Brasil

All posts tagged Brasil

1564057812_794353_1564112378_noticia_normal_recorte1.jpg

Arrestan a 4 hackers en Brasil por hackeo del presidente y otros políticos

Esta semana, cuatro sospechosos fueron arrestados en Brasil por piratear más de 1,000 cuentas de Telegram, incluidas algunas propiedad de funcionarios del gobierno brasileño, como el presidente de Brasil, Jair Bolsonaro, el ministro de Justicia, Sergio Moro, y el ministro de Economía, Paulo Guedes.

Otros políticos de bajo rango, como la congresista Joice Hasselmann, un aliado clave del presidente Bolsonaro y el ministro Moro, también afirmaron haber sido blanco a principios de esta semana.

Según documentos judiciales, los cuatro usaron un truco de piratería relativamente desconocido para vincular las cuentas de Telegram de las víctimas a sus teléfonos.

Los medios locales informaron que los piratas informáticos utilizaron el acceso a las cuentas para enviar mensajes de spam con enlaces maliciosos a los contactos de los usuarios. Sin embargo, el grupo también parece haber dirigido y secuestrado cuentas de políticos locales, de donde se cree que han filtrado mensajes personales.

LA INVESTIGACIÓN COMENZÓ DESPUÉS DE QUE SE FILTRARON LOS MENSAJES DE TELEGRAM

Las autoridades brasileñas afirman que algunos de los mensajes llegaron a los periodistas en The Intercept luego del hackeo del ministro de Justicia Sergio Moro, quien afirma que tuvo lugar el 5 de junio.

El sitio de noticias en línea, en asociación con otros medios de comunicación locales importantes, comenzó a publicar una serie de historias cuatro días después basadas en mensajes de Telegram que Moro había intercambiado con Deltan Dallagnol, un fiscal de la Operación Lavo Jato, (o Autolavado), una investigación criminal en curso sobre acusaciones de corrupción y lavado de dinero que condujo al arresto de varios empresarios y políticos locales de alto perfil, especialmente el ex presidente Luis Inácio Lula da Silva.

Visto como un héroe imparcial anticorrupción por algunos y como un cruzado antiizquierdista por otros, la credibilidad de Moro ha sido puesta en duda ya que los intercambios de Telegram sugieren que él, mientras todavía era juez, instruyó a los fiscales en el juicio de Lula, que está en contra Ley brasileña. La sentencia de prisión eliminó a Lula de la carrera presidencial del año pasado , después de lo cual Bolsonaro nombró a Moro como Ministro de Justicia.

Moro, quien inició la investigación de la Operación Lavo Jato, afirmó que los mensajes no mostraban ningún delito, y que solo eran consejos para el fiscal que se hizo cargo del caso.

Una investigación criminal se puso en marcha, de cualquier manera. Los cuatro arrestos anunciados esta semana son el resultado de la investigación del gobierno brasileño sobre la fuente de esas filtraciones.

Los nombres de los cuatro presuntos hackers son: Danilo Cristiano Márquez (33), Walter Delgatti Neto (30), Judy Gustavo Henrique Elias Santos (28) y Suelen Priscilla de Oliveira (25), la esposa de Santos.

Los cuatro fueron arrestados con una orden temporal de cinco días, pero no han sido acusados ​​oficialmente. Los investigadores dijeron que encontraron alrededor de 600,000 reales brasileños (~ $ 160,000) en una de las cuentas bancarias del pirata informático, que el sospechoso no pudo justificar en función de sus ingresos.

En respuesta a los arrestos, el fundador de The Intercept, Glenn Greenwald, proporcionó a la revista brasileña Veja un intercambio con su propia fuente, quien negó tener algo que ver con el incidente de secuestro de la cuenta de correo de voz de Telegram. Greenwald le dijo a Veja que el primer contacto con la fuente tuvo lugar un mes antes de que Moro afirmara haber sido pirateado.

No somos hackers novatos, el [pirateo del correo de voz] no es coherente con nuestra forma de operar: accedemos a Telegram con el objetivo de extraer conversaciones y hacer justicia, revelando la verdad a las personas“, agregó.

EL TRUCO DE SECUESTRO DE LA CUENTA DE CORREO DE VOZ

La técnica de pirateo utilizada por los cuatro presuntos autores, como se describe en un documento judicial (link en PDF) que condujo a su arresto, fue documentada por primera vez en 2017 (link en Hebreo) por Ran Bar-Zik, un desarrollador web israelí en Oath.

Mientras Bar-Zik mostró el ataque contra una cuenta de WhatsApp, un año más tarde, en 2018, el investigador de seguridad Martin Vigo amplió esta técnica (cracker de correo de voz), mostrando cómo los atacantes podían usar las cuentas de correo de voz para secuestrar cuentas en otros proveedores de servicios, como Facebook, Google, Twitter, WordPress, eBay o PayPal. Aparentemente, esta técnica también funciona con las cuentas de Telegram.

La mayoría de los servicios de mensajería instantánea (IM) de hoy en día permiten a los usuarios recibir códigos de acceso únicos por SMS, pero también como un mensaje de voz.

La idea general detrás de este truco es que los usuarios de aplicaciones de mensajería instantánea que tienen habilitado el correo de voz para sus números de teléfono están en riesgo si no cambian la contraseña predeterminada de la cuenta del correo de voz, que en la mayoría de los casos tiende a ser 0000 o 1234.

Bar-Zik descubrió que si el número de teléfono está ocupado con otra llamada, o si el usuario no contesta su teléfono tres veces seguidas, el código de acceso único enviado por mensaje de voz finalmente se redirige a la cuenta de correo de voz del usuario.

Según las autoridades brasileñas, los cuatro piratas informáticos instalaron aplicaciones de Telegram en sus teléfonos, pero ingresaron el número de teléfono de políticos de alto perfil cuando se autenticaron.

Solicitaron mensajes de correo de voz para el proceso de autenticación, mientras llamaban a los teléfonos de los objetivos, para asegurarse de que el código de acceso único ingresara en la cuenta del correo de voz.

Luego, los cuatro usaron proveedores de VoIP para imitar el número de teléfono del objetivo, llamado servicio de correo de voz de la empresa de telecomunicaciones, usaron una contraseña predeterminada para acceder a la cuenta de correo de voz del objetivo, recuperaron el código de acceso único y vincularon la cuenta de Telegram de la víctima a su dispositivo, obteniendo así acceso a la cuenta y su historial de mensajes.

Esta es la primera vez que este truco de secuestro de correo de voz se ha utilizado contra objetivos de alto perfil. La técnica no ha sido utilizada ampliamente por grupos criminales hasta ahora.

En medio de las consecuencias de los mensajes filtrados, los informes locales sugieren que el presidente Bolsonaro finalmente está considerando usar un teléfono móvil encriptado proporcionado por la Agencia de Inteligencia de Brasil (Abin).

Hasta el momento, Bolsonaro y sus ministros habían estado presionando para hacerlo debido al uso intensivo de las redes sociales , lo que no sería posible con los dispositivos Abin. Para la comunicación instantánea entre los usuarios de los dispositivos que proporciona, la agencia ha desarrollado la aplicación Athena, con contenido protegido por la plataforma de cifrado portátil PCPv2.

Otro lugar donde el secuestro de correo de voz ha sido popular es en Israel, donde la Autoridad Nacional de Seguridad Cibernética de Israel envió una alerta en octubre de 2018sobre un aumento en los ataques que aprovechan este método, instando a los usuarios a cambiar las contraseñas de las cuentas de correo de voz o deshabilitar el correo de voz para números de teléfono móvil en total.

leer más
Isaul CarballarArrestan a 4 hackers en Brasil por hackeo del presidente y otros políticos
ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador

Brasileño descubre un error que permite ataques DDoS extremos

Oracle acaba de publicar una actualización de seguridad para evitar que más de 2 millones de servidores que utilizan el servicio RPCBIND sufran posibles tipo DDoS amplificados

Gráfico ataque DDoS

  • Hay 2.6 millones de servidores usando el servicio RPCBIND
  • La falla en los servidores RPCBIND de Orcale permitiría ataques DDoS de hasta 69 GB por segundo

La falla que permite esta exploración fue descubierta por el investigador brasileño Mauricio Corrêa, fundador de la empresa gaúcha de seguridad XLabs Security.

Una exploración de este fallo tiene el potencial de causar grandes problemas en Internet, asegura Mauricio. “Una prueba de concepto (POC) hecha en sólo un servidor de XLabs generó un tráfico de 69 gigabits por segundo”, dijo a Cibersecurity.net.br.

En el primer día de este descubrimiento, el buscador Shodan indicaba la existencia de casi 2.6 millones de servidores usando el servicio RPCBIND. La multiplicación de ese exploit en un parque de 2,6 millones de servidores lleva a una conclusión aterradora.

¿Qué es la utilidad RPCBIND?

RPCBIND es el software que proporciona a los programas-clientes la información que necesitan sobre los programas de servidores disponibles en una red. Se ejecuta en el puerto 111 y responde con direcciones universales de los programas de servidor, para que los programas cliente puedan solicitar datos a través de RPC (llamadas de procedimiento remoto).

Estas direcciones se forman por el conjunto IP del servidor más puerto. Desde su lanzamiento, el RPCBIND recibe actualizaciones que cubren varias fallas, entre ellas las de seguridad. Esta, sin embargo, es el más grave descubrimiento hasta ahora.

El descubrimiento de la falta comenzó el 11 de junio de este año. En aquel día, una de las WAFs (web application firewalls) instalada en el SOC (seguridad de operaciones de seguridad) de XLabs detectó un patrón anormal de tráfico en la red que llamó la atención de Mauricio.

Los datos mostraban que había un ataque DDoS en marcha, venido de la puerta 111 de varios servidores, todos de otros países. “Decidimos entonces abrir un servidor con la puerta 111 expuesta en Internet, con las mismas características de aquellos que nos atacaban y seguimos monitoreando ese servidor durante semanas.

“Acabamos descubriendo que él estaba recibiendo peticiones para generar ataques”, explicó. Después de un análisis más profundo del asunto, fue posible reproducir el ataque en laboratorio. “Al analizar en el Shodan los servidores expuestos, se confirmó la extensión del problema”, añade Mauricio.

El problema descubierto por Mauricio es peor que el Memcrashed, detectado en febrero de este año. En este tipo de ataque distribuido de denegación de servicio (DDoS), existe una amplificación del tráfico con el uso de memcached, un servicio que no requiere autenticación, pero que ha estado muy expuesto en Internet por administradores de sistemas inexpertos. El servicio gira en el puerto UDP 11211 y su explotación por cibercriminales ya generó tráfico de 260GB según mediciones de la empresa Cloudflare.

Después de elaborar la POC (prueba de concepto), Mauricio informó el problema del área de seguridad de Oracle, ya que el RPCBIND es una solución originaria de Sun, que fue adquirida por la empresa en 2010. Envió la información para que los expertos de la empresa pudieran confirmar y evaluar el problema. La vulnerabilidad entró en el catálogo general y ganó el código CVE-2018-3172.

La versión original del post está disponible en el blog del autor: Paulo Brito.

 

leer más
EditorialBrasileño descubre un error que permite ataques DDoS extremos