Rusia

All posts tagged Rusia

¿Google Hackeado por Rusia y China?

El tráfico de Google dirigido a China y Rusia, resultó en tiempo de inactividad para algunos servicios. El incidente podría ser el resultado de errores técnicos o actividad maliciosa

Mujer con portafolio camina frente a muro de oficinas de Google

  • Una desviación del tráfico de Internet interrumpió los servicios de Google y redirigió sus datos
  • Los principales proveedores de Internet en China y Rusia interceptaron datos de usuarios de Google
  • El ataque puede provocar más ataques a gran escala de las naciones involucradas en el futuro
  • Las interrupciones duraron casi 1.5 horas hasta las 10:30 pm GMT (5:30 pm EST)
  • Google dijo que no tenía motivos para creer que el secuestro de tráfico fuera malicioso

Un desvío de tráfico de Internet redirigió los datos a través de Rusia y China e interrumpió los servicios de Google el lunes, incluidos los servicios de búsqueda, alojamiento en la nube y su conjunto de herramientas de colaboración para empresas.

Algunos usuarios de Google el lunes por la tarde informaron que los servicios, como YouTube, eran lentos o que no se podía acceder. La causa de este problema fue que el tráfico de la compañía se dirigía mal a través de ISP en China, Nigeria y Rusia. Google está investigando el problema, pero comentó que no hay razón para creer que esto fue un ciberataque.

La mayor parte del tráfico de la red a los servicios de Google (el 94% a partir del 27 de octubre) está cifrado, lo que lo protege de miradas indiscretas, incluso si se desvía.

En un aviso publicado el lunes en su sitio web, Google dijo que había resuelto el problema a las 2:35 p.m. Hora del Pacífico, y que sus servicios estaban funcionando como se esperaba.

El problema con las plataformas en línea

Los ingenieros en redes han advertido durante años que las plataformas en línea son vulnerables a los ataques basados ​​en redes que hacen que los datos se desvíen ampliamente de su curso. Tales ataques son posibles porque los grandes proveedores de servicios de red intercambian tráfico a través de un sistema que se basa en gran medida en la confianza mutua a través de protocolos casi tan antiguos como la propia Internet.

Los fallos, como el que experimentó Google el lunes, pueden ocurrir debido a un error técnico, por ejemplo, cuando un ingeniero de red configura incorrectamente los sistemas, o también podrían representar un intento malicioso de interceptar datos, dicen los expertos en redes.

Si tienen acceso a un operador de red lo suficientemente grande, los hackers pueden alterar los mapas de red almacenados en los enrutadores centrales de Internet a través de un sistema conocido como protocolo de puerta de enlace fronteriza o BGP (por sus siglas en inglés Border Gateway Protocol).

El uso de fallas de BGP para redirigir los datos podría permitir a un hacker robar información, escuchar el tráfico o enviar información al olvido cibernético, según los investigadores de seguridad.

¿Un posible experimento de juego de guerra?

Según el profesor Alan Woodward, científico informático de la Universidad de Surrey, el secuestro podría haber sido parte de un elaborado esquema de vigilancia.

Dijo a MailOnline: «El acceso a los datos de las personas es un» activo estratégico «para la vigilancia, y Rusia y China han llevado a cabo ataques de secuestro para recopilar esos datos anteriormente.

Los expertos ahora están preocupados por la posibilidad de que las naciones involucradas obtengan acceso a los datos privados de los usuarios al monitorear el tráfico redirigido.

El presunto ataque también puede ser un signo de lo que vendrá a medida que la guerra cibernética se intensifique entre Occidente y sus competidores globales.

 

 

Referencias:

apnews.com

wsj.com

dailymail.co.uk

bles.com

leer más
Isaul Carballar¿Google Hackeado por Rusia y China?

Atrapan a hacker Ruso buscado por EEUU en Bulgaria

Hacker Ruso acusado de fraude en línea y buscado por los Estados Unidos es arrestado en Bulgaria

Manos de hombre con chaleco rojo sobre teclado de computadora con códigoUn ciudadano ruso acusado de fraude en línea que involucra millones de dólares ha sido arrestado en Varna, Bulgaria, por una orden emitida por los Estados Unidos y está a la espera de un procedimiento de extradición, según un comunicado emitido el jueves por el Tribunal de Distrito de Varna.

Una portavoz del Departamento de Justicia de Estados Unidos se negó a comentar sobre el arresto. «Como una política de larga data, el Departamento de Justicia de los Estados Unidos generalmente no hace comentarios sobre asuntos relacionados con la extradición hasta que el acusado se encuentre en los Estados Unidos. No hay nada público en este momento», dijo a CNN la portavoz del Departamento de Justicia de los Estados Unidos, Nicole Navas Oxman.

El ciudadano ruso, nombrado por el tribunal como Alexander Zh., De 38 años, con el apellido abreviado, ha sido acusado de fraude electrónico y conspiración para cometer fraude informático que resultó en daños de al menos $ 7 millones.

El acusado y sus cómplices están acusados ​​de engañar a los anunciantes para que realicen pagos por tráfico falso en línea a sus sitios web y anuncios, que fue generado por un software que crearon para parecerse a usuarios reales que navegan por Internet.

Las autoridades estadounidenses los acusan de haber mantenido una red informática con servidores en Dallas, Texas.

Según la orden de arresto emitida por el Tribunal de Distrito de EE. UU. Para el distrito este de Nueva York, los delitos se cometieron entre septiembre de 2014 y diciembre de 2016.

El Tribunal de Distrito de Varna encontró «la medida más apropiada de detención contra el ciudadano ruso como ‘detención provisional’ hasta el inicio del proceso de extradición real», según una declaración del tribunal.

Las autoridades búlgaras realizaron búsquedas en la casa de Alexander Zh. para recopilar pruebas para el procesamiento en los Estados Unidos, dijo el tribunal.

Si lo encuentran culpable, enfrenta hasta 20 años de prisión en los Estados Unidos, una multa o ambos. Sus acciones también son punibles bajo la ley búlgara, dijo el tribunal.

Alexander Zh. dijo a la corte que él ha estado en Bulgaria durante 8 años y que ha estado viviendo allí permanentemente durante los últimos cuatro. Él tiene una tarjeta de identificación búlgara y su propia casa en Varna.

El consulado general de Rusia en Varna, Vladimir Klimanov, dijo el viernes a la agencia estatal rusa de noticias TASS que las autoridades rusas se enteraron de que su esposa había arrestado a Alexander Zh. «No hemos recibido ninguna información oficial. En estas circunstancias, el Consulado General tomará todas las medidas necesarias», dijo.

 

Referencia:

Escrito originalmente por Radina Gigova para cnn.com

leer más
Isaul CarballarAtrapan a hacker Ruso buscado por EEUU en Bulgaria

¿La tercera guerra mundial entre Rusia y Occidente?

6 Evidencias indican que Rusia y Occidente pueden estar precipitándose hacia una tercera guerra mundial

Ciberguerra Oriente vs Occidente

Con el reciente anuncio de que el gobierno de los EEUU publicó muestras de herramientas de hackeo aparentemente pertenecientes al gobierno Ruso, parece que estamos aproximándonos cada vez más a una tercera guerra mundial, esta vez entre oriente y occidente.

Robo de datos, hackeos institucionales, espionaje en el ciberespacio y mas, evidencian que Rusia y Occidente están cada vez más cerca de una guerra cibernética. Te contamos todos los detalles a continuación.

A casi 20 años del final de la Guerra Fría, Rusia y Occidente nuevamente se precipitan hacia una nueva guerra que, en el mejor de los casos, podría terminar siendo cibernética. Reunimos algunas evidencias de importantes noticias que han salido a la luz en los últimos días.

Espionaje en Reino Unido y EEUU

Hace unos meses, Reino Unido y EEUU sacaron a la luz un informe en el que acusaban a Rusia de un hackeo a las principales redes de tráfico de internet, que según tenía como objetivo el robo de datos y el espionaje masivo.

Lo más alarmante es que con ese poder de acceso, Rusia podría ocasionar un apagón eléctrico masivo según señaló un funcionario de la Casa Blanca.

El tema del espionaje en cuestión parece un déjà vu de la Guerra Fría, así como la amenaza constante de apagones masivos. Solo que ahora es mucho más posible a través de las redes y Rusia ha demostrado tener la capacidad para lograrlo.

El NCSC está en alerta máxima

El Centro Nacional de Ciberseguridad de Reino Unido, o NCSC, por sus siglas en inglés, notificó que está en alerta máxima ante otra posible movida rusa. «Rusia es nuestro adversario hostil y más capaz en el espacio cibernético, por lo que lidiar con sus ataques es una gran prioridad para el NCSC y nuestros aliados de EEUU», reza un comunicado emitido por la administración de Ciaran Martin, jefe del NCSC.

La ofensiva es de ambas partes

No se sabe si la injerencia rusa es con intenciones destructivas, ni siquiera Reino Unido y EEUU han podido hacer claramente esa acusación. Pero lo que sí es cierto es que ambos países están haciendo actividades similares dentro de Rusia, posicionándose en redes de ese país para responder o en el peor de los casos atacar.

El GCHQ

Otra evidencia de que las cosas no van bien y de que podríamos estar muy cerca de una guerra cibernética, son las palabras de Jeremy Fleming, el jefe del Cuartel General de Comunicaciones del Gobierno, GCHQ, por sus siglas en inglés, uno de los servicios de inteligencia de Reino Unido, quien se refirió públicamente al uso de la capacidad ofensiva cibernética de su país.

“Durante más de una década, comenzando en el conflicto en Afganistán, el GCHQ ha sido pionero en el desarrollo y uso de técnicas cibernéticas ofensivas. Con esto me refiero a tomar medidas en internet que tengan un impacto directo en el mundo real”, dijo Fleming. “Podemos tratar de cancelar el servicio, interrumpir una actividad en línea específica o incluso destruir equipos y redes”, agregó.

El robo de datos podría tener intenciones de castigo

Las hipótesis afirman que el interés de Rusia por robar datos sería husmear en la información comprometedora de sus opositores para publicarla. De esta manera castigaría y debilitaría los sistemas políticos de occidente, no reparando en la posible guerra cibernética que podría desencadenarse.

La doctrina rusa de la guerra híbrida

Por último, otro punto alarmante que nos hace pensar en una guerra cibernética es que, por su doctrina de guerra híbrida, Rusia considera tan importante los flujos de información como la actividad militar tradicional. Para ellos, todo forma parte del mismo conjunto y estudian tácticas de guerra en ambos espacios.

Estas son algunas de las evidencias alarmantes que nos indican que si alguno de los dos bandos decide intensificar las cosas, podríamos caer de inmediato en una guerra cibernética.

 

Referencia:

agenciafe.com

leer más
Diarleth G.¿La tercera guerra mundial entre Rusia y Occidente?

Herramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Kaspersky informa que detectó infecciones provocadas con DarkPulsar, presunto malware desarrollado por la NSA

Kaspersky Lab

  • La compañía de ciberseguridad Kaspersky anuncia que detectó malware desarrollado por la Agencia Nacional de Seguridad (NSA por sus siglas en Inglés) de los EEUU.
  • Las víctimas incluyen infraestructura en energía nuclear, telecomunicaciones, informática y aeroespacial de Rusia, Irán y Egipto
  • No está claro si las infecciones son provocadas por hackers o la misma NSA

Los malhechores están usando herramientas de hacking desarrolladas por la NSA. Las mismas fueron liberadas el público el año pasado por un grupo de hackers conocido como los Shadow Brokers. dichas herramientas se utilizaron para infectar y espiar los sistemas informáticos utilizados en las industrias aeroespacial, de energía nuclear y otras industrias de infraestructura clave.

«Encontramos alrededor de 50 víctimas, pero creemos que la cifra es mucho mayor», dijeron los investigadores de Kaspersky Lab.

«Todas las víctimas estaban ubicadas en Rusia, Irán y Egipto, y típicamente los servidores Windows 2003/2008 eran los que estaban infectados», dijo la compañía. «Los objetivos estaban relacionados con la energía nuclear, las telecomunicaciones, la informática, la industria aeroespacial y R&D».

Los investigadores de Kaspersky pudieron analizar DarkPulsar porque fue una de las muchas herramientas de piratería que se descargaron en línea en la primavera de 2017.

Las herramientas de piratería fueron filtradas por un grupo de piratas informáticos conocidos como los Shadow Brokers, quienes afirmaron que los robaron del Equation Group, un nombre en clave dado por la industria de seguridad cibernética a un grupo que se cree universalmente que es la NSA.

DarkPulsar pasó casi desapercibido durante más de 18 meses, ya que el volcado de 2017 también incluía EternalBlue, el exploit que impulsó los tres brotes de ransomware del año pasado: WannaCry, NotPetya y Bad Rabbit.

Casi todos los ojos de la comunidad infosec se han centrado en EternalBlue durante el último año, y por una buena razón, ya que el exploit ahora se ha convertido en un malware básico.

Pero en los últimos meses, los investigadores de Kaspersky también han comenzado a profundizar en las otras herramientas de piratería filtradas por los Shadow Brokers el año pasado.

Los investigadores de Kaspersky también creen que la cantidad de computadoras infectadas con DarkPulsar es probablemente más grande que las 50 detecciones que encontraron.

El malware también incluía una función de eliminación automática, que los operadores de Equation Group probablemente usaban para cubrir sus huellas después de que los Shadow Brokers abandonaron sus herramientas en línea.

«Entonces, las 50 víctimas son muy probablemente sólo las que los atacantes simplemente han olvidado», dijeron los investigadores.

En cuanto a quién está detrás de estos hacks, Kaspersky no lo dijo. No está claro si los Shadow Brokers lograron tener en sus manos el malware DarkPulsar completo, pero luego optaron por no incluir la puerta trasera real en el paquete de herramientas filtradas.

Estas 50 infecciones podrían ser fácilmente el trabajo de las operaciones de espionaje cibernético de Equation Group o el trabajo de los Shadow Brokers.

 

Referencias:

DarkPulsar

https://www.zdnet.com/article/kaspersky-says-it-detected-infections-with-darkpulsar-alleged-nsa-malware/

https://www.theregister.co.uk/2018/10/19/leaked_nsa_malware/

 

leer más
Isaul CarballarHerramienta creada por la NSA es usada para hackear infraestructura: Kaspersky

Rusia está en guerra cibernética contra Holanda, confirma ministra Holandesa

La ministra de Defensa de Holanda, Ank Bijleveld, confirmó este domingo que Rusia y Holanda se encuentran en una guerra cibernética

Imagen exterior de la sede en la Haya de la Organización para la prohibición de armas químicas

  • Hace unos meses Holanda detectó una van Rusa con equipo de hackeo cerca de las instalaciones de la Organización para la Prohibición de las Armas Químicas
  • Rusia niega hackeo e indica que se trata de un ejercicio de rutina
  • Ministra de Defensa Holandesa confirma que Rusia y Holanda están en guerra cibernética

Hace pocos meses supimos que Reino Unido acusaba a Rusia de una guerra cibernética. En Abril Holanda, expulsó a cuatro funcionarios militares rusos cuando preparaban un ataque contra la red de de la Organización para la Prohibición de las Armas Químicas (OPCW por sus siglas en inglés), con sede en La Haya.

De acuerdo a las autoridades Danesas, agentes rusos habían colocado un vehículo repleto de equipos electrónicos en el estacionamiento de un hotel cerca de la sede de la OPCW para hackear su sistema informático.

«Lo que sucedió es realmente peligroso«, dijo la Sra. Bijleveld el domingo por la mañana durante una transmisión en el canal de televisión público Dutch NPO 1.

Ante la pregunta de un periodista sobre si la situación actual entre los Países Bajos y Rusia puede calificarse de «guerra cibernética«, la ministro respondió: «Sí, este es el caso«.

Moscú ha negado firmemente que quería hackear a la OPCW, y dijo el lunes que la expulsión de los cuatro hombres fue un «malentendido«. El jefe de la diplomacia rusa, Sergei Lavrov, se refirió a un «viaje de rutina«, sin dar más detalles.

«Las personas tratan de interferir de varias maneras en nuestra vida cotidiana, para influir en nuestra democracia«, dijo la ministra.

«Necesitamos deshacernos de la ingenuidad en esta área y tomar medidas«, agregó. «Por eso fue importante hacer público el intento de hackeo de los agentes rusos«, explicó la ministro.

Este intento ha tenido lugar en el momento en que la OPCW continúa investigando el envenenamiento de Sergei Skripal en Londres y atribuido a agentes del GRU, la inteligencia militar rusa. Moscú ha negado firmemente cualquier participación.

OPCW también estaba investigando un supuesto ataque químico en Duma, Siria, atribuido a las fuerzas gubernamentales sirias apoyadas por Moscú, según occidente.

La ministro holandés de Defensa ha indicado que su ministerio ha reservado un presupuesto mayor para la seguridad cibernética como resultado de estos eventos.

«Estamos invirtiendo más en servicios de inteligencia para poder ver lo que está sucediendo y actuar si es necesario«- Ank Bijleveld

Ank Bijleveld también ofreció a la OTAN «cibersoldados» holandeses, una propuesta que está siendo «activamente» examinada de acuerdo con la ministro.

Al momento, la ministra de Defensa confirma que efectivamente Holanda se encuentra en una guerra de información contra Rusia.

 

 

leer más
Isaul CarballarRusia está en guerra cibernética contra Holanda, confirma ministra Holandesa

Hackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica

Hackers Rusos están de regreso y con nuevas prioridades

Oso grizzly con máscara de AnnonymousAPT28, uno de los grupos de hackers y cibercriminales más activos en la historia reciente, está de regreso y con nuevas prioridades. El grupo está vinculado directamente con el gobierno Ruso según el Departamento de Seguridad Nacional (DHS). Al grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Grizzly Steppe, Sofacy Group, Sednit y STRONTIUM) se le atribuye el hackeo de las elecciones de 2016 en los Estados Unidos, en particular de las oficinas del Comité Nacional Demócrata (DNC por sus siglas en inglés Democratic National Commitee).

El foco de APT28 o Fancy Bear está ahora en la obtención de datos de inteligencia geopolítica y espionaje cibernético. Sus nuevos objetivos incluyen operaciones en Europa y Sudamérica. Según un informe recientemente publicado por la firma de ciberseguridad Symantec.

Breve Historia de APT28

APT28 ha estado activo por lo menos desde enero del 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ataques cibernéticos en el período previo a la elección presidencial de EEUU.

Uno de los mayores ataques del grupo fue en la primavera de 2016, cuando el grupo APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un montón de correos electrónicos. La información comprometida se filtró más tarde en línea.

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas. A partir de este momento, desviando el curso de las elecciones en los EEUU y posiblemente cambiando el curso de la historia.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas o antidoping. En consonancia con su cambio a tácticas más abiertas, el grupo pareció tomar el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado por el grupo.

Fancy Bear contraataca

Fancy Bear, o APT28, ha estado activo al menos desde 2007 y se ha enfocado en gobiernos, militares y organizaciones de seguridad en todo el mundo. Según los expertos de Symantec, desde el 2017 y continuando durante el 2018, el grupo APT28 está de regresó con objetivos de inteligencia secreta en Europa y América del Sur.

Algunos de los objetivos del grupo APT28 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

¿Cuáles son las herramientas de ataque de Fancy Bear/APT28?

APT28 utiliza una serie de herramientas para comprometer a sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda etapa, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.

Además de esto, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Vínculos con otros grupos

Los investigadores de Symantec también destacaron los posibles enlaces a otras operaciones de espionaje, incluido el Earworm que ha estado activo desde al menos mayo de 2016 y está involucrado en operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.

El grupo Earworm llevó a cabo campañas de phishing dirigidas a entregar el descargador Trojan.Zekapab y el Backdoor.Zekapab.

Los expertos notaron cierta superposición con las infraestructuras de comando y control utilizadas por Earworm y APT28.

«Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EEUU para denominar a APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.» Indica el reporte

Sin Motivos Para Detenerse

Aunque las campañas recientes ven al grupo APT28 regresar a las operaciones de recopilación de inteligencia secreta en Europa y América del Sur, no son evidentes sus objetivos a largo plazo.

«Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EEUU a fines de 2016, la publicidad resultante no logró intimidar al grupo APT28 y continúan organizando nuevos ataques con sus herramientas existentes«, afirmó Symantec en su sitio.

La implicación es sorprendente: el mundo sabe quiénes son estos intrusos y cómo operan, pero seguirán enfocándose (y probablemente infiltrándose) en los sistemas de todo el mundo. Todavía no hay motivos evidentes que logren detener a estos grupos.

 

Crédito de la imagen de portada: NYMag
leer más
Isaul CarballarHackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica