Sudamérica

All posts tagged Sudamérica

00-1.jpg

Más del 75% de los registros electorales de los chilenos quedan expuestos en Internet

La seguridad en internet parece haber quedado en el pasado. Por más que se han los esfuerzos por parte de las empresas de seguridad informática, los ciberdelincuentes siguen haciendo de las suyas y de hecho se reproducen tan rápido como las cucarachas. Hace poco el grupo de servicios de información en línea ZDNet informó como más del 75% de los registros electorales de los chilenos quedan expuestos en Internet. Esto significa que casi toda la población de Chile fue vulnerada en lo que representa un súper ataque cibernético contra esta país sudamericano.

La información electoral de más de 14.3 millones de chilenos, que representa casi el 80% de la población total del país, quedó expuesta y se filtró en Internet dentro de una base de datos de Elasticsearch. ZDNet se enteró del servidor con fugas a través de un miembro del equipo de investigación de Wizcase, quien le pasó la IP del servidor a este reportero días atrás, para identificar la naturaleza y la fuente de la fuga.

ZDNet ha confirmado la validez y precisión de esta información con varias de las personas cuyos datos estaban contenidos en la base de datos con fugas. “Descubrimos que la base de datos contenía nombres, domicilios, género, edad y números de identificación fiscal (RUT o Rol Único Tributario) de unas 14.308.151 personas. Una gran muestra fue revisada dándole veracidad a los datos expuestos”. Así lo señaló el miembro del equipo de ZDNet.

Por otra parte, a pesar de que un portavoz del Servicio Electoral de Chile también conocido como (Servel) también confirmó la autenticidad de los datos; este, negó que exista un servidor con fugas.

Tanto las fuentes privadas como el portavoz de Servel indicaron que los datos almacenados en el servidor Elasticsearch, alojado en la red de un proveedor de alojamiento de Estados Unidos tienen al menos dos años. «La información mencionada corresponde a los datos de 2017«, dijo el portavoz de Servel a ZDNet.

Cuando el portavoz de Servel fue consultado si la agencia había permitido el acceso de terceros a sus datos para crear aplicaciones relacionadas con las elecciones, Servel dijo que «el acceso a los datos críticos del servicio no se otorga a contratistas externos«.

La agencia dijo que las leyes de Chile tienen la tarea de mantener los datos actualizados y proporcionar una interfaz a través de la cual los votantes puedan verificar la validez o actualizar su información electoral. Esto se puede hacer a través de aplicaciones móviles o el sitio web oficial de Servel. Además agrego que cree que hubo personas que borraron esta información de su sitio web y luego la reunieron en bases de datos como la que ZDNet informó a la agencia.

A pesar de esto, el equipo de Wizcase publicó su propio informe sobre el servidor con fugas en su blog. Los investigadores de WizCase evaluaron que el servidor contenía datos de casi todos los adultos chilenos, incluidos los políticos de alto perfil.

leer más
Diarleth G.Más del 75% de los registros electorales de los chilenos quedan expuestos en Internet

Hackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica

Hackers Rusos están de regreso y con nuevas prioridades

Oso grizzly con máscara de AnnonymousAPT28, uno de los grupos de hackers y cibercriminales más activos en la historia reciente, está de regreso y con nuevas prioridades. El grupo está vinculado directamente con el gobierno Ruso según el Departamento de Seguridad Nacional (DHS). Al grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Grizzly Steppe, Sofacy Group, Sednit y STRONTIUM) se le atribuye el hackeo de las elecciones de 2016 en los Estados Unidos, en particular de las oficinas del Comité Nacional Demócrata (DNC por sus siglas en inglés Democratic National Commitee).

El foco de APT28 o Fancy Bear está ahora en la obtención de datos de inteligencia geopolítica y espionaje cibernético. Sus nuevos objetivos incluyen operaciones en Europa y Sudamérica. Según un informe recientemente publicado por la firma de ciberseguridad Symantec.

Breve Historia de APT28

APT28 ha estado activo por lo menos desde enero del 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ataques cibernéticos en el período previo a la elección presidencial de EEUU.

Uno de los mayores ataques del grupo fue en la primavera de 2016, cuando el grupo APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un montón de correos electrónicos. La información comprometida se filtró más tarde en línea.

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas. A partir de este momento, desviando el curso de las elecciones en los EEUU y posiblemente cambiando el curso de la historia.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas o antidoping. En consonancia con su cambio a tácticas más abiertas, el grupo pareció tomar el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado por el grupo.

Fancy Bear contraataca

Fancy Bear, o APT28, ha estado activo al menos desde 2007 y se ha enfocado en gobiernos, militares y organizaciones de seguridad en todo el mundo. Según los expertos de Symantec, desde el 2017 y continuando durante el 2018, el grupo APT28 está de regresó con objetivos de inteligencia secreta en Europa y América del Sur.

Algunos de los objetivos del grupo APT28 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

¿Cuáles son las herramientas de ataque de Fancy Bear/APT28?

APT28 utiliza una serie de herramientas para comprometer a sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda etapa, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.

Además de esto, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Vínculos con otros grupos

Los investigadores de Symantec también destacaron los posibles enlaces a otras operaciones de espionaje, incluido el Earworm que ha estado activo desde al menos mayo de 2016 y está involucrado en operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.

El grupo Earworm llevó a cabo campañas de phishing dirigidas a entregar el descargador Trojan.Zekapab y el Backdoor.Zekapab.

Los expertos notaron cierta superposición con las infraestructuras de comando y control utilizadas por Earworm y APT28.

«Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EEUU para denominar a APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.» Indica el reporte

Sin Motivos Para Detenerse

Aunque las campañas recientes ven al grupo APT28 regresar a las operaciones de recopilación de inteligencia secreta en Europa y América del Sur, no son evidentes sus objetivos a largo plazo.

«Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EEUU a fines de 2016, la publicidad resultante no logró intimidar al grupo APT28 y continúan organizando nuevos ataques con sus herramientas existentes«, afirmó Symantec en su sitio.

La implicación es sorprendente: el mundo sabe quiénes son estos intrusos y cómo operan, pero seguirán enfocándose (y probablemente infiltrándose) en los sistemas de todo el mundo. Todavía no hay motivos evidentes que logren detener a estos grupos.

 

Crédito de la imagen de portada: NYMag
leer más
Isaul CarballarHackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica