Mundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Lazarus (Lázaro), el conocido grupo de hackers, ha sustraído decenas de millones de dólares de cajeros automáticos en Asia y África desde finales del 2016, según informa Symantec

Mano de hombre retirando dinero de cajero automático

  • Desde el 2016, hackers de Lazarus Group han llevado a cabo una operación dirigida a robar dinero de cajeros automáticos
  • Lazarus Group está directamente vinculado a Corea del Norte, y se le atribuye el más reciente ataque WannaCry
  • Operación FASTCash está diseñada para retirar dinero de cajeros automáticos en forma simultánea en decenas de países

La semana pasada, los expertos en seguridad reportaron a un grupo de hackers altamente sofisticado como el cerebro detrás de una serie de ciberataques problemáticos que han dejado a las empresas financieras en todo el mundo sacudidas desde 2016.

Al establecer vínculos entre una serie de ciberataques globales organizados por una pandilla de ciberdelincuentes, los expertos han logrado desenmascarar un ataque de malware denominado Operación FASTCash.

La operación FASTCash, que tiene como objetivo estafar a los bancos de todo su dinero, apunta a los cajeros automáticos (ATM) en varios países, eliminándolos al mismo tiempo y en una fracción de segundo.

El ataque de malware, que ha dirigido a países de Asia y África desde 2016, comenzó a extenderse a otros continentes de manera más rampante este año.

El mes pasado, las autoridades de los EEUU expresaron su preocupación por el aumento dramático en el número de ataques similares en los últimos meses y sonaron una alerta global.

El gobierno de los EEUU utilizó el nombre en clave ‘Hidden Cobra’ (Cobra Oculta) para el Grupo Lazarus, al que anteriormente se le atribuyó la “actividad cibernética maliciosa del gobierno de Corea del Norte”.

El señuelo de ‘FAST CASH’

El 2 de octubre, oficinas gubernamentales de los EEUU, incluyendo el US-CERT, el Departamento de Seguridad Nacional (DHS), el Departamento del Tesoro y el FBI, emitieron una alerta atribuyendo la serie de ataques de cajeros automáticos globales a “Cobra Oculta”.

En alerta, las agencias gubernamentales de los Estados Unidos estimaron que hasta la fecha, el grupo Lazarus ha robado decenas de millones de dólares en 30 países diferentes a través de su ‘Operación FASTCash’.

La alerta señaló que “el DHS, el Tesoro y el FBI identificaron el malware y otros indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un plan de retiro de cajeros automáticos”.

La declaración también identificó casos específicos, señalando que un incidente en 2017 hizo que se retirara efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes.

También detalló otro incidente importante que tuvo lugar este año, en el que se eliminó el efectivo de los cajeros automáticos en 23 países diferentes.

Los funcionarios de los EEUU señalaron que el grupo había “explotado los sistemas específicos utilizando su conocimiento de la Organización de Normas Internacionales (ISO) 8583, el estándar para la mensajería de transacciones financieras … Lo más probable es que los actores hayan implementado bibliotecas ISO 8583 en los servidores de aplicaciones de conmutadores específicos”.

Semanas después de la emisión de la alerta estadounidense, esta semana, la firma de ciberseguridad Symantec publicó los resultados de su propia investigación sobre los ataques cibernéticos coordinados en los cajeros automáticos.

Si bien Symantec también acusa al Grupo Lazarus de llevar a cabo los ataques FASTCash, su investigación condujo a una revelación clave: que los hackers notorios infectan las redes bancarias con el troyano FASTcash.

Symantec explicó en su informe que, en un intento por realizar retiros fraudulentos, Lazarus viola las redes de los bancos seleccionados.

Luego, el grupo compromete a los servidores de aplicaciones del switch que manejan las transacciones en cajeros automáticos.

La firma de ciberseguridad señaló que una vez que se produce la violación, se implementa el malware ‘Trojan.Fastcash’, que luego intercepta las solicitudes de retiro de efectivo de Lazarus ‘fraudulentas’ y envía respuestas de aprobación falsas.

Esto, afirma Symantec, permite a los hackers deshacerse del efectivo de los cajeros automáticos.

En su informe, Symantec escribió: “Está claro que Lazarus posee un profundo conocimiento de los sistemas bancarios y los protocolos de procesamiento de transacciones y tiene la experiencia para aprovechar ese conocimiento con el fin de robar grandes sumas de dinero de bancos vulnerables”.

La firma también advirtió: “La reciente ola de ataques FASTCash demuestra que los ataques motivados financieramente no son simplemente un interés pasajero para el Grupo Lazarus y ahora pueden considerarse una de sus actividades principales”.

Desenmascarando a los delincuentes globales

Después de permanecer envueltos en el misterio durante la mayor parte de su existencia de una década, el notorio grupo de hackers que operaban como el ‘Grupo Lázaro‘ logró operar de manera discreta, hasta que un atentado ataque cibernético en 2014 los delató.

En noviembre de 2014, un grupo de hackers violaron los sistemas de la destacada empresa estadounidense Sony Pictures Entertainment con un ataque del tipo ‘file wiper’ (borra archivos), lo que dejó paralizados los sistemas de la compañía y filtró al internet terabytes de datos relacionados con la compañía para que el mundo los vea.

Los datos filtrados en línea incluyeron memos confidenciales y correos electrónicos intercambiados entre la alta gerencia de la compañía y algunos personajes y personalidades públicas de alto perfil.

Un grupo de hackers que se identificó como ‘The Guardians of Peace‘ se atribuyó la responsabilidad del ataque y dijo que el ataque se llevó a cabo para protestar por el lanzamiento de una película de Sony Pictures protagonizada por Seth Rogan y James Franco llamada “La entrevista”.

Mientras que la Oficina Federal de Investigaciones (FBI) acababa de iniciar una investigación sobre el ataque cibernético, el grupo se vinculó de inmediato con Corea del Norte.

La película que enfureció a los hackers narró una historia ficticia de dos periodistas estadounidenses que fueron reclutados por una agencia de espionaje de los Estados Unidos para asesinar a Kim Jong Un, el líder de la solitaria nación con potencia nuclear, Corea del Norte, a quien van a entrevistar.

Un año después del ataque cibernético, el FBI culpó oficialmente a Corea del Norte por la violación que fue declarada “un asunto serio de seguridad nacional” por el entonces presidente de los Estados Unidos, Barack Obama.

Sin embargo, dos años más tarde, se culpó al Grupo Lazarus por un ataque cibernético aún más grande y mucho más sorprendente, lo que le valió la infamia mundial y el título de ser uno de los grupos de ciberdelincuentes más peligrosos del mundo.

En febrero de 2016, las empresas de seguridad cibernética, al igual que el resto del mundo, expresaron indignación y conmoción cuando una pandilla de hackers reveló sus ambiciosos planes para robar la extraordinaria cantidad de 851 millones de dólares del Banco Central de Bangladesh.

Los piratas informáticos lograron transferir US$81 millones de la red desprotegida del banco.

Investigaciones de varias capas que duraron varios meses finalmente llevaron al desenmascaramiento de los ciberdelincuentes detrás del atroz asalto: el ‘Grupo Lázaro’, que los Estados Unidos denominan ‘Cobra Oculta’

Desde entonces, los notables investigadores cibernéticos de todo el mundo han culpado a esta notoria pandilla por una serie de perturbaciones, sabotajes, robos financieros o ataques de espionaje.

Si bien algunos expertos en seguridad han rastreado la actividad del grupo desde el año 2009, el Grupo Lazarus fue el culpable más reciente del ataque de ransomware WannaCry 2017, que causó un caos global.

El ataque de WannaCry ransomware infectó más de 300,000 computadoras, paralizando los sistemas en 100 países, incluyendo América, Europa, Rusia y China.

En 2013, el grupo fue acusado de atacar a los medios de comunicación y compañías financieras surcoreanas en dos operaciones separadas de ciberespionaje llamadas “Operación Troya” y “Operación DarkSeoul”.

Según los expertos, incluidas las agencias gubernamentales de Symantec y EEUU, El ataque FASTCash, el ransomware WannaCry y la violación de Sony, todos llevan el mismo conjunto de huellas dactilares que pertenecen al Grupo Lazarus.

La ‘Operación FASTCash‘ se está calificando como el robo de cajeros automáticos más grande y más dañino del mundo hasta el momento.

 

Referencias:

Escrito originalmente por Sheetal Sukhija para bignewsnetwork.com

symantec.com

hipertextual.com

leer más
Isaul CarballarMundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Más de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

EEUU, Rusia y China, naciones que no firmaron el Llamado de Paris convocado por Francia para establecer normas internacionales sobre ciberseguridad

Logo del Llamado de París

  • Nuevo pacto de paz cibernética firmado por otros 51 países, 224 empresas y 92 grupos sin fines de lucro y de defensa
  • Iniciativa diseñada para establecer normas internacionales para Internet, incluida la buena higiene digital y la divulgación coordinada de vulnerabilidades técnicas
  • El acuerdo no exige ninguna legislación específica
  • Estados Unidos, China, Rusia, Corea del Norte, Irán, Israel, Australia y Arabia Saudí entre los países que no firmaron

Estados Unidos, Rusia y China, tres de los principales ciber poderes de hoy, se encuentran entre las naciones que no han firmado un acuerdo sobre normas y principios publicado en el Foro de Paz de París por el presidente Emmanuel Macron.

El 12 de noviembre, en el Foro de Gobernanza de Internet de la UNESCO (IGF), el presidente Emmanuel Macron lanzó el Llamado de París para la confianza y la seguridad en el ciberespacio. Esta declaración de alto nivel sobre el desarrollo de principios comunes para asegurar el ciberespacio ya ha recibido el respaldo de muchos Estados, así como de empresas privadas y organizaciones de la sociedad civil.

El Llamado de París para la Confianza y la Seguridad en el Ciberespacio, como se ha denominado el acuerdo, es el esfuerzo más coordinado hasta la fecha para lograr que los países acuerden un conjunto de reglas internacionales para el ciberespacio, una llamada Convención Digital de Ginebra.

El documento describe una serie de objetivos, entre los que se incluyen cómo ayudar a garantizar que los actores extranjeros no interfieran con las elecciones y trabajen para evitar que las empresas privadas “hackeen” o tomen represalias por un delito cibernético. Cuenta con el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados.

Los Estados Unidos, mientras tanto, no fueron los únicos que no firmaron pase. Rusia, China, Irán e Israel tampoco firmaron. Decisión obvia, ya que algunos de los que se abstuvieron, como China e Irán, tienen iniciativas de guerra cibernética activa.

Los países hispanohablantes que firmaron incluyen: Argentina, Chile, Colombia, España, México y Panamá.

¿Qué implica el Llamado de Paris?

Los partidarios de la Convocatoria de París están comprometidos a trabajar juntos para:

  1. aumentar la prevención y la resistencia a la actividad maliciosa en línea;
  2. proteger la accesibilidad e integridad de internet;
  3. cooperar para prevenir la interferencia en los procesos electorales;
  4. trabajar juntos para combatir las violaciones de propiedad intelectual a través de Internet;
  5. evitar la proliferación de programas y técnicas maliciosos en línea;
  6. mejorar la seguridad de los productos y servicios digitales, así como la “higiene cibernética” de todos;
  7. reprimir las actividades mercenarias en línea y las acciones ofensivas de actores no estatales;
  8. trabajar juntos para fortalecer las normas internacionales pertinentes.

Críticas al Llamado de París

La lucha contra los ataques cibernéticos y el seguimiento de las elecciones fueron tareas reservadas para funcionarios del gobierno. Pero ahora gran parte de la actividad cívica del mundo se produce no solo en el ciberespacio, sino en plataformas privadas propiedad de compañías como Facebook y Microsoft. Eso significa que es de su interés comercial apoyar medidas como la llamada de París, cuyo objetivo es hacer de Internet un lugar más seguro y predecible.

El Llamado de París finalmente carece de detalles; no requiere que los gobiernos o corporaciones se adhieran legalmente a ningún principio específico. Es sobre todo un símbolo de la necesidad de diplomacia y cooperación en el ciberespacio, donde es difícil hacer cumplir las leyes de un solo país. Más notable que el propio acuerdo es quienes lo firmaron. Las principales corporaciones tecnológicas estadounidenses, como Microsoft, Facebook, Google, IBM y HP, respaldaron el acuerdo.

“El documento es imperfecto, pero llega cuando otros gobiernos, que no respaldaron el Llamado de París, mostraron una visión competitiva basada en la ciberseguridad basada en la soberanía y el control del estado”, dijo Drew Mitnick, asesor de políticas de Access Now. Mitnick dice que su organización está a la espera de la próxima iteración del Llamado de Paris, que está programada para reunirse el próximo año en Alemania.

 

Referencias:

diplomatie.gouv.fr (PDF)

wired.com

axios.com

zdnet.com

elfinanciero.com.mx

peruinforma.com

leer más
Isaul CarballarMás de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

Atrapan a hacker Ruso buscado por EEUU en Bulgaria

Hacker Ruso acusado de fraude en línea y buscado por los Estados Unidos es arrestado en Bulgaria

Manos de hombre con chaleco rojo sobre teclado de computadora con códigoUn ciudadano ruso acusado de fraude en línea que involucra millones de dólares ha sido arrestado en Varna, Bulgaria, por una orden emitida por los Estados Unidos y está a la espera de un procedimiento de extradición, según un comunicado emitido el jueves por el Tribunal de Distrito de Varna.

Una portavoz del Departamento de Justicia de Estados Unidos se negó a comentar sobre el arresto. “Como una política de larga data, el Departamento de Justicia de los Estados Unidos generalmente no hace comentarios sobre asuntos relacionados con la extradición hasta que el acusado se encuentre en los Estados Unidos. No hay nada público en este momento”, dijo a CNN la portavoz del Departamento de Justicia de los Estados Unidos, Nicole Navas Oxman.

El ciudadano ruso, nombrado por el tribunal como Alexander Zh., De 38 años, con el apellido abreviado, ha sido acusado de fraude electrónico y conspiración para cometer fraude informático que resultó en daños de al menos $ 7 millones.

El acusado y sus cómplices están acusados ​​de engañar a los anunciantes para que realicen pagos por tráfico falso en línea a sus sitios web y anuncios, que fue generado por un software que crearon para parecerse a usuarios reales que navegan por Internet.

Las autoridades estadounidenses los acusan de haber mantenido una red informática con servidores en Dallas, Texas.

Según la orden de arresto emitida por el Tribunal de Distrito de EE. UU. Para el distrito este de Nueva York, los delitos se cometieron entre septiembre de 2014 y diciembre de 2016.

El Tribunal de Distrito de Varna encontró “la medida más apropiada de detención contra el ciudadano ruso como ‘detención provisional’ hasta el inicio del proceso de extradición real”, según una declaración del tribunal.

Las autoridades búlgaras realizaron búsquedas en la casa de Alexander Zh. para recopilar pruebas para el procesamiento en los Estados Unidos, dijo el tribunal.

Si lo encuentran culpable, enfrenta hasta 20 años de prisión en los Estados Unidos, una multa o ambos. Sus acciones también son punibles bajo la ley búlgara, dijo el tribunal.

Alexander Zh. dijo a la corte que él ha estado en Bulgaria durante 8 años y que ha estado viviendo allí permanentemente durante los últimos cuatro. Él tiene una tarjeta de identificación búlgara y su propia casa en Varna.

El consulado general de Rusia en Varna, Vladimir Klimanov, dijo el viernes a la agencia estatal rusa de noticias TASS que las autoridades rusas se enteraron de que su esposa había arrestado a Alexander Zh. “No hemos recibido ninguna información oficial. En estas circunstancias, el Consulado General tomará todas las medidas necesarias”, dijo.

 

Referencia:

Escrito originalmente por Radina Gigova para cnn.com

leer más
Isaul CarballarAtrapan a hacker Ruso buscado por EEUU en Bulgaria

¿La tercera guerra mundial entre Rusia y Occidente?

6 Evidencias indican que Rusia y Occidente pueden estar precipitándose hacia una tercera guerra mundial

Ciberguerra Oriente vs Occidente

Con el reciente anuncio de que el gobierno de los EEUU publicó muestras de herramientas de hackeo aparentemente pertenecientes al gobierno Ruso, parece que estamos aproximándonos cada vez más a una tercera guerra mundial, esta vez entre oriente y occidente.

Robo de datos, hackeos institucionales, espionaje en el ciberespacio y mas, evidencian que Rusia y Occidente están cada vez más cerca de una guerra cibernética. Te contamos todos los detalles a continuación.

A casi 20 años del final de la Guerra Fría, Rusia y Occidente nuevamente se precipitan hacia una nueva guerra que, en el mejor de los casos, podría terminar siendo cibernética. Reunimos algunas evidencias de importantes noticias que han salido a la luz en los últimos días.

Espionaje en Reino Unido y EEUU

Hace unos meses, Reino Unido y EEUU sacaron a la luz un informe en el que acusaban a Rusia de un hackeo a las principales redes de tráfico de internet, que según tenía como objetivo el robo de datos y el espionaje masivo.

Lo más alarmante es que con ese poder de acceso, Rusia podría ocasionar un apagón eléctrico masivo según señaló un funcionario de la Casa Blanca.

El tema del espionaje en cuestión parece un déjà vu de la Guerra Fría, así como la amenaza constante de apagones masivos. Solo que ahora es mucho más posible a través de las redes y Rusia ha demostrado tener la capacidad para lograrlo.

El NCSC está en alerta máxima

El Centro Nacional de Ciberseguridad de Reino Unido, o NCSC, por sus siglas en inglés, notificó que está en alerta máxima ante otra posible movida rusa. “Rusia es nuestro adversario hostil y más capaz en el espacio cibernético, por lo que lidiar con sus ataques es una gran prioridad para el NCSC y nuestros aliados de EEUU”, reza un comunicado emitido por la administración de Ciaran Martin, jefe del NCSC.

La ofensiva es de ambas partes

No se sabe si la injerencia rusa es con intenciones destructivas, ni siquiera Reino Unido y EEUU han podido hacer claramente esa acusación. Pero lo que sí es cierto es que ambos países están haciendo actividades similares dentro de Rusia, posicionándose en redes de ese país para responder o en el peor de los casos atacar.

El GCHQ

Otra evidencia de que las cosas no van bien y de que podríamos estar muy cerca de una guerra cibernética, son las palabras de Jeremy Fleming, el jefe del Cuartel General de Comunicaciones del Gobierno, GCHQ, por sus siglas en inglés, uno de los servicios de inteligencia de Reino Unido, quien se refirió públicamente al uso de la capacidad ofensiva cibernética de su país.

“Durante más de una década, comenzando en el conflicto en Afganistán, el GCHQ ha sido pionero en el desarrollo y uso de técnicas cibernéticas ofensivas. Con esto me refiero a tomar medidas en internet que tengan un impacto directo en el mundo real”, dijo Fleming. “Podemos tratar de cancelar el servicio, interrumpir una actividad en línea específica o incluso destruir equipos y redes”, agregó.

El robo de datos podría tener intenciones de castigo

Las hipótesis afirman que el interés de Rusia por robar datos sería husmear en la información comprometedora de sus opositores para publicarla. De esta manera castigaría y debilitaría los sistemas políticos de occidente, no reparando en la posible guerra cibernética que podría desencadenarse.

La doctrina rusa de la guerra híbrida

Por último, otro punto alarmante que nos hace pensar en una guerra cibernética es que, por su doctrina de guerra híbrida, Rusia considera tan importante los flujos de información como la actividad militar tradicional. Para ellos, todo forma parte del mismo conjunto y estudian tácticas de guerra en ambos espacios.

Estas son algunas de las evidencias alarmantes que nos indican que si alguno de los dos bandos decide intensificar las cosas, podríamos caer de inmediato en una guerra cibernética.

 

Referencia:

agenciafe.com

leer más
Diarleth¿La tercera guerra mundial entre Rusia y Occidente?

EEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

El Cyber comando de los EEUU está lanzando muestras de malware atribuidas a grupos de hackers Rusos como un esfuerzo para compartir información

Hacker frente a computadora con banderas de EEUU y Rusia atrás

  • Cibercomando de los EEUU hizo públicas muestras de códigos de hackeo (malware)
  • Razón principal es para compartir información de ciberseguridad y posiblemente fines geopolíticos y/o de estrategia militar
  • Herramientas han sido atribuidas a Rusia por diversas empresas de ciberseguridad

Por lo general, son los rusos los que vuelcan los archivos de sus enemigos. Esta semana, el Comando Cibernético de los Estados Unidos (CYBERCOM, por sus siglas en inglés), una parte del ejército encargado de las misiones centradas en hacking y la ciberseguridad, comenzó a lanzar públicamente muestras no clasificadas de malware de los adversarios que ha descubierto.

CYBERCOM dice que la drástica medida es para mejorar el intercambio de información entre la comunidad de seguridad cibernética, pero de alguna manera podría verse como una señal para aquellos que hackean los sistemas de EEUU. Una señal indicando algo así como ‘nosotros también podemos hacer públicas sus herramientas y tácticas de hacking‘.

“Esto pretende ser un esfuerzo perdurable y continuo de intercambio de información, y no está enfocado en ningún adversario en particular”, dijo Joseph R. Holstead, director interino de asuntos públicos de CYBERCOM.

El viernes, CYBERCOM subió varios archivos a VirusTotal, un motor de búsqueda y repositorio de Google para código malware. Una vez arriba, los usuarios de VirusTotal pueden descargar el malware, ver qué productos antivirus o de ciberseguridad probablemente lo detectan, y ver enlaces a otras piezas de código malicioso.

Desde Rusia con amor

Una de las dos muestras que CYBERCOM distribuyó el viernes está marcada como proveniente de APT28, un grupo de hackers vinculado al gobierno ruso, según varias firmas de ciberseguridad, según lo confirmado por VirusTotal. Entre ellos se incluyen Kaspersky Lab, Symantec y Crowdstrike, entre otros. El grupo de cibercriminales APT28 también se le conoce como Sofacy y Fancy Bear.

Adam Meyers, vicepresidente de inteligencia de CrowdStrike, dijo que la muestra parecía nueva, pero las herramientas de la compañía la detectaron como maliciosa en el primer contacto. Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab, dijo que la muestra “fue conocida por Kaspersky Lab a finales de 2017” y fue la misma que se usó en ataques en Asia Central y el sudeste de Europa en ese momento.

“Al informar sobre ello, los investigadores de Kaspersky Lab señalaron que parecía interesante que estas organizaciones compartieran la superposición como objetivos anteriores de Turla [otro grupo de hacking ruso]. En general, no es “nuevo” sino que está disponible para el público de VirusTotal “.

El malware en sí no parece estar todavía activo. Un portavoz de Symantec dijo que los servidores de comando y control, las computadoras que le dicen al malware qué comandos ejecutar o almacenar datos robados, ya no funcionan. El vocero agregó que Symantec detectó la muestra cuando la compañía actualizó sus herramientas de detección hace un par de meses.

CYBERCOM anunció su nueva iniciativa el lunes y cargó sus dos primeras muestras el mismo día.

 

Referencia:

motherboard.vice.com

leer más
Isaul CarballarEEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

Nueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Un malware similar en naturaleza a Stuxnet, pero más agresivo y sofisticado supuestamente afectó la infraestructura y las redes estratégicas en Irán

Virus StuxnetUn virus informático malicioso similar a Stuxnet, pero “más violento, más avanzado y más sofisticado” ha provocado agitación en la infraestructura interna de Irán, dijo el miércoles un informe de la televisión israelí.

El informe de televisión se emitió después de que se reveló públicamente que la agencia de inteligencia Mossad había frustrado un complot de asesinato iraní en Dinamarca. 48 horas antes de eso, Irán reconoció que el teléfono móvil del presidente Hassan Rouhani había sido interceptado.

También sigue una serie de golpes de inteligencia israelíes contra Irán, incluida la extracción de Teherán en enero por el Mossad, del contenido de un vasto archivo que documenta el programa de armas nucleares de Irán y los detalles del Primer Ministro Benjamin Netanyahu en la ONU en septiembre de otros presuntos activos nucleares y de misiles iraníes dentro de Irán, en Siria y en el Líbano.

Calificándolo como uno de los “mayores logros” de la inteligencia israelí, el primer ministro israelí, Benjamain Netanyahu, dijo que los documentos, cuadros, videos y planos “incriminatorios” fueron compartidos con los Estados Unidos, y que “pueden responder por su autenticidad”.

Los funcionarios israelíes están mudos ante cualquier posibilidad de que hayan contribuido a la infiltración cibernética.

Los detalles sobre el supuesto nuevo ataque son superficiales en este momento, ya que no hay detalles sobre el supuesto ataque, el daño que causó o sus objetivos.

“¿Recuerdan a Stuxnet, el virus que penetró en las computadoras de la industria nuclear iraní?”, Se preguntó en el informe sobre las noticias israelíes Hadashot. Irán “ha admitido en los últimos días que nuevamente enfrenta un ataque similar, de un virus más violento, más avanzado y más sofisticado que antes, que ha afectado a la infraestructura y las redes estratégicas”.

Al referirse a la última versión de un nuevo virus informático, The Times of Israel dice que el informe de la televisión del miércoles señaló que “en el pasado, Estados Unidos e Israel habían trabajado juntos en operaciones”. Tratando de establecer si Israel tenía algún rol en el último ataque cibernético, el informe de la televisión decía: “Hemos intentado aclararlo. Se niegan a comentar “.

¿Por qué es tan peligroso Stuxnet?

Stuxnet es un virus informático malicioso que se inició por primera vez hace ocho años y se cree que fue la creación de las agencias de inteligencia en los EEUU e Israel.

Stuxnet es un conjunto de herramientas avanzadas específicamente diseñadas para afectar a equipos de sistemas de control industriales de la marca Siemens. Más específicamente, Stuxnet puede reprogramar los PLC (por sus siglas en inglés Controlador Lógico Programable) para centrífugas de enriquecimiento de uranio en varias instalaciones en Irán.

Construido para propósitos de sabotaje, el malware fue sigiloso en sus acciones y diseñado para parecer como si el daño que causó a las centrífugas fuera de hecho el resultado de un mal funcionamiento accidental del equipo. Llegando a pasar desapercibido por meses.

El virus informático Stuxnex destruyó miles de centrifugadoras involucradas en el controvertido programa nuclear de Irán en las centrales eléctricas de Natanz y Bushehr al infectar las centrifugadoras y obligarlas a operar a velocidades superiores, lo que fue perjudicial para el proceso de enriquecimiento.

Irán se movió para aumentar sus capacidades cibernéticas en 2011 luego de que el virus informático Stuxnet destruyó miles de centrifugadoras involucradas en su programa nuclear en disputa. Se cree que Stuxnet es una creación estadounidense e israelí.

La guerra cibernética se sigue gestando

Eyal Wachsman, director ejecutivo de la compañía de seguridad cibernética israelí Cymulate, dijo a The Media Line que “Irán ha atacado físicamente a objetivos civiles y militares de todo el mundo con bombas y armas, y en los últimos años, ha llevado la lucha al ciberespacio.

“Se cree que los Estados Unidos e Israel, maestros de la guerra cibernética, han estado detrás de contraataques contra Irán en el pasado, incluido el virus Stuxnet en 2010”, dijo Wachsman. Ese virus saboteaba los esfuerzos de enriquecimiento nuclear de Irán al acelerar y dañar sus centrifugadoras.

“En 2012, el virus Flame se implementó en las redes informáticas de Irán que recopilan información, y Duqu 2.0 se utilizó en 2015 durante las conversaciones nucleares. Probablemente hubo ataques adicionales que han recibido poca o ninguna atención “, continuó Wachsman.

Después de que las sanciones de los Estados Unidos contra Irán lleguen a plena vigencia el 5 de noviembre, “Irán podría sentirse acorralado y, por lo tanto, podría desencadenar un ataque cibernético muy grave, lo que obligará a los Estados Unidos e Israel a tomar represalias al mismo nivel o posiblemente a un nivel superior”.

Los servicios de inteligencia israelíes ayudarán a Estados Unidos a restablecer las sanciones contra Irán, dijo el lunes el ministro de Seguridad Pública, Gilad Erdan, mientras Teherán, la Unión Europea y China rechazan las acciones económicas.

“Israel debe continuar actuando para que Irán sienta toda la fuerza de las sanciones estadounidenses, y para que los países europeos cambien su posición hipócrita, apoyen el acuerdo nuclear equivocado y se unan al régimen de sanciones”, dijo Erdan.

 

Referencias:

https://www.timesofisrael.com/tv-report-israel-silent-as-iran-hit-by-computer-virus-more-violent-than-stuxnet/

http://www.themedialine.org/news/iran-admits-to-being-hit-by-potent-cyber-attack/

https://www.bleepingcomputer.com/news/security/new-stuxnet-variant-allegedly-struck-iran/

https://apnews.com/75f84b91a7c94fdd94e57707a5d77ccc

 

leer más
Isaul CarballarNueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Anuncian supuesto hackeo de vuelo de Malasya Airlines desaparecido en 2014

Explosivo giro en el misterio del vuelo MH370: pasajero ‘curioso’ con habilidades para hackear sistema de comunicaciones de un avión estaba a bordo del mismo

Avión de Malaysia Airlines

  • La policía francesa investiga si los datos de navegación del MH370 fueron hackeados antes del accidente
  • El pasajero con habilidades para hackear la unidad de comunicaciones estaba sentado directamente debajo de ella
  • Si los datos fueron cambiados o eliminados, los esfuerzos de recuperación podrían estar buscando en el lugar equivocado

Dando un giro al misterio que por casi 5 años ha rodeado el misterioso vuelo MH370 de Malasya Airlines, desaparecido el 8 de marzo de 2017 con 239 pasajeros a bordo. Los últimos informes denuncian la posibilidad de un grupo de hackers dentro de la misma aeronave como posibles autores del siniestro.

El francés Ghyslain Wattrelos, quien perdió a su esposa e hijos en el accidente del vuelo MX370, es quien reportó el último hallazgo. El no ha dejado de lado el caso y ha recibido el reporte a partir de las investigaciones de la Agencia de Transporte Aéreo (GTA por sis siglas en francés Gendarmerie des Transports Aériens).

La GTA ha detectado inconsistencias en el reporte final del gobierno Malayo. Por lo que ha llevado la investigación a nuevas áreas.

Dos de estas áreas son la empresa aeronáutica Boeing y la agencia federal de investigaciónes (FBI) ambas en los EEUU.

El camino no ha sido fácil ya que Boeing no ha cooperado tanto como podría argumentando clausulas de confidencialidad y secretos industriales.

Los investigadores aún desean hablar con una tercera entidad, quién evitaron nombrar, para obtener mayor información que podría ayudar a resolver el misterio.

Los hallazgos hasta el momento apuntan a que los datos proporcionados por la empresa satelital Inmarsat, encargados del trazado de rutas aéreas, son erróneos o apócrifos.

En caso de ser ciertos dichos reportes, se pondría en duda toda la investigación, incluyendo la evidencia encontrada hasta el momento.

Lo anterior no sólo cambia totalmente el resultado del reporte oficial, sino que además pondría en evidencia una posible implantación de evidencia perpetuada para cerrar el caso.

Un peculiar grupo de hackers

El pasajero francés además ha reportado el perfil de tres pasajeros que podrían estar involucrados. Entre ellos se encuentra un Malayo, un Iraní, un Norteaméricano y dos Ucranianos.

Se ha reportado que días antes del vuelo, el pasajero Iraní pidió a sus amigos por Facebook que rezaran por él. EL perfil de los Ucranianos y Norteamericano está catalogado como atípico.

La lista de sospechosos del hackeo de la aeronave la encabeza un pasajero Malayo, quién era un experto en aeronáutica y estaba sentado justo detrás del sistema de monitoreo satelital Inmarsat.

Aunque el grupo de franceses hablan de la posibilidad de un hackeo del vuelo, con modificación de registros de vuelo, no mencionan nada sobre los posibles motivos del siniestro.

 

Referencia: https://www.dailymail.co.uk/news/article-6310461/Was-MH370s-flight-data-hacked-disguise-route.html

leer más
Isaul CarballarAnuncian supuesto hackeo de vuelo de Malasya Airlines desaparecido en 2014

Nuevo troyano se disfraza como popular aplicación de mensajería Telegram

Kaspersky detecta ciberespionaje a representaciones diplomáticas Asia Central y Afganistán a través de troyano denominado ‘Octopus’ que simula aplicación de mensajería ‘Telegram’

Pulpo en fondo del mar

  • Actor de lengua rusa explota popular aplicación de mensajería confidencial
  • Principales objetivos en Asia Central y Afganistán
  • Fines políticos podrían estar detrás

Investigadores en Kaspersky Lab han identificado una serie de ataques de ciberespionaje dirigidos a organizaciones diplomáticas en Asia Central.

El troyano apodado ‘Octopus’ está siendo disfrazado como una versión del popular sistema de mensajería Telegram. Una vez instalado, proporciona a sus autores acceso remoto a las máquinas de las víctimas.

Los investigadores especulan que esta última ola de ataques podría deberse en parte a la noticia de una posible prohibición de Telegram Messenger en la región.

Los autores del malware distribuyeron Octopus dentro de un archivo que suplantaba una versión alternativa de Telegram Messenger en los partidos de oposición kazajos. El lanzador estaba disfrazado con un conocido símbolo de uno de los partidos políticos de la oposición en la región, y habría ocultado el troyano en su interior.

Una vez activado, Octopus brinda a los atacantes un medio para realizar varias operaciones con datos en la computadora infectada, incluida la eliminación, los bloqueos, las modificaciones, la copia y la descarga.

De esta manera, los actores pueden espiar a sus objetivos, robar información confidencial y obtener acceso de puerta trasera a los sistemas. Según Kaspersky, existen similitudes con otra operación notoria de ciberespionaje llamada Zoo Park, en la que el malware utilizado para la amenaza persistente avanzada (APT) estaba imitando una aplicación de Telegram para espiar a las víctimas.

Al emplear los algoritmos de Kaspersky que reconocen similitudes en el código del software, los investigadores descubrieron que Octopus podría tener vínculos con DustSquad, un actor de amenaza de ciberespionaje de habla rusa detectado previamente en los antiguos países de la URSS en Asia Central, así como en Afganistán.

En los últimos dos años, los investigadores han descubierto cuatro campañas DustSquad con malware personalizado de Android y Windows dirigido a usuarios privados y entidades diplomáticas por igual.

Denis Legezo, un investigador de seguridad en Kaspersky Lab, dice que la compañía ha visto muchos delincuentes cibernéticos dirigidos a entidades diplomáticas en Asia Central en 2018.

“DustSquad ha estado trabajando en la región durante varios años y podría ser el grupo detrás de esta nueva amenaza. Aparentemente, el interés en los asuntos cibernéticos de esta región está creciendo constantemente. Recomendamos encarecidamente a los usuarios y organizaciones de la región que estén atentos a sus sistemas e instruir a los empleados a hacer lo mismo “, dice.

 

Referencias:

http://www.elfinanciero.com.mx/tech/kaspersky-detecta-ciberespionaje-a-representaciones-diplomaticas

https://www.itweb.co.za/content/O2rQGMApoYJ7d1ea

 

leer más
Isaul CarballarNuevo troyano se disfraza como popular aplicación de mensajería Telegram

Herramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Kaspersky informa que detectó infecciones provocadas con DarkPulsar, presunto malware desarrollado por la NSA

Kaspersky Lab

  • La compañía de ciberseguridad Kaspersky anuncia que detectó malware desarrollado por la Agencia Nacional de Seguridad (NSA por sus siglas en Inglés) de los EEUU.
  • Las víctimas incluyen infraestructura en energía nuclear, telecomunicaciones, informática y aeroespacial de Rusia, Irán y Egipto
  • No está claro si las infecciones son provocadas por hackers o la misma NSA

Los malhechores están usando herramientas de hacking desarrolladas por la NSA. Las mismas fueron liberadas el público el año pasado por un grupo de hackers conocido como los Shadow Brokers. dichas herramientas se utilizaron para infectar y espiar los sistemas informáticos utilizados en las industrias aeroespacial, de energía nuclear y otras industrias de infraestructura clave.

“Encontramos alrededor de 50 víctimas, pero creemos que la cifra es mucho mayor”, dijeron los investigadores de Kaspersky Lab.

“Todas las víctimas estaban ubicadas en Rusia, Irán y Egipto, y típicamente los servidores Windows 2003/2008 eran los que estaban infectados”, dijo la compañía. “Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y R&D”.

Los investigadores de Kaspersky pudieron analizar DarkPulsar porque fue una de las muchas herramientas de piratería que se descargaron en línea en la primavera de 2017.

Las herramientas de piratería fueron filtradas por un grupo de piratas informáticos conocidos como los Shadow Brokers, quienes afirmaron que los robaron del Equation Group, un nombre en clave dado por la industria de seguridad cibernética a un grupo que se cree universalmente que es la NSA.

DarkPulsar pasó casi desapercibido durante más de 18 meses, ya que el volcado de 2017 también incluía EternalBlue, el exploit que impulsó los tres brotes de ransomware del año pasado: WannaCry, NotPetya y Bad Rabbit.

Casi todos los ojos de la comunidad infosec se han centrado en EternalBlue durante el último año, y por una buena razón, ya que el exploit ahora se ha convertido en un malware básico.

Pero en los últimos meses, los investigadores de Kaspersky también han comenzado a profundizar en las otras herramientas de piratería filtradas por los Shadow Brokers el año pasado.

Los investigadores de Kaspersky también creen que la cantidad de computadoras infectadas con DarkPulsar es probablemente más grande que las 50 detecciones que encontraron.

El malware también incluía una función de eliminación automática, que los operadores de Equation Group probablemente usaban para cubrir sus huellas después de que los Shadow Brokers abandonaron sus herramientas en línea.

“Entonces, las 50 víctimas son muy probablemente sólo las que los atacantes simplemente han olvidado”, dijeron los investigadores.

En cuanto a quién está detrás de estos hacks, Kaspersky no lo dijo. No está claro si los Shadow Brokers lograron tener en sus manos el malware DarkPulsar completo, pero luego optaron por no incluir la puerta trasera real en el paquete de herramientas filtradas.

Estas 50 infecciones podrían ser fácilmente el trabajo de las operaciones de espionaje cibernético de Equation Group o el trabajo de los Shadow Brokers.

 

Referencias:

DarkPulsar

https://www.zdnet.com/article/kaspersky-says-it-detected-infections-with-darkpulsar-alleged-nsa-malware/

https://www.theregister.co.uk/2018/10/19/leaked_nsa_malware/

 

leer más
Isaul CarballarHerramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

35 millones de registros de votantes a la venta en popular foro de hacking

Investigadores descubrieron que hasta 35 millones de registros de votantes de 19 estados de los EEUU se han puesto a la venta en popular foro de hacking

Imagen de pantalla del foro donde se vende la base electoral

  • Descubren registro a la venta de 35 millones de votantes de EEUU
  • 19 son los estados afectados, con Kansas y Oregon los principales afectados al momento
  • Precio de las bases de datos varía de los US$150 a los US$12,500

Investigadores de Anomali Labs e Intel 471 dijeron el lunes que descubrieron en comunicaciones de la dark web una gran cantidad de bases de datos de votantes a la venta, incluida valiosa información de identificación personal e historial de votación.

Esto representa la primera indicación de los datos de registro de votantes de 2018 a la venta en un foro de piratería, dijeron los investigadores. El descubrimiento se produce semanas antes de las elecciones de mediados de noviembre en Estados Unidos.

“Con las elecciones intermedias de noviembre de 2018 a solo cuatro semanas, los actores maliciosos podrían utilizar la disponibilidad y la vigencia de los registros de votantes, si se combinan con otros datos violados, para interrumpir el proceso electoral o perseguir el robo de identidad a gran escala”, informaron los investigadores en Anomali Labs en un correo el lunes.

“Dados los reclamos de proveedores ilícitos de actualizaciones semanales de los registros de votantes y la alta reputación del foro de piratas informáticos, evaluamos con una confianza moderada que él o ella pudieron tener acceso permanente a la base de datos y/o contacto con funcionarios gubernamentales en cada estado”. La declaración abre la posibilidad de un involucramiento entre agentes oficiales de gobierno y piratas informáticos anónimos.

Los investigadores no publicaron cuál era el nombre del foro de piratería, ni la línea de tiempo de las ventas.

La investigación afecta a 19 estados e incluye 23 millones de registros en solo tres de los 19 estados, dijeron los investigadores. Los estados afectados incluyen: Georgia, Idaho, Iowa, Kansas, Kentucky, Louisiana, Minnesota, Mississippi, Montana, Nuevo México, Oregon, Carolina del Sur, Dakota del Sur, Tennessee, Texas, Utah, Virginia Occidental, Wisconsin y Wyoming.

No se proporcionaron recuentos de registros para los 16 estados restantes, pero sí incluían precios para cada estado. El grupo de investigación dijo que cada lista de votantes varía de US$150 a US$12,500, según el estado. Estos precios podrían estar relacionados con el número de registros de votantes por base de datos.

Los registros contienen datos de cada votante que incluyen su nombre completo, números de teléfono, direcciones físicas, historial de votación y otros datos de votación no especificados.

“Estimamos que todo el contenido de la divulgación podría superar los 35 millones de registros”, dijo el equipo de investigación. “Los investigadores han revisado una muestra de los registros de la base de datos y han determinado que los datos son válidos con un alto grado de confianza”.

Crowdfunding para compra de votos

Además, los investigadores dijeron que a las pocas horas del anuncio inicial, un “actor de alto perfil” organizó una campaña de financiación colectiva, también conocida como crowdfunding, para comprar cada una de las bases de datos de registro de los votantes.

“Según el actor, las bases de datos compradas se pondrían a disposición de todos los miembros registrados del foro de hackers, con acceso anticipado a los donantes del proyecto”, dijeron los investigadores.

Hasta ahora, de las 19 bases de datos disponibles, Kansas ha sido adquirida y publicada como parte de esa campaña de financiamiento colectivo, y Oregon está a la cabeza como el segundo estado que se publicará.

Las preocupaciones en torno a los datos de los votantes en los Estados Unidos han seguido en su apogeo a medida que se acercan las elecciones de Noviembre.

leer más
Isaul Carballar35 millones de registros de votantes a la venta en popular foro de hacking