con acceso limitado” y que la transfieran solo a través de canales seguros.

Volexity dice que la akey permitió al atacante obtener un valor precalculado y colocarlo en la cookie duo-sid para que el servidor Duo lo aceptara como válido.

“Esto permitió que el atacante con conocimiento de una cuenta de usuario y contraseña eludiera por completo el MFA configurado en la cuenta” – Volexity

Los investigadores enfatizan que este truco no era una vulnerabilidad en el sistema de autenticación Duo. Los piratas informáticos operaban con privilegios de administrador en la red, por lo que tenían acceso a las claves secretas y los datos.

La brecha de SolarWinds

Decidido en su camino a robar mensajes de correo electrónico de interés, Dark Halo violó la organización por tercera vez en julio de 2020.

Para cuando Volexity comenzó a investigar el incidente, el cliente había reiniciado las máquinas comprometidas varias veces, borrando cualquier evidencia forense presente en la memoria volátil.

Los investigadores no pudieron determinar exactamente cómo entraron los piratas informáticos, pero sospecharon que el servidor SolarWinds de alguna manera había jugado un papel importante.

Una vez que FireEye publicó detalles sobre el malware plantado en la actualización de Orion, Volexity vio la superposición técnica con esta brecha, lo que permitió a los investigadores atribuir las intrusiones de Dark Halo al mismo actor que comprometió SolarWinds.

Parece que el atacante obtuvo lo que quería, exportando los mensajes de interés a archivos protegidos con contraseña en el servidor OWA de la víctima y luego transfiriendo los datos a través de simples solicitudes HTTP.

Volexity proporciona detalles técnicos adicionales observados durante este ataque, incluidas acciones de línea de comando para reconocimiento y movimiento lateral, herramientas e infraestructura.

Después de que FireEye revelara la brecha en su red y anunciara que un atacante (marcado como UNC2452) que probablemente actuaba en nombre de un gobierno había accedido a ciertas herramientas utilizadas para las operaciones del equipo rojo, se supo que el ataque a la cadena de suministro de SolarWinds Orion tuvo un impacto de alto perfil organizaciones del sector privado y gubernamental.

En su sitio web, SolarWinds anunciaba una base de clientes selecta que incluía al menos 425 organizaciones en el top 500 de Estados Unidos; diez principales empresas de telecomunicaciones del país; todas las ramas del ejército estadounidense; el Pentagono; NASA; NSA; el Servicio Postal, el Departamento de Justicia; y la Oficina del Presidente de los Estados Unidos.

Clientes de SolarWinds

El número total de víctimas sigue siendo desconocido, pero los informes de los medios mencionan ocho organizaciones además de la empresa de ciberseguridad FireEye que fue la primera en revelar la violación: los departamentos del Tesoro y Comercio de EE. UU., El Departamento de Seguridad Nacional, el Departamento de Estado, los Institutos Nacionales de Salud, el Pentágono y los Institutos Nacionales de Salud [1, 2, 3, 4, 5].

No está claro cuántas víctimas violaron los piratas informáticos a través del ataque a la cadena de suministro de Orion, pero el número de entidades que instalaron la versión envenenada del software es “menos de 18.000”, dijo la compañía.

Los informes de los medios citan fuentes no oficiales que atribuyen el ataque a APT29 (Cozy Bear), la división de piratería del servicio de inteligencia exterior de Rusia, el SVR.

Artículos relacionados:

El gobierno de EE. UU., FireEye violaron después del ataque a la cadena de suministro de SolarWinds

FireEye y Microsoft crean un interruptor de apagado para la puerta trasera de SolarWinds

Microsoft pondrá en cuarentena mañana los binarios de SolarWinds comprometidos

CISA: los piratas informáticos violaron el gobierno de EE. UU. Utilizando más que la puerta trasera de SolarWinds

El FBI y la CISA confirman oficialmente los ataques del gobierno de los EE. UU. Después de la violación de SolarWinds

PC

El CEO de Realme India insinúa la presencia de la primera computadora portátil fabricada por Realme

Published

on

By

El CEO de Realme India insinúa la presencia de la primera computadora portátil fabricada por Realme

Realme ahora no solo quiere ser conocido como una submarca de OPPO que produce teléfonos inteligentes, ahora también está expandiendo su cartera al presentar varios otros productos.

Bueno, ahora se dice que Realme está desarrollando su primera computadora portátil propia. Aunque no hay más información sobre el portátil, ahora el CEO de Realme India y Europa, Madhav Sheth ha señalado su presencia.

A través de una publicación en su cuenta de Twitter, Madhav subió una foto que muestra un sobre en el que hay una computadora portátil plateada que se sospecha es una computadora portátil Realme.

Además, Madhav también escribió un código binario que dice “Hola mundo” cuando se realiza la traducción. Esto ciertamente prueba que el dispositivo en el sobre es una computadora portátil.

“El nuevo producto de Realme te está enviando un mensaje. ¿Puedes descifrarlo y adivinar el nombre del producto?”, Escribió Madhav Sheth.

Si Realme realmente va a lanzar su propia computadora portátil, esto será un gran logro porque hasta ahora las marcas de teléfonos inteligentes de BBK Electronics como OPPO, Vivo y OnePlus todavía no planean desarrollar sus propias computadoras portátiles.

Continue Reading

PC

El malware Stealthy Magecart filtra por error una lista de tiendas pirateadas

Published

on

By

Stealthy Magecart malware mistakenly leaks list of hacked stores

Stealthy Magecart malware mistakenly leaks list of hacked stores

Una lista de docenas de tiendas en línea pirateadas por un grupo de skimming web fue filtrada inadvertidamente por un cuentagotas utilizado para implementar un troyano sigiloso de acceso remoto (RAT) en sitios de comercio electrónico comprometidos.




Los actores de amenazas utilizan esta RAT para mantener la persistencia y recuperar el acceso a los servidores de las tiendas en línea pirateadas.

Una vez que se conectan a las tiendas, los atacantes implementan scripts de skimmer de tarjetas de crédito que roban y exfiltran los datos personales y financieros de los clientes en ataques de skimming digital (también conocido como Magecart).

Ratas soñolientas en los servidores de la tienda online

Los investigadores de Sansec, una empresa de seguridad centrada en proteger las tiendas de comercio electrónico de los ataques de skimming web, dijeron que el malware se entregó en forma de un ejecutable ELF de 64 bits con la ayuda de un dropper de malware basado en PHP.

Para evadir la detección y obstaculizar el análisis, el RAT sin nombre está diseñado para camuflarse como un demonio de servidor DNS o SSH para que no se destaque en la lista de procesos del servidor.

El malware también se ejecuta en modo de suspensión casi durante todo el día, y solo se despierta una vez al día temprano en la mañana, a las 7 a.m., para conectarse a su servidor de comando y control y solicitar comandos.

RAT conectándose al servidor C2
RAT conectándose al servidor C2 ( Sansec )

Las muestras de RAT recolectadas por Sansec de varios servidores comprometidos han sido compiladas por los actores de amenazas detrás de estos ataques en Ubuntu y Red Hat Linux.

“Esto puede indicar que varias personas participaron en esta campaña”, dice Sansec en un informe publicado hoy.

“O, por ejemplo, que el código fuente de RAT está disponible públicamente y posiblemente a la venta en los mercados de la web oscura”.

Cuentagotas RAT derrama los frijoles

A pesar del malware RAT bastante avanzado que utilizaron como puerta trasera en los servidores de comercio electrónico pirateados, el grupo Magecart también cometió un error de novato al incluir una lista de tiendas en línea pirateadas dentro del código de su cuentagotas.

Sansec secuestró el cuentagotas RAT de los atacantes y descubrió que también contenía una lista de 41 tiendas comprometidas además del código malicioso habitual que se utiliza para analizar las configuraciones de implementación de varios scripts de Magecart.

Esto podría explicarse por el hecho de que el cuentagotas ha sido codificado por alguien que parece tener mucha menos experiencia con PHP, ya que “usa bloques de memoria compartida, que rara vez se usa en PHP pero es mucho más común en programas C”.

Sansec también se ha comunicado con las tiendas en línea incluidas en el código del dropper de malware Magecart para informarles que se han infiltrado sus servidores.

Lista de tiendas pirateadas
Lista de tiendas online pirateadas ( Sansec )

Durante los últimos meses, los investigadores de Sansec han desenterrado múltiples skimmers Magecart y muestras de malware que utilizan tácticas innovadoras para persistir o evadir la detección.

Un script de ladrón de tarjetas de crédito que se encuentra en tres tiendas diferentes, aún activo cuando BleepingComputer informó la información la semana pasada, se oculta a la vista en sitios pirateados que utilizan código CSS, ya que evita ser descubierto a través de métodos convencionales como escáneres de seguridad automatizados e incluso auditorías manuales de códigos de seguridad. .

También descubrieron recientemente un malware de rastreo web capaz de camuflarse como botones de redes sociales SVG y un ladrón de tarjetas de crédito casi imposible de deshacerse que incluye una puerta trasera persistente.

Artículos relacionados:

Tarjeta de crédito que roba paquetes de malware por puerta trasera para una fácil reinstalación

El malware que roba tarjetas de crédito se esconde en los iconos para compartir en las redes sociales

El nuevo malware de Windows pronto podría apuntar a dispositivos Linux y macOS

Qbot malware cambió a un nuevo método sigiloso de inicio automático de Windows

Un ladrón de tarjetas de crédito se esconde en archivos CSS de tiendas en línea pirateadas

Continue Reading

PC

Europol lanza una nueva plataforma de descifrado para las fuerzas del orden

Published

on

By

Europol launches new decryption platform for law enforcement

Europol launches new decryption platform for law enforcement

Europol y la Comisión Europea han lanzado una nueva plataforma de descifrado que ayudará a impulsar la capacidad de Europol para obtener acceso a la información almacenada en medios cifrados recopilada durante las investigaciones penales.




La nueva plataforma de descifrado operada por el Centro Europeo de Ciberdelincuencia (EC3) de Europol se desarrolló en colaboración con el servicio de ciencia y conocimiento del Centro Común de Investigación de la Comisión Europea.

Marca “un hito en la lucha contra el crimen organizado y el terrorismo en Europa”, según la Agencia de Cooperación para el Cumplimiento de la Ley de la UE.

El Centro Europeo de Ciberdelincuencia (EC3) de Europol, un organismo de la Oficina de Policía de la UE centrado en la ciberdelincuencia cometida por grupos delictivos organizados, es la entidad que operará esta plataforma y proporcionará apoyo y experiencia a las investigaciones nacionales de los Estados miembros.

“Hoy marca el final de un viaje de tres años”, dijo la directora ejecutiva de Europol, Catherine De Bolle, en un comunicado de prensa publicado hoy.

“Hemos dado un importante paso adelante en la lucha contra el abuso criminal de la encriptación con el objetivo de mantener a nuestra sociedad y ciudadanos seguros respetando plenamente los derechos fundamentales”.

Aunque el comunicado de prensa de hoy no proporciona ningún detalle sobre de qué se trata la nueva plataforma de descifrado, un informe del Consejo de la Unión Europea [PDF] arroja algo de luz.

Según el informe, la plataforma de descifrado de Europol incluye herramientas tanto de software como de hardware que deberían ayudar a los organismos encargados de hacer cumplir la ley a descifrar la información obtenida legalmente durante las investigaciones penales.

Como se explica en el informe:

  • Los Estados miembros deberían invertir en hardware y software especializados con capacidad computacional adecuada y en personal con la formación adecuada para garantizar el descifrado también en casos complejos de comunicaciones y archivos cifrados.
  • Los Estados miembros deben garantizar la cooperación entre todas las partes interesadas pertinentes, incluidas, cuando proceda, las empresas privadas, con el fin de aumentar las capacidades de descifrado de las autoridades competentes.
  • Los Estados miembros deberían intensificar la investigación y el desarrollo con el fin de desarrollar métodos de descifrado nuevos y más eficientes, y hacer uso de las instalaciones de Europol, en particular de la plataforma de descifrado European Cybercrime Centre (EC-3) para casos de cifrado más sofisticados.

“En pleno respeto de los derechos fundamentales y sin limitar o debilitar el cifrado, esta iniciativa estará disponible para las autoridades policiales nacionales de todos los Estados miembros para ayudar a mantener a las sociedades y los ciudadanos seguros y protegidos”, añadió Europol.

El Consejo emitió el lunes una resolución no vinculante legalmente sobre “seguridad a través del cifrado y seguridad a pesar del cifrado”.

La resolución subrayó el apoyo del Consejo al “desarrollo, implementación y uso de un cifrado sólido como un medio necesario para proteger los derechos fundamentales y la seguridad digital de los ciudadanos, los gobiernos, la industria y la sociedad”.

También destacó “la necesidad de garantizar que las autoridades judiciales y policiales competentes puedan ejercer sus poderes legales, tanto en línea como fuera de línea, para proteger a nuestras sociedades y ciudadanos”.

“Las posibles soluciones técnicas deberán respetar la privacidad y los derechos fundamentales, y preservar el valor que el progreso tecnológico aporta a la sociedad”, agregó el Consejo.

Artículos relacionados:

Se accede a los documentos de la vacuna Pfizer COVID-19 en el ciberataque de la EMA

La UE sanciona a los piratas informáticos rusos por el ataque al parlamento alemán en 2015

Hackers apuntan a organizaciones de suministro de cadena de frío de la Comisión de la UE y COVID-19

El grupo de piratería ruso utiliza Dropbox para almacenar datos robados por malware

Dispositivos móviles emulados utilizados para robar millones de bancos de EE. UU. Y la UE

Continue Reading
Advertisement
Advertisement

Categories

Trending

Copy link
Powered by Social Snap