Investigadores encuentran evidencia de compromiso masivo a sitios web
Traducido para Segu-Info por Raúl Batista.
Varias pandillas de criminales han conseguido credenciales de ingreso administrativo para más de 200.000 sitios Web. incluyendo uno usado por el Servicio Postal de E.E.U.U., y han usando los dominios comprometidos para atacar PCs de usuarios desprevenidos con un notorio kit de atacante, dijo hoy un investigador.
Hace más de un mes Ian Amit, director de investigación de seguridad para Aladdin Knowledge Systems Inc., encontró y se infiltró en un servidor perteneciente a un cliente de mucho tiempo de Neosploit, unas herramientas usadas por cibercriminales para lanzar exploits contra navegadores y software popular tal como QuickTime de Apple o Adobe Reader de Adobe Systems Inc.
En ese servidor, Amit descubrió registros que mostraban que dos o tres pandillas de atacantes había contribuido a un fondo común de nombres de usuario y contraseñas. "Llegamos a contar más de 208.000 credenciales de sitios distintos en el servidor," dijo Amit, "y más de 80.000 sitios fueron modificados con contenido malicioso."
Las credenciales de los sitios no eran el objetivo, sólo el medio. Los 80.000 sitios modificados fueron usados como plataforma de lanzamiento: Cada uno dio servicio a un código de explotación provisto por el Neosploit y dirigido hacia todo visitante que corriera Windows que no estuviera completamente emparchado.
Examinando los registros del servidor, Amit fue capaz de identificar aquellos sitios cuyos sistema de ingreso fueron comprometidos. Ahora está trabajando con las agencias de aplicación de la ley tanto de E.E.U.U. como del extranjero, así como con organizaciones como el CERT de E.E.U.U., para informar a los operadores de los sitios que tienen que cambiar sus contraseñas administrativas, purgar el código maliciosos y asegurar sus sitios.
El único sitio que mencionó fue el del Servicio Postal de E.E.U.U. en www.usps.gov. Ese sitios, y otros, fueron limpiados del código que llamaba a Neosploit al visitarlos usuarios desprevenidos. En la lista también había sitios de gobiernos y compañías del Fortune 500, universidades, y otras empresas, incluyendo varios fabricantes de armas que no se identificaron. Más de la mitad de los sitios pertenecen a compañías y organizaciones europeas.
Otra evidencia que reunió Amit fue de las formas que los criminales procesaban los ingresos a los sitios hasta los números de direcciones IP autorizados para acceder a las credenciales.
"La aplicación basada en servidor que validaba las credenciales y después modificaba los sitios fue automatizada completamente," dijo Amit. "El acceso a esa aplicación estaba restringido a cerca de seis i siete direcciones IP, [así que] está claro que el acceso era para el uso de los criminales que usaban el servidor." Basado en los números de las direcciones IP y su distribución, estimó que estaban involucrados dos o tres grupos separados.
Más de la mitad de las credenciales, aproximadamente 107.000, fueron validadas por la propia aplicación de los ciber-bandidos que confirmaba que permitían acceso administrativo a los sitios.
Los grupos aparentemente juntaron los recursos, con información de acceso al sitio aportadas por múltiples usuarios. Amit, sin embargo, no fue capaz de determinar como los criminales se hacían por primera vez de las credenciales. Es posible, dijo, que las [credenciales de] ingresos fueran comprados a otros, y cosechados por una red zombie dedicada a esa tarea.
Pero incluso con esas pistas, Amit no está confiado en que las autoridades puedan identificar a los atacantes: "Me gustaría ser optimista pero no me engaño a mismo. Estuvieron usando un modelo de software-como-servicios (SaS), y será muy difícil rastrearlos a todos." Sin embargo, reconoció que las autoridades tienen, "algunas pistas sólidas" de quien es responsable del servidor, que podría conducir a los atacantes. El servidor, por ejemplo, fue reubicado la última semana desde Argentina, y ahora está alojado en los E.E.U.U.
"Hemos expuesto la infraestructura de base de la organización," dice Amit. "Hemos estado persiguiendo fallas por un par de décadas y ahora necesitamos un enfoque distinto. Eso es lo que tenemos acá. Ahora sabemos más respecto de su M.O. [Modus Operandi] y su modelo de negocio."
"Espero que esto ayude tanto a las fuerzas del orden como a los investigadores de seguridad a mantenerse adelante en el juego," dijo.
Autor: Gregg Keizer, Computerworld
Fuente: http://www.pcworld.com/article/151831/researcher_finds_evidence_of_massive_site_compromise.html
www.pcadvisor.co.uk/news/index.cfm?newsid=104904
www.pcworld.com/businesscenter/article/151543/hackers_resurrect_notorious_attack_toolkit.html
www.itworld.com/security/55609/researcher-finds-evidence-massive-site-compromise
http://www.infoworld.com/article/08/10/03/Researcher_finds_evidence_of_massive_Web_site_compromise_1.html?source=rss&url=http://www.infoworld.com/article/08/10/03/Researcher_finds_evidence_of_massive_Web_site_compromise_1.html
Varias pandillas de criminales han conseguido credenciales de ingreso administrativo para más de 200.000 sitios Web. incluyendo uno usado por el Servicio Postal de E.E.U.U., y han usando los dominios comprometidos para atacar PCs de usuarios desprevenidos con un notorio kit de atacante, dijo hoy un investigador.
Hace más de un mes Ian Amit, director de investigación de seguridad para Aladdin Knowledge Systems Inc., encontró y se infiltró en un servidor perteneciente a un cliente de mucho tiempo de Neosploit, unas herramientas usadas por cibercriminales para lanzar exploits contra navegadores y software popular tal como QuickTime de Apple o Adobe Reader de Adobe Systems Inc.
En ese servidor, Amit descubrió registros que mostraban que dos o tres pandillas de atacantes había contribuido a un fondo común de nombres de usuario y contraseñas. "Llegamos a contar más de 208.000 credenciales de sitios distintos en el servidor," dijo Amit, "y más de 80.000 sitios fueron modificados con contenido malicioso."
Las credenciales de los sitios no eran el objetivo, sólo el medio. Los 80.000 sitios modificados fueron usados como plataforma de lanzamiento: Cada uno dio servicio a un código de explotación provisto por el Neosploit y dirigido hacia todo visitante que corriera Windows que no estuviera completamente emparchado.
Examinando los registros del servidor, Amit fue capaz de identificar aquellos sitios cuyos sistema de ingreso fueron comprometidos. Ahora está trabajando con las agencias de aplicación de la ley tanto de E.E.U.U. como del extranjero, así como con organizaciones como el CERT de E.E.U.U., para informar a los operadores de los sitios que tienen que cambiar sus contraseñas administrativas, purgar el código maliciosos y asegurar sus sitios.
El único sitio que mencionó fue el del Servicio Postal de E.E.U.U. en www.usps.gov. Ese sitios, y otros, fueron limpiados del código que llamaba a Neosploit al visitarlos usuarios desprevenidos. En la lista también había sitios de gobiernos y compañías del Fortune 500, universidades, y otras empresas, incluyendo varios fabricantes de armas que no se identificaron. Más de la mitad de los sitios pertenecen a compañías y organizaciones europeas.
Otra evidencia que reunió Amit fue de las formas que los criminales procesaban los ingresos a los sitios hasta los números de direcciones IP autorizados para acceder a las credenciales.
"La aplicación basada en servidor que validaba las credenciales y después modificaba los sitios fue automatizada completamente," dijo Amit. "El acceso a esa aplicación estaba restringido a cerca de seis i siete direcciones IP, [así que] está claro que el acceso era para el uso de los criminales que usaban el servidor." Basado en los números de las direcciones IP y su distribución, estimó que estaban involucrados dos o tres grupos separados.
Más de la mitad de las credenciales, aproximadamente 107.000, fueron validadas por la propia aplicación de los ciber-bandidos que confirmaba que permitían acceso administrativo a los sitios.
Los grupos aparentemente juntaron los recursos, con información de acceso al sitio aportadas por múltiples usuarios. Amit, sin embargo, no fue capaz de determinar como los criminales se hacían por primera vez de las credenciales. Es posible, dijo, que las [credenciales de] ingresos fueran comprados a otros, y cosechados por una red zombie dedicada a esa tarea.
Pero incluso con esas pistas, Amit no está confiado en que las autoridades puedan identificar a los atacantes: "Me gustaría ser optimista pero no me engaño a mismo. Estuvieron usando un modelo de software-como-servicios (SaS), y será muy difícil rastrearlos a todos." Sin embargo, reconoció que las autoridades tienen, "algunas pistas sólidas" de quien es responsable del servidor, que podría conducir a los atacantes. El servidor, por ejemplo, fue reubicado la última semana desde Argentina, y ahora está alojado en los E.E.U.U.
"Hemos expuesto la infraestructura de base de la organización," dice Amit. "Hemos estado persiguiendo fallas por un par de décadas y ahora necesitamos un enfoque distinto. Eso es lo que tenemos acá. Ahora sabemos más respecto de su M.O. [Modus Operandi] y su modelo de negocio."
"Espero que esto ayude tanto a las fuerzas del orden como a los investigadores de seguridad a mantenerse adelante en el juego," dijo.
Autor: Gregg Keizer, Computerworld
Fuente: http://www.pcworld.com/article/151831/researcher_finds_evidence_of_massive_site_compromise.html
www.pcadvisor.co.uk/news/index.cfm?newsid=104904
www.pcworld.com/businesscenter/article/151543/hackers_resurrect_notorious_attack_toolkit.html
www.itworld.com/security/55609/researcher-finds-evidence-massive-site-compromise
http://www.infoworld.com/article/08/10/03/Researcher_finds_evidence_of_massive_Web_site_compromise_1.html?source=rss&url=http://www.infoworld.com/article/08/10/03/Researcher_finds_evidence_of_massive_Web_site_compromise_1.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!