Semana de la seguridad 37: el hackeo a Bugzilla, la vuelta de Carbanak y el phishing en C&C

En el nuevo capítulo de nuestra exitosa serie sobre noticias de seguridad informática:

• La brecha de seguridad en Bugzilla nos recuerda de golpe la importancia de crear contraseñas TANTO únicas como seguras.
• La campaña de Carbanak, que permitió que los hackers robaran millones de dólares de organizaciones financieras, ha resurgido en Europa y Estados Unidos.
• Las investigaciones de Kaspersky Lab descubren el método para aumentar el nivel de secretismo del ciberespionaje del servidor de C&C, de un nivel “muy difícil de rastrear” a un nivel “imposible de  rastreo”.

De nuevo, como cada semana, el equipo de Threatpost ha elegido personalmente tres nuevas noticias, y yo voy a comentarlas.

La semana pasada llevé a cabo una pequeña encuesta sobre la frecuencia en la que nuestros lectores actualizan sus routers. La mayoría de los 210 encuestados (el 31%) actualiza el firmware de sus routers una vez cada dos años o incluso con menos frecuencia, y el 28% nunca lo ha actualizado.

La brecha de seguridad en la base de datos de Bugzilla

La noticia, Preguntas frecuentes sobre el ataque

En el capítulo anterior de nuestro boletín de noticias sobre seguridad, planteamos la cuestión de la divulgación responsable de la información sobre los bugs y cuándo es aconsejable o no revelar la información acerca de los errores que uno puede descubrir. La historia sobre el incumplimiento del seguimiento de bugs de Mozilla sirve como un perfecto ejemplo de cuándo habría sido mejor no revelar la vulnerabilidad.

Attacker Compromised #Mozilla Bug System, Stole Private Vulnerability Data: https://t.co/FyAMl8wUyB via @threatpost pic.twitter.com/yXThX1mBlC

— Kaspersky Lab (@kaspersky) September 8, 2015

Está claro que el problema aún no se ha solucionado. El pasado agosto, Mozilla lanzó un parche para Firefox que solucionó el bug en el visor de PDF incorporado. El error fue descubierto por un usuario que fue víctima del secuestro y que informó sobre esta vulnerabilidad. El punto de entrada del ataque fue un banner especialmente diseñado con el fin de permitir que el hacker robara los datos personales de los usuarios.

Según parece, los desarrolladores ya estaban preparando el parche, siendo ya conscientes del bug. Bugzilla ya tenía la información sobre este bug, aunque estaba almacenada en la parte privada del sistema. Después surgieron sospechas sobre el acceso ilegítimo y la semana pasada se confirmaron. No hubo “una brecha” como tal: los atacantes identificaron a un usuario privilegiado, encontraron su contraseña en otra base de datos que se había visto comprometida, y ésta resultó coincidir con la contraseña de Bugzilla.

https://1qto3g40rh2j1n43ebvoa7h1cmu-wpengine.netdna-ssl.com/files/2015/09/security-week-37-man.jpg

Como resultado de ello, los hackers tuvieron acceso a una base de datos secreta sobre bugs desde septiembre de 2013. Durante ese tiempo, como se ha registrado de forma muy detallada en las preguntas frecuentes sobre el ataque, los hackers tuvieron acceso a información sobre 185 bugs, 53 de ellos críticos. Cuarenta y tres vulnerabilidades de esta lista hackeada ya habían sido parcheados en el momento en el que los atacantes accedieron a la base de datos.

En cuanto al resto, es probable que la información de dos de los bugs restantes se filtrara a menos de una semana antes de haber sido parcheado, cinco, en teoría podrían haber sido explotados de una semana a un mes antes de que el parche estuviera disponible. Las tres vulnerabilidades restantes podrían haber sido utilizadas 131 , 157 y 335 días antes del lanzamiento del parche. Esa fue la peor noticia sobre la brecha; sin embargo, los desarrolladores de Mozilla no tienen ninguna “prueba de que esas vulnerabilidades hayan sido explotadas”. De entre más de 50 bugs, sólo uno ha sido utilizado en todo el mundo.

How strong is your #password? Check it here: http://t.co/9ILaxq503k https://t.co/P9Pm0SGc4n #internet #security #infosec

— Kaspersky Lab (@kaspersky) August 21, 2015

Bueno, la moraleja aquí es simple, y aquí es cuando tengo ganas de subirme a un escenario improvisado y proclamar: “¡Amigos! ¡Hermanos y hermanas! ¡Damas y caballeros! ¡Por favor, utilizad una contraseña única para cada servicio distinto!”. Sin embargo, esto no es tan sencillo como parece: un enfoque de este tipo sin duda requerirá el uso de un gestor de contraseñas. Incluso si ya tienes uno, debes sentarte tranquilamente y cambiar a conciencia las contraseñas de todos los recursos que utilizas de forma activa, a ser posible, en todos ellos. Nuestros datos demuestran que sólo el 7% de las personas utilizan gestores de contraseña.

Las nuevas versiones de Carbanak atacan EE.UU. y Europa

La noticia. La investigación de febrero realizada por Kaspersky Lab. Una investigación reciente de CSIS.

Aquí tienes una cita del artículo que hicimos en febrero sobre “el gran robo”:

“Los atacantes fueron capaces de transferir dinero a sus propias cuentas bancarias y manipular el informe sobre el balance para que el ataque no fuera descubierto por una serie de robustos sistemas de seguridad. Esta operación nunca se habría logrado si no fuera porque los hackers tenían el control de los sistemas internos bancarios. Por eso, tras la brecha, los atacantes utilizaron una serie de técnicas de inteligencia para recabar la información necesaria acerca del funcionamiento de una infraestructura bancaria, incluyendo capturas de vídeo”.

Trabajando de forma conjunta con las organizaciones encargadas del cumplimiento de la ley, se descubrió que las pérdidas bancarias sufridas a consecuencia del complejo ataque de múltiples capas de Carbanak, sumaron un total de mil millones de dólares, con víctimas de más de un centenar de grandes instituciones financieras. Pero esto ocurrió en febrero, y a finales de agosto, los investigadores del CSIS de Dinamarca descubrieron una nueva modificación de Carbanak. Las diferencias entre la nueva versión y las versiones anteriores no son significativas: una de ellas está en el uso de una dirección IP estática para la comunicación C&C en lugar de un nombre de dominio. En cuanto a los plugins utilizados para el robo de datos, son idénticos a los utilizados en febrero.

In what may be the greatest heist of the century, hackers steal billions from hundreds of banks: http://t.co/W3CofvF5ta

— Kaspersky Lab (@kaspersky) February 16, 2015

Según CSIS, la nueva versión de Crabanak tenía como objetivo las grandes empresas en Europa y Estados Unidos.

Turla APT: cómo ocultar C&C con la ayuda de Internet por satélite. La noticia. Otra noticia. La investigación.

La campaña de ciberespionaje APT de Turla ha sido estudiada durante mucho tiempo por varios investigadores sobre seguridad informática, entre los que se incluye a los investigadores de Kaspersky Lab. El año pasado publicamos una investigación muy detallada sobre los métodos utilizados para introducirse en el ordenador de una víctima, recopilar sus datos y enviarlos a los servidores C&C. Cada una de las etapas de esta compleja campaña se basa en una serie de herramientas, entre las que se incluye el spear phishing mediante documentos infectados que lanzan ataques de día cero; páginas web infectadas; varios módulos de minería de datos cuidadosamente seleccionados en función de la complejidad del objetivo y la criticidad de los datos; y una red muy avanzada de servidores C&C. Como resultado, el pasado agosto, esta campaña ocasionó varios cientos de víctimas en 45 países, especialmente en Europa y Oriente Medio.

RT @threatpost: Agent.btz #Malware May Have Served as Starting Point for Red October, #Turla – http://t.co/6x98OI4afx

— Kaspersky Lab (@kaspersky) March 13, 2014

Esta semana, el investigador de Kaspersky Lab Stefan Tanase publicó los datos sobre la etapa final del ataque, cuando los datos robados se envían a un servidor C&C. Para habilitar la minería de datos, Turla, como muchos grupos APT anteriores, utiliza varios métodos, por ejemplo, el alojamiento resistente al saboteo. Pero en cuanto los datos en cuestión aterrizan en el C&C alojados en un servidor en particular, la probabilidad de ser detenido por la policía o bloqueado por un proveedor de servicios es bastante alta, sin mencionar los poderes concedidos a los atacantes.

Y aquí es cuando interviene Internet por satélite. La ventaja aquí está en el hecho de que se puede establecer el servidor o moverlo en cualquier lugar en el rango del satélite. Pero hay un problema: con el fin de alquilar un canal de satélite bidireccional con una capacidad aceptable, tienes que pagar una gran suma de dinero, y, además, el rastro te delatará fácilmente en cuanto encuentren tus huellas. Bueno, el método descubierto por nuestro investigador no presupone un modelo de contrato de arrendamiento.

Existe algo llamado “pesca por satélite”, una pieza de software ligeramente modificada en el terminal de satélite que no rechaza los paquetes que no están destinados para un usuario particular, sino que los recopila. Como resultado, el “pescador” puede reunir las páginas web, los archivos y los datos de otra persona. Este método funciona con una condición: que el canal no esté cifrado. El ataque Turla emplea el mismo método, con una leve modificación: cuando sondea el tráfico, el atacante debe identificar la dirección IP de la víctima y hacer que los dispositivos comprometidos envíen datos a esta IP perteneciente al dueño de un terminal de satélite legítimo, de buena voluntad y que no tiene conocimiento de ello.

Durante el ataque, los hackers utilizan puertos de comunicación específicos que se cierran de forma predeterminada en los sistemas promedio y rechazan los paquetes por diseño. Pero aquellos que sondean el tráfico podrían robar estos datos sin revelar su ubicación.

Russian-speaking cyber spies exploit satellites https://t.co/EIhfVg2aRD #turla pic.twitter.com/b8LTv4t041

— Kaspersky Lab (@kaspersky) September 9, 2015

Por cierto, los radioteléfonos antiguos no cifraban el tráfico de voz en absoluto, ya que los dispositivos receptores capaces de operar en tales bandas de frecuencia eran bastante caros. Esto solía ser así, pero en cuestión de poco tiempo, diferentes receptores para todo tipo de bandas comenzaron a aparecer por todas partes, a un precio muy moderado. Es una comparación pésima, ya que el coste de las soluciones de minería y procesamiento de datos diseñadas por Turla sería de al menos dos mil dólares. Pero el resultado final es que los sistemas de Internet por satélite tienen un defecto inherente que aprovechan los atacantes. No existe ningún plan de acción para solucionar esta vulnerabilidad, y el resultado no está claro.Como resultado, la ubicación aproximada del servidor C&C de Turla coincide con el rango del operador de satélites:

Y aquí es donde perdemos el rastro.

Qué más ha ocurrido: 

Se ha encontrado otro tipo de ransomware en Android. Se comunica con el servidor C&C a través de XMPP. Los chats y otros mensajeros instantáneos ya han sido utilizados para la comunicación de malware en distintos PC, por lo tanto la noticia prueba que el malware móvil está siguiendo el mismo camino que el malware de escritorio, sólo que mucho más rápido.

#mobile #malware New Android Ransomware Communicates over XMPP: https://t.co/NaduU8sGbH via @threatpost pic.twitter.com/j3sG6zS7xc

— Kaspersky Lab (@kaspersky) September 3, 2015

Se lanzó otra serie de parches para algunas vulnerabilidades críticas de Google Chrome (te recomendamos actualizar el navegador y configurar la versión V45).

Se ha descubierto que los discos duros inalámbricos de Seagate contienen un par de errores graves: acceso no cifrado a través de telnet y una contraseña segura codificada para el acceso al root. Esto es bastante crítico, pero ya tratamos este tema la semana pasada cuando hablábamos de los routers. La moraleja: todo lo que transmite wifi debe estar fuertemente protegido. En la actualidad, todo puede transmitir wifi, incluso las cámaras.

Oldies:

Manowar-273Un inofensivo virus residente que normalmente afecta a los archivos .COM y .EXE cuando se ejecutan (los archivos COMMAND.COM se infectan con el algoritmo de Lehigh). El virus contiene el texto: “Señor Oscuro, ¡yo te convoco! MANOWAR”.

Iron-Maiden

Un virus no residente muy peligroso que normalmente infecta a los archivos .COM del catálogo actual. A partir de agosto de 1990, dependiendo del momento, podría borrar dos sectores del disco duro al azar. Contiene el texto: “IRON MAIDEN”.

Citas del libro “Computer viruses in MS-DOS” de Eugene Kaspersky, 1992, páginas 70 y 75 .

Legales: Este artículo refleja únicamente la opinión personal del autor. Usted puede coincidir con la posición de Kaspersky Lab, o no. Depende de la suerte.