Iran

All posts tagged Iran

hombre-en-el-medio.png

Ataque masivo a la infraestructura de la internet, advierte ICANN

ICANN, el organismo encargado de regular la designación de nombres de dominio, advirtió el viernes pasado sobre un ataque masivo a la infraestructura misma del internet, también conocido Sistema de Nombre de Dominio (DNS por sus siglas en inglés).

Logo ICANN

La Corporación de Internet para Nombres y Números Asignados (ICANN, por sus siglas en inglés) ha declarado que las partes clave de su infraestructura están bajo el “riesgo continuo y significativo” de los atacantes, que se cree que están respaldados por los estados.

El grupo advirtió sobre la amenaza después de una reunión de emergencia para discutir los ataques contra la infraestructura clave de Internet. Estos ataques podrían remontarse hasta 2017, según el analista de FireEye, Ben Read, pero han suscitado una creciente preocupación en los últimos meses en medio de crecientes ataques.

De acuerdo con la ICANN, los atacantes apuntan al Sistema de nombres de dominio (DNS), que traduce los nombres de dominio a direcciones IP para que los navegadores web puedan cargar contenido web y enrutar el tráfico a su destino previsto. El DNS a veces se conoce como la “guía telefónica de Internet”.

“Van por la infraestructura de Internet en sí”, dijo el director de tecnología de la ICANN, David Conrad, a la Agence France Press (AFP). “Ha habido ataques dirigidos en el pasado, pero nada como esto”.

¿Qué hacer ante estos ataques?

Estos ataques podrían usarse para interceptar o redirigir el tráfico de Internet, o para permitir que los piratas informáticos “suplanten” sitios web importantes, como sitios web gubernamentales.

En realidad es muy poco lo que el usuario promedio de internet puede hacer. Puesto en contexto, esto es el equivalente de alguien metiéndose a la oficina de correos, revisar u obtener algunas bases de datos, y dejar todo funcionando como de costumbre.

Ataque ICANN

Conrad agregó que no había una sola herramienta que pudiera usarse para abordar el problema. En cambio, la ICANN advierte que es necesario un endurecimiento general de las defensas web. Específicamente, solicitó una implementación más generalizada de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que protege el tráfico provisto por el DNS al agregar ‘firmas digitales’ criptográficas para la autenticación, lo que facilita la identificación de los datos que han sido manipulados. La DNSSEC también ayuda a los usuarios de Internet a prevenir ataques “hombre-en-el-medio” (man-in-the-middle), en los que los usuarios, sin saberlo, son redirigidos a sitios potencialmente maliciosos, dijo la ICANN.

“Los informes públicos indican que hay un patrón de ataques multifacéticos que utilizan diferentes metodologías”, dijo una declaración de la ICANN . “Algunos de los ataques apuntan al DNS, en el que se realizan cambios no autorizados a la estructura de delegación de nombres de dominio, reemplazando las direcciones de los servidores previstos por direcciones de máquinas controladas por los atacantes”.

“Este tipo particular de ataque, que se dirige al DNS, solo funciona cuando DNSSEC no está en uso”.

La adopción de DNSSEC se encuentra actualmente en aproximadamente el 20 por ciento.

En enero, las autoridades del gobierno de EEUU emitieron una advertencia sobre los ataques contra el DNS que se cree están orquestados por hackers respaldados por algún estado, también conocidos como APT’s. Se cree que las agencias del gobierno de los Estados Unidos están entre los objetivos de estos ataques.

”[Este tipo de ataque] es equivalente a que alguien mienta a la oficina de correos sobre su dirección, revise su correo y luego se lo entregue personalmente a su buzón”, dijo el Departamento de Seguridad Nacional. “Se podrían hacer muchas cosas perjudiciales para usted (o los remitentes)”.

Según FireEye, los atacantes “DNSpionage” han estado buscando nombres de correo electrónico y contraseñas para robar las credenciales de las cuentas en una escala masiva, en particular las de los registradores de sitios web y los proveedores de servicios de Internet en el Medio Oriente y algunas partes de Europa: “Hay evidencia de que está saliendo de Irán y se están haciendo en apoyo de Irán ”, dijo. Los objetivos incluyen gobiernos, servicios de inteligencia, aplicación de la ley, especialistas en seguridad cibernética, la industria petrolera y las aerolíneas.

Opinión: ¿La intención de estos ataques?

Lo que no está claro es los fines del porqué alguien decidiría atacar a la estructura misma de la web. Si me preguntas a mi, podemos suponer que son hackers de medio tiempo tratando de ganar el próximo premio al hackeo más grande.

Aunque por otro lado, también puede ser que sea parte de un movimiento underground para mover los cimientos mismo de la web, para generar conciencia al respecto, y quizá lograr salir del “monopolio” de ICANN.

La alternativa más aterradora y quizá también la más probable dado el calibre del ataque, es que sean hackers de Irán con fines geopolíticos en pos de una guerra cibernética.

En estos tiempos, todo es posible.

leer más
Isaul CarballarAtaque masivo a la infraestructura de la internet, advierte ICANN

Nueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Un malware similar en naturaleza a Stuxnet, pero más agresivo y sofisticado supuestamente afectó la infraestructura y las redes estratégicas en Irán

Virus StuxnetUn virus informático malicioso similar a Stuxnet, pero “más violento, más avanzado y más sofisticado” ha provocado agitación en la infraestructura interna de Irán, dijo el miércoles un informe de la televisión israelí.

El informe de televisión se emitió después de que se reveló públicamente que la agencia de inteligencia Mossad había frustrado un complot de asesinato iraní en Dinamarca. 48 horas antes de eso, Irán reconoció que el teléfono móvil del presidente Hassan Rouhani había sido interceptado.

También sigue una serie de golpes de inteligencia israelíes contra Irán, incluida la extracción de Teherán en enero por el Mossad, del contenido de un vasto archivo que documenta el programa de armas nucleares de Irán y los detalles del Primer Ministro Benjamin Netanyahu en la ONU en septiembre de otros presuntos activos nucleares y de misiles iraníes dentro de Irán, en Siria y en el Líbano.

Calificándolo como uno de los “mayores logros” de la inteligencia israelí, el primer ministro israelí, Benjamain Netanyahu, dijo que los documentos, cuadros, videos y planos “incriminatorios” fueron compartidos con los Estados Unidos, y que “pueden responder por su autenticidad”.

Los funcionarios israelíes están mudos ante cualquier posibilidad de que hayan contribuido a la infiltración cibernética.

Los detalles sobre el supuesto nuevo ataque son superficiales en este momento, ya que no hay detalles sobre el supuesto ataque, el daño que causó o sus objetivos.

“¿Recuerdan a Stuxnet, el virus que penetró en las computadoras de la industria nuclear iraní?”, Se preguntó en el informe sobre las noticias israelíes Hadashot. Irán “ha admitido en los últimos días que nuevamente enfrenta un ataque similar, de un virus más violento, más avanzado y más sofisticado que antes, que ha afectado a la infraestructura y las redes estratégicas”.

Al referirse a la última versión de un nuevo virus informático, The Times of Israel dice que el informe de la televisión del miércoles señaló que “en el pasado, Estados Unidos e Israel habían trabajado juntos en operaciones”. Tratando de establecer si Israel tenía algún rol en el último ataque cibernético, el informe de la televisión decía: “Hemos intentado aclararlo. Se niegan a comentar “.

¿Por qué es tan peligroso Stuxnet?

Stuxnet es un virus informático malicioso que se inició por primera vez hace ocho años y se cree que fue la creación de las agencias de inteligencia en los EEUU e Israel.

Stuxnet es un conjunto de herramientas avanzadas específicamente diseñadas para afectar a equipos de sistemas de control industriales de la marca Siemens. Más específicamente, Stuxnet puede reprogramar los PLC (por sus siglas en inglés Controlador Lógico Programable) para centrífugas de enriquecimiento de uranio en varias instalaciones en Irán.

Construido para propósitos de sabotaje, el malware fue sigiloso en sus acciones y diseñado para parecer como si el daño que causó a las centrífugas fuera de hecho el resultado de un mal funcionamiento accidental del equipo. Llegando a pasar desapercibido por meses.

El virus informático Stuxnex destruyó miles de centrifugadoras involucradas en el controvertido programa nuclear de Irán en las centrales eléctricas de Natanz y Bushehr al infectar las centrifugadoras y obligarlas a operar a velocidades superiores, lo que fue perjudicial para el proceso de enriquecimiento.

Irán se movió para aumentar sus capacidades cibernéticas en 2011 luego de que el virus informático Stuxnet destruyó miles de centrifugadoras involucradas en su programa nuclear en disputa. Se cree que Stuxnet es una creación estadounidense e israelí.

La guerra cibernética se sigue gestando

Eyal Wachsman, director ejecutivo de la compañía de seguridad cibernética israelí Cymulate, dijo a The Media Line que “Irán ha atacado físicamente a objetivos civiles y militares de todo el mundo con bombas y armas, y en los últimos años, ha llevado la lucha al ciberespacio.

“Se cree que los Estados Unidos e Israel, maestros de la guerra cibernética, han estado detrás de contraataques contra Irán en el pasado, incluido el virus Stuxnet en 2010”, dijo Wachsman. Ese virus saboteaba los esfuerzos de enriquecimiento nuclear de Irán al acelerar y dañar sus centrifugadoras.

“En 2012, el virus Flame se implementó en las redes informáticas de Irán que recopilan información, y Duqu 2.0 se utilizó en 2015 durante las conversaciones nucleares. Probablemente hubo ataques adicionales que han recibido poca o ninguna atención “, continuó Wachsman.

Después de que las sanciones de los Estados Unidos contra Irán lleguen a plena vigencia el 5 de noviembre, “Irán podría sentirse acorralado y, por lo tanto, podría desencadenar un ataque cibernético muy grave, lo que obligará a los Estados Unidos e Israel a tomar represalias al mismo nivel o posiblemente a un nivel superior”.

Los servicios de inteligencia israelíes ayudarán a Estados Unidos a restablecer las sanciones contra Irán, dijo el lunes el ministro de Seguridad Pública, Gilad Erdan, mientras Teherán, la Unión Europea y China rechazan las acciones económicas.

“Israel debe continuar actuando para que Irán sienta toda la fuerza de las sanciones estadounidenses, y para que los países europeos cambien su posición hipócrita, apoyen el acuerdo nuclear equivocado y se unan al régimen de sanciones”, dijo Erdan.

 

Referencias:

https://www.timesofisrael.com/tv-report-israel-silent-as-iran-hit-by-computer-virus-more-violent-than-stuxnet/

http://www.themedialine.org/news/iran-admits-to-being-hit-by-potent-cyber-attack/

https://www.bleepingcomputer.com/news/security/new-stuxnet-variant-allegedly-struck-iran/

https://apnews.com/75f84b91a7c94fdd94e57707a5d77ccc

 

leer más
Isaul CarballarNueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Herramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Kaspersky informa que detectó infecciones provocadas con DarkPulsar, presunto malware desarrollado por la NSA

Kaspersky Lab

  • La compañía de ciberseguridad Kaspersky anuncia que detectó malware desarrollado por la Agencia Nacional de Seguridad (NSA por sus siglas en Inglés) de los EEUU.
  • Las víctimas incluyen infraestructura en energía nuclear, telecomunicaciones, informática y aeroespacial de Rusia, Irán y Egipto
  • No está claro si las infecciones son provocadas por hackers o la misma NSA

Los malhechores están usando herramientas de hacking desarrolladas por la NSA. Las mismas fueron liberadas el público el año pasado por un grupo de hackers conocido como los Shadow Brokers. dichas herramientas se utilizaron para infectar y espiar los sistemas informáticos utilizados en las industrias aeroespacial, de energía nuclear y otras industrias de infraestructura clave.

“Encontramos alrededor de 50 víctimas, pero creemos que la cifra es mucho mayor”, dijeron los investigadores de Kaspersky Lab.

“Todas las víctimas estaban ubicadas en Rusia, Irán y Egipto, y típicamente los servidores Windows 2003/2008 eran los que estaban infectados”, dijo la compañía. “Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y R&D”.

Los investigadores de Kaspersky pudieron analizar DarkPulsar porque fue una de las muchas herramientas de piratería que se descargaron en línea en la primavera de 2017.

Las herramientas de piratería fueron filtradas por un grupo de piratas informáticos conocidos como los Shadow Brokers, quienes afirmaron que los robaron del Equation Group, un nombre en clave dado por la industria de seguridad cibernética a un grupo que se cree universalmente que es la NSA.

DarkPulsar pasó casi desapercibido durante más de 18 meses, ya que el volcado de 2017 también incluía EternalBlue, el exploit que impulsó los tres brotes de ransomware del año pasado: WannaCry, NotPetya y Bad Rabbit.

Casi todos los ojos de la comunidad infosec se han centrado en EternalBlue durante el último año, y por una buena razón, ya que el exploit ahora se ha convertido en un malware básico.

Pero en los últimos meses, los investigadores de Kaspersky también han comenzado a profundizar en las otras herramientas de piratería filtradas por los Shadow Brokers el año pasado.

Los investigadores de Kaspersky también creen que la cantidad de computadoras infectadas con DarkPulsar es probablemente más grande que las 50 detecciones que encontraron.

El malware también incluía una función de eliminación automática, que los operadores de Equation Group probablemente usaban para cubrir sus huellas después de que los Shadow Brokers abandonaron sus herramientas en línea.

“Entonces, las 50 víctimas son muy probablemente sólo las que los atacantes simplemente han olvidado”, dijeron los investigadores.

En cuanto a quién está detrás de estos hacks, Kaspersky no lo dijo. No está claro si los Shadow Brokers lograron tener en sus manos el malware DarkPulsar completo, pero luego optaron por no incluir la puerta trasera real en el paquete de herramientas filtradas.

Estas 50 infecciones podrían ser fácilmente el trabajo de las operaciones de espionaje cibernético de Equation Group o el trabajo de los Shadow Brokers.

 

Referencias:

DarkPulsar

https://www.zdnet.com/article/kaspersky-says-it-detected-infections-with-darkpulsar-alleged-nsa-malware/

https://www.theregister.co.uk/2018/10/19/leaked_nsa_malware/

 

leer más
Isaul CarballarHerramienta creada por la NSA es usada para hackear infraestructura: Kaspersky