1 abr 2023

Ataque a la cadena de suministro de VoIP 3CX utiliza DLL firmadas

El miércoles por la noche, saltó la noticia de que la empresa de comunicaciones VoIP 3CX había sido comprometida para distribuir versiones troyanizadas de su aplicación de escritorio de Windows y MacOs en un ataque a gran escala a la cadena de suministro.

Versiones afectadas:

  • Windows: 18.12.407 y 18.12.416
  • Mac: 18.11.1213, 18.12.402, 18.12.407, y 18.12.416

3CX es una empresa de desarrollo de software VoIP IPBX cuya Central Telefónica 3CX es utilizada por más de 600.000 empresas en todo el mundo y cuenta con más de 12 millones de usuarios diarios. Se está utilizando una versión firmada digitalmente y troyanizada del cliente de escritorio 3CX Voice Over Internet Protocol (VOIP) para atacar a los clientes de la compañía en un ataque a la cadena de suministro.

La lista de clientes de la compañía incluye una larga lista de empresas y organizaciones de alto perfil como American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA y el Servicio Nacional de Salud del Reino Unido (que publicó una alerta el jueves).

Resumen ejecutivo

  • A partir del 22 de marzo de 2023, SentinelOne comenzó a ver un pico de detecciones de comportamiento de la 3CXDesktopApp, un popular producto de software de voz y videoconferencia categorizado como plataforma de Centralita Automática Privada (PABX).
  • Las detecciones de comportamiento impidieron la ejecución de estos instaladores troyanizados y condujeron a una cuarentena inmediata por defecto.
  • La 3CXDesktopApp troyanizada es la primera etapa de una cadena de ataque de varias etapas que extrae archivos ICO con datos base64 de Github y, en última instancia, conduce a una DLL infostealer en la tercera etapa.
  • El compromiso incluye un certificado de firma de código utilizado para firmar los binarios troyanizados en Windows.
  • El actor de la amenaza ha registrado un amplio conjunto de infraestructuras desde febrero de 2022, pero aún no hay conexiones obvias con grupos de amenazas existentes.
  • El 30 de marzo de 2023 se han actualizado los IOCs con contribuciones de la comunidad investigadora.
  • El 30 de marzo de 2023 se confirma que el instalador de MacOS también está troyanizado, como informó Patrick Wardle. Los IOC reflejan que el primer intento de infección en Mac fue el 8 de marzo de 2023.

Según las alertas de los investigadores de seguridad de Sophos y CrowdStrike, los atacantes se dirigen tanto a usuarios de Windows como de macOS de la aplicación de softphone 3CX comprometida. "La actividad maliciosa incluye el balizamiento a la infraestructura controlada por el actor malicioso, el despliegue de cargas útiles de segunda etapa, y, en un pequeño número de casos, la actividad práctica en el teclado", dijo el equipo de inteligencia de amenazas de CrowdStrike.

"La actividad posterior a la explotación más común observada hasta la fecha es la creación de un intérprete de comandos interactivo", añadió Sophos en un aviso emitido a través de su servicio Managed Detection and Response.

Mientras CrowdStrike sospecha que un grupo de hacking respaldado por el estado norcoreano que rastrea como Labyrinth Collima está detrás de este ataque, los investigadores de Sophos dicen que "no pueden verificar esta atribución con alta confianza".

Se sabe que la actividad de Labyrinth Collima se solapa con otros actores de amenazas rastreados como Lazarus Group por Kaspersky, Covellite por Dragos, UNC4034 por Mandiant, Zinc por Microsoft y Nickel Academy por Secureworks. Labyrinth Collima es un subconjunto de lo que se ha descrito como Lazarus Group, que incluye otros adversarios relacionados con la RPDC, como SILENT CHOLLIMA y STARDUST CHOLLIMA".

Como funciona el ataque

Como parte de este ataque a la cadena de suministro, dos DLL utilizadas por la aplicación de escritorio de Windows fueron sustituidas por versiones maliciosas que descargan un troyano que permite el robo de información. Cuando se instala el MSI o la actualización oficial de 3CX, extrae los archivos DLL maliciosos ffmpeg.dll [VirusTotal] y d3dcompiler_47.dll [VirusTotal], que se utilizan para realizar la siguiente fase del ataque.

Aunque Sophos afirma que el ejecutable 3CXDesktopApp.exe no es malicioso, la DLL maliciosa ffmpeg.dll se carga lateralmente y se utiliza para extraer y descifrar una carga útil cifrada de d3dcompiler_47.dll. Este shellcode descifrado de d3dcompiler_47.dll se ejecutará para descargar archivos de iconos alojados en GitHub que contienen cadenas codificadas en Base64 añadidas al final de las imágenes.

El repositorio de GitHub donde se almacenan estos iconos muestra que el primer icono se subió el 7 de diciembre de 2022. El investigador Thomas Roccia (aka @fr0gger_) lo muestra de la siguiente manera

"El actor de la amenaza ha registrado un conjunto extenso de infraestructura que comienza en febrero de 2022, pero aún no vemos conexiones obvias con grupos de amenazas existentes".

Código firmado y explotación de una vulnerabilidad de 2013

Una de las DLL maliciosas utilizadas en el ataque suele ser una DLL legítima firmada por Microsoft denominada d3dcompiler_47.dll. Sin embargo, los autores de la amenaza modificaron la DLL para incluir una carga maliciosa cifrada al final del archivo.

La firma de código de un ejecutable, como un archivo DLL o EXE, sirve para garantizar a los usuarios de Windows que el archivo es auténtico y no ha sido modificado para incluir código malicioso. En este caso, aunque el archivo estaba modificado, Windows seguía mostrándolo como correctamente firmado por Microsoft.

Cuando se modifica un ejecutable firmado, Windows mostrará un mensaje indicando que "la firma digital del objeto no se verificó". Sin embargo, aunque sabemos que la DLL d3dcompiler_47.dll fue modificada, seguía apareciendo como firmada en Windows.

Will Dormann, analista senior de vulnerabilidades en ANALYGENCE, dice que la DLL está explotando el fallo CVE-2013-3900, una "WinVerifyTrust Signature Validation Vulnerability".

Microsoft reveló por primera vez esta vulnerabilidad el 10 de diciembre de 2013, y explicó que añadir contenido a la sección de firma authenticode de un EXE (estructura WIN_CERTIFICATE) en un ejecutable firmado es posible sin invalidar la firma.

Dormann explicó en tuits que el instalador de Google Chrome añade datos a la estructura Authenticode para determinar si optaste por "enviar estadísticas de uso e informes de fallos a Google." Cuando se instala Google Chrome, comprueba estos datos en la firma Authenticode para determinar si deben activarse los informes de diagnóstico.

Microsoft finalmente decidió hacer la corrección opcional, probablemente porque invalidaría los ejecutables legítimos y firmados que almacenaban datos en el bloque de firma de un ejecutable.

"El 10 de diciembre de 2013, Microsoft publicó una actualización para todas las versiones compatibles de Microsoft Windows que cambia la forma en que se verifican las firmas de los binarios firmados con el formato de firma Windows Authenticode", explica la divulgación de Microsoft para el CVE-2013-3900: "Este cambio se puede habilitar de forma opcional".

Cuando se habilita, el nuevo comportamiento para la verificación de firmas de Windows Authenticode ya no permitirá información extraña en la estructura WIN_CERTIFICATE, y Windows ya no reconocerá los binarios no conformes como firmados.

Han pasado casi diez años y se sabe que la vulnerabilidad está siendo explotada por numerosas amenazas. Sin embargo, sigue siendo una solución opcional que sólo puede activarse editando manualmente el Registro de Windows. Para activar la corrección, los usuarios de Windows en sistemas de 64 bits pueden realizar los siguientes cambios:

Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
"EnableCertPaddingCheck"="1"

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
"EnableCertPaddingCheck"="1"

Una vez habilitadas estas claves del Registro, se puede ver cómo Microsoft valida de forma diferente la firma en la DLL maliciosa d3dcompiler_47.dll utilizada en el ataque a la cadena de suministro 3CX.

Para empeorar las cosas, incluso si añade las claves del Registro para aplicar la corrección, se eliminarán una vez que actualice a Windows 11, haciendo que el sistemas sea vulnerable de nuevo.

Dado que la vulnerabilidad se ha utilizado en ataques recientes, como el de la cadena de suministro 3CX y una campaña de distribución de malware Zloader en enero, ha quedado claro que debe corregirse, aunque ello suponga un inconveniente para los desarrolladores.

Desgraciadamente, la mayoría desconoce este fallo y, al ver un archivo malicioso, asume que es fiable porque Windows así lo indica. "Pero cuando una corrección es opcional, las masas no van a estar protegidas", advirtió Dormann. "Activé la corrección opcional, utilicé el ordenador como de costumbre durante todo el día y no me encontré con ningún problema que me hiciera lamentar mi decisión. Aunque es posible que algunos instaladores, como Google Chrome, no aparezcan como firmados, la protección añadida merece la pena".

Actualizaciones de 3CX

Se recomienda actualizar los clientes de Mac Update 6 y Windows Udpdate 7.

Fuente: Bleeping Computer I | Bleeping Computer II

31 mar 2023

Archivos #Vulkan: revela las tácticas de guerra cibernética global y doméstica de Rusia

Por Luke Harding, Stiliyana Simeonova, Manisha Ganguly y Dan Sabbagh

The Guardian | Paper Trail Media | Spiegel

  • Documentos filtrados por un denunciante enojado por la guerra de Ucrania
  • Consultoría privada de Moscú refuerza la guerra cibernética rusa
  • Las herramientas admiten operaciones de hacking y ataques a la infraestructura.
  • Documentos vinculados al notorio grupo de hackers ruso Sandworm
  • Programa ruso tiene como objetivo controlar internet y difundir desinformación

La discreta oficina se encuentra en los suburbios del noreste de Moscú. Un cartel dice: "Centro de negocios". Es el lugar donde Pedro el Grande una vez entrenó a su poderoso ejército. Dentro del edificio de seis pisos, una nueva generación está ayudando en las operaciones militares rusas. Sus armas son más avanzadas que las de la era de Pedro el Grande: no picas y alabardas, sino herramientas de hacking y desinformación.

Los archivos de Vulkan, que datan de 2016 a 2021, fueron filtrados por un denunciante anónimo enojado por la guerra de Rusia en Ucrania. Tales filtraciones de Moscú son extremadamente raras. Días después de la invasión en febrero del año pasado, la fuente se acercó al periódico alemán Süddeutsche Zeitung y dijo que "el GRU y el FSB se esconden detrás de Vulkan".

Posteriormente, la fuente compartió los datos y más información con la startup de investigación Paper Trail Media, con sede en Múnich. Durante varios meses, periodistas que trabajan para 11 medios de comunicación, incluidos The Guardian, Washington Post y Le Monde, han investigado los archivos en un consorcio liderado por Paper Trail Media y Der Spiegel.

Paper Trail Media media reúne a algunos de los mejores periodistas de investigación europeos. El equipo galardonado hace periodismo de impacto internacional: impreso, en línea, en podcasts y video. Sus reporteros han estado trabajando con el Consorcio Internacional de Periodistas de Investigación (ICIJ), la Red de Historias Prohibidas, el Proyecto de Informes de Corrupción y Crimen Organizado (OCCRP), así como con el Colectivo de Datos Anticorrupción. Las revelaciones desencadenan regularmente debates, investigaciones y cambios en las leyes.

Los ingenieros de software detrás de estos sistemas son empleados de NTC Vulkan. En la superficie, parece una empresa de consultoría de ciberseguridad común y corriente. Sin embargo, una filtración de archivos secretos de la compañía ha expuesto su trabajo para reforzar las capacidades de guerra cibernética de Vladimir Putin.

Miles de páginas de documentos secretos revelan cómo los ingenieros de Vulkan han trabajado para las agencias militares y de inteligencia rusas para apoyar las operaciones de hacking global, capacitar a los agentes antes de los ataques a la infraestructura nacional, difundir desinformación y controlar secciones de Internet.

El trabajo de la empresa está vinculado al Servicio de Seguridad Federal o FSB, la agencia de espionaje nacional; las Divisiones Operativas y de Inteligencia de las Fuerzas Armadas, conocidas como GOU y GRU; y la SVR, la Organización de Inteligencia Extranjera de Rusia.

Un documento vincula una herramienta de ataque cibernético Vulkan con el notorio grupo de hacking Sandworm, que según el gobierno de EE.UU. provocó dos veces apagones en Ucrania, interrumpió los Juegos Olímpicos en Corea del Sur y lanzó NotPetya, el malware económicamente más destructivo de la historia. Con el nombre en código Scan-V, rastrea Internet en busca de vulnerabilidades, que luego se almacenan para su uso en futuros ataques cibernéticos.

Otro sistema, conocido como Amezit, equivale a un modelo para vigilar y controlar Internet en las regiones bajo el mando de Rusia, y también permite la desinformación a través de perfiles falsos en las redes sociales. Un tercer sistema construido por Vulkan, Crystal-2V, es un programa de capacitación para ciberoperadores en los métodos necesarios para derribar la infraestructura ferroviaria, aérea y marítima. Un archivo que explica el software dice: "El nivel de confidencialidad de la información procesada y almacenada en el producto es 'Top Secret'".

"La gente debería saber los peligros de esto", dijo el denunciante. "Debido a los acontecimientos en Ucrania, decidí hacer pública esta información. La empresa está haciendo cosas malas y el gobierno ruso es cobarde y está equivocado. Estoy enojado por la invasión de Ucrania y las cosas terribles que están sucediendo allí. Espero que puedan usar esta información para mostrar lo que sucede detrás de puertas cerradas".

Cinco agencias de inteligencia occidentales confirmaron que los archivos de Vulkan parecen ser auténticos. La empresa y el Kremlin no respondieron a múltiples solicitudes de comentarios.

La fuga contiene correos electrónicos, documentos internos, planes de proyectos, presupuestos y contratos. Ofrecen información sobre los amplios esfuerzos del Kremlin en el ámbito cibernético, en un momento en que está llevando a cabo una guerra brutal contra Ucrania. No se sabe si las herramientas creadas por Vulkan se han utilizado para ataques en el mundo real, en Ucrania o en otros lugares.

Desde el comienzo de la guerra, al menos cinco grupos rusos, patrocinados por el estado o ciberdelincuentes, incluidos Gamaredon, Sandworm, and Fancy Bear, se han dirigido a las agencias gubernamentales y empresas privadas de Ucrania en docenas de operaciones destinadas a interrumpir los servicios o robar información confidencial.

Pero se sabe que los agentes informáticos rusos han atacado repetidamente las redes informáticas ucranianas; una campaña que continúa. Desde la invasión del año pasado, los misiles de Moscú han golpeado a Kiev y otras ciudades, destruyendo infraestructura crítica y dejando al país a oscuras.

Los analistas dicen que Rusia también está involucrada en un conflicto continuo con lo que percibe como su enemigo: Occidente, representado con US, UK, EU, Canada, Australia y New Zealand, todos los cuales han desarrollado sus propias capacidades ciberofensivas clasificadas en una carrera armamentista digital.

Algunos documentos de la filtración contienen lo que parecen ser ejemplos ilustrativos de objetivos potenciales. Uno contiene un mapa que muestra puntos en los EE.UU. y otro contiene los detalles de una central nuclear en Suiza.

Un documento recomiendan que Rusia aumente sus propias capacidades mediante el uso de herramientas de hacking robadas en 2016 de la Agencia de Seguridad Nacional de EE.UU. y publicadas en línea.

John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, que revisó selecciones del material a pedido del consorcio, dijo: "Estos documentos sugieren que Rusia ve los ataques a la infraestructura crítica civil y la manipulación de las redes sociales como uno y la misma misión, que es esencialmente un ataque a la voluntad de lucha del enemigo".

¿Qué es Vulkan?

El director ejecutivo de Vulkan, Anton Markov, es un hombre de mediana edad, con el pelo corto y bolsas oscuras alrededor de los ojos. Markov fundó Vulkan ("volcán" en español) en 2010, con Alexander Irzhavsky. Ambos son graduados de la academia militar de San Petersburgo y sirvieron en el ejército en el pasado, ascendiendo a capitán y mayor respectivamente.

La compañía es parte del complejo militar-industrial de Rusia. Este mundo subterráneo abarca agencias de espionaje, firmas comerciales e instituciones de educación superior. Especialistas como programadores e ingenieros se mueven de una rama a otra; los actores estatales secretos dependen en gran medida de la experiencia del sector privado.

Vulkan se lanzó en un momento en que Rusia estaba expandiendo rápidamente sus capacidades cibernéticas. Tradicionalmente, el FSB tomaba la delantera en los asuntos cibernéticos. En 2012, Putin nombró al ambicioso y enérgico Sergei Shoigu como ministro de defensa. Shoigu, quien está a cargo de la guerra de Rusia en Ucrania, quería sus propias tropas cibernéticas, reportando directamente a él.

A partir de 2011, Vulkan recibió licencias gubernamentales especiales para trabajar en proyectos militares clasificados y secretos de estado. Es una empresa tecnológica de tamaño medio, con más de 120 empleados, de los cuales unos 60 son desarrolladores de software. No se sabe a cuántos contratistas privados se les otorga acceso a proyectos tan sensibles en Rusia, pero algunas estimaciones sugieren que no son más de una docena.

La cultura corporativa de Vulkan es más Silicon Valley que una agencia de espionaje. Cuenta con un equipo de fútbol del personal y correos electrónicos motivacionales con consejos de acondicionamiento físico y celebraciones de cumpleaños de los empleados. Incluso hay un eslogan optimista: "Hacer del mundo un lugar mejor" que aparece en un brillante video promocional.

Vulkan dice que se especializa en "seguridad de la información"; oficialmente, sus clientes son grandes empresas estatales rusas. Incluyen Sberbank, el banco más grande del país; la aerolínea nacional Aeroflot; y los ferrocarriles rusos. "El trabajo fue divertido. Usamos las últimas tecnologías", dijo un ex empleado que finalmente se fue después de que se desilusionó con el trabajo. "La gente era realmente inteligente. Y el dinero era bueno, muy por encima de la tasa habitual".

Además de la experiencia técnica, esos generosos salarios compraron la expectativa de discreción. Algunos miembros del personal son graduados de la Universidad Técnica Estatal Bauman de Moscú, que tiene una larga historia de proporcionar reclutas al Ministerio de Defensa. Los flujos de trabajo se organizan sobre principios de estricto secreto operativo, y nunca se le dice al personal en qué están trabajando otros departamentos.

El espíritu de la empresa es patriótico, sugiere la filtración. En la víspera de Año Nuevo de 2019, un empleado creó un alegre archivo de Microsoft Excel con música militar soviética y la imagen de un oso. Junto a él estaban las palabras: "APT Magma Bear". La referencia es a grupos de hacking estatales rusos como Cozy Bear y Fancy Bear, y parece apuntar a las propias actividades en la sombra de Vulkan.

Cinco meses después, Markov recordó a sus trabajadores el Día de la Victoria, un feriado del 9 de mayo que celebra la derrota de la Alemania nazi por parte del Ejército Rojo en 1945. "Este es un evento significativo en la historia de nuestro país. Crecí con películas sobre la guerra y tuve la suerte de comunicarme con los veteranos y escuchar sus historias. Estas personas murieron por nosotros, para que podamos vivir en Rusia".

Uno de los proyectos de mayor alcance de Vulkan se llevó a cabo con la bendición de la unidad de ciberguerreros más infame del Kremlin, conocida como Sandworm. Según los fiscales estadounidenses y los gobiernos occidentales, durante la última década, Sandworm ha sido responsable de operaciones de hacking a una escala asombrosa. Ha llevado a cabo numerosos ataques: manipulación política, sabotaje cibernético, interferencia electoral, volcado de correos electrónicos y filtraciones.

Sandworm desactivó la red eléctrica de Ucrania en 2015. Al año siguiente, participó en la descarada operación de Rusia para descarrilar las elecciones presidenciales de EE.UU. Dos de sus agentes fueron acusados de distribuir correos electrónicos robados a los demócratas de Hillary Clinton usando un personaje falso, Guccifer 2.0. Luego, en 2017, Sandworm robó más datos en un intento de influir en el resultado de la votación presidencial francesa, dice Estados Unidos.

Ese mismo año, la unidad desató el ciberataque más importante de la historia. Los operativos utilizaron una pieza de malware a medida llamada NotPetya. Comenzando en Ucrania, NotPetya se extendió rápidamente por todo el mundo. Derribó empresas de transporte, hospitales, sistemas postales y fabricantes de productos farmacéuticos fuera de línea: una avalancha digital que se extendió del mundo virtual al físico.

Los archivos de Vulkan arrojan luz sobre una pieza de maquinaria digital que podría desempeñar un papel en el próximo ataque desatado por Sandworm.

Un sistema 'construido con fines ofensivos'

Una unidad especial dentro del "centro principal de tecnologías especiales" de GRU, Sandworm es conocido internamente por su número de campo 74455. Este código aparece en los archivos de Vulkan como una "parte de aprobación" en un documento técnico. Describe un "protocolo de intercambio de datos" entre una base de datos militar aparentemente preexistente que contiene inteligencia sobre debilidades de software y hardware, y un nuevo sistema que se le había encargado a Vulkan que ayudara a construir: Scan-V.

Los grupos de atacantes informáticos como Sandworm penetran en los sistemas informáticos buscando primero los puntos débiles. Scan-V respalda ese proceso, realizando un reconocimiento automatizado de objetivos potenciales en todo el mundo en una búsqueda de servidores y dispositivos de red potencialmente vulnerables. Luego, la inteligencia se almacena en un depósito de datos, lo que brinda a los atacantes informáticos un medio automatizado para identificar objetivos.

Gabby Roncone, otra experta de la empresa de seguridad cibernética Mandiant, dio la analogía de escenas de viejas películas militares donde la gente coloca "su artillería y tropas en el mapa. Quieren entender dónde están los tanques enemigos y dónde deben atacar primero para romper las líneas enemigas", dijo.

El proyecto Scan fue encargado en mayo de 2018 por el Instituto de Ingeniería Física, un centro de investigación en la región de Moscú estrechamente asociado con el GRU. Todos los detalles fueron clasificados. No está claro si Sandworm era un usuario previsto del sistema, pero en mayo de 2020 un equipo de Vulkan visitó una instalación militar en Khimki, la misma ciudad en las afueras de Moscú donde se encuentra la unidad de hacking, para probar el sistema Scan.

"Scan definitivamente está diseñado para fines ofensivos. Se adapta cómodamente a la estructura organizativa y al enfoque estratégico del GRU", dijo un analista después de revisar los documentos. "No encuentras diagramas de red y documentos de diseño como este muy a menudo. Realmente es un asunto muy complicado".

Los archivos filtrados no contienen información sobre el código malicioso ruso o el malware utilizado para las operaciones de hacking. Pero un analista de Google dijo que en 2012 la empresa de tecnología vinculó a Vulkan con una operación que involucraba un malware conocido como MiniDuke. La SVR, la Agencia de Inteligencia Extranjera de Rusia, usó MiniDuke en campañas de phishing. La filtración muestra que una parte encubierta del SVR, la unidad militar 33949, contrató a Vulkan para trabajar en múltiples proyectos. La empresa nombró a su cliente "sanatorium" y "dispensary".

Control, vigilancia y desinformación en Internet

En 2018, un equipo de empleados de Vulkan viajó al sur para asistir a la prueba oficial de un amplio programa que permite el control, la vigilancia y la desinformación de Internet. La reunión tuvo lugar en el Instituto de Investigación de Radio de Rostov-on-Don, vinculado al FSB. Subcontrató a Vulkan para ayudar en la creación del nuevo sistema, denominado Amezit, que también estaba vinculado en los archivos al ejército ruso.

"Mucha gente trabajó en Amezit. Se invirtió dinero y tiempo", recuerda un exempleado. "Otras empresas también participaron, posiblemente porque el proyecto era muy grande e importante".

Vulkan jugó un papel central. Ganó un contrato inicial para construir el sistema Amezit en 2016, pero los documentos sugieren que los ingenieros de Vulkan aún estaban mejorando partes de Amezit hasta bien entrado 2021, con planes para un mayor desarrollo en 2022.

Una parte de Amezit es doméstica, lo que permite a los operativos secuestrar y tomar el control de Internet si estallan disturbios en una región rusa, o si el país gana un bastión sobre el territorio de un estado nación rival, como Ucrania. El tráfico de Internet que se considere políticamente dañino puede eliminarse antes de que tenga la posibilidad de propagarse.

Un documento interno de 387 páginas explica cómo funciona Amezit. Las fuerzas armadas necesitan acceso físico a hardware, como torres de telefonía móvil, y comunicaciones inalámbricas. Una vez que controlan la transmisión, el tráfico puede ser interceptado. Los espías militares pueden identificar a las personas que navegan por la web, ver a qué acceden en línea y rastrear la información que comparten los usuarios.

Desde la invasión del año pasado, Rusia arrestó a manifestantes contra la guerra y aprobó leyes punitivas para evitar las críticas públicas a lo que Putin llama una "operación militar especial". Los archivos de Vulkan contienen documentos vinculados a una operación del FSB para monitorear el uso de las redes sociales dentro de Rusia a una escala gigantesca, utilizando análisis semánticos para detectar contenido "hostil".

Según una fuente familiarizada con el trabajo de Vulkan, la empresa desarrolló un programa de recolección a granel para el FSB llamado Fraction. Peina sitios como Facebook u Odnoklassniki, el equivalente ruso, en busca de palabras clave. El objetivo es identificar posibles figuras de la oposición a partir de datos de código abierto.

El personal de Vulkan visitaba regularmente el centro de seguridad de la información del FSB en Moscú, la unidad cibernética de la agencia, para consultar sobre el programa secreto. El edificio está al lado de la sede de Lubyanka del FSB y de una librería; la filtración revela que los espías de la unidad fueron apodados en broma "amantes de los libros".

El desarrollo de estos programas secretos habla de la paranoia en el corazón del liderazgo de Rusia. Está aterrorizado por las protestas callejeras y la revolución del tipo visto en Ucrania, Georgia, Kirguistán y Kazajstán. Moscú considera que Internet es un arma crucial para mantener el orden. En casa, Putin ha eliminado a sus oponentes. Los disidentes han sido encerrados; críticos como Alexei Navalny envenenados y encarcelados.

Es una pregunta abierta si los sistemas Amezit se han utilizado en la Ucrania ocupada. En 2014, Rusia se tragó de forma encubierta las ciudades orientales de Donetsk y Lugansk. Desde el año pasado, ha tomado más territorio y cerrado los servicios de Internet y móviles de Ucrania en las áreas que controla. Los ciudadanos ucranianos se han visto obligados a conectarse a través de proveedores de telecomunicaciones con sede en Crimea, con tarjetas SIM entregadas en campamentos de "filtración" dirigidos por el FSB.

Sin embargo, los reporteros pudieron rastrear la actividad del mundo real llevada a cabo por cuentas de redes sociales falsas vinculadas a Vulkan como parte de un subsistema de Amezit, cuyo nombre en código es PRR.

Herramientas para la propaganda doméstica automatizada

Ya se sabía que el Kremlin había hecho uso de su fábrica de desinformación, la Agencia de Investigación de Internet con sede en San Petersburgo, que ha sido incluida en la lista de sanciones de Estados Unidos. El multimillonario Yevgeny Prigozhin, aliado cercano de Putin, está detrás de la operación de manipulación masiva. Los archivos de Vulkan muestran cómo el ejército ruso contrató a un contratista privado para construir herramientas similares para la propaganda doméstica automatizada.

Este subsistema Amezit permite al ejército ruso llevar a cabo operaciones de desinformación encubiertas a gran escala en las redes sociales y en Internet, mediante la creación de cuentas que se asemejan a personas reales en línea o avatares. Los avatares tienen nombres y fotos personales robadas, que luego se cultivan durante meses para crear una huella digital realista.

La filtración contiene capturas de pantalla de cuentas de Twitter falsas y hashtags utilizados por el ejército ruso desde 2014 hasta principios de este año. Difunden desinformación, incluida una teoría de la conspiración sobre Hillary Clinton y la negación de que el bombardeo de Siria por parte de Rusia haya matado a civiles. Tras la invasión de Ucrania, una cuenta falsa de Twitter vinculada a Vulkan publicó: "Excelente líder #Putin".

Otro proyecto desarrollado por Vulkan vinculado a Amezit es mucho más amenazante. Con el nombre en código Crystal-2V, es una plataforma de capacitación para ciberoperadores rusos. Capaz de permitir el uso simultáneo de hasta 30 alumnos, parece simular ataques contra una variedad de objetivos esenciales de infraestructura nacional: líneas ferroviarias, estaciones eléctricas, aeropuertos, vías fluviales, puertos y sistemas de control industrial.

¿Un riesgo de seguridad continuo?

La naturaleza intrusiva y destructiva de las herramientas para las que se contrató a Vulkan genera preguntas difíciles para los desarrolladores de software que han trabajado en estos proyectos. ¿Pueden ser descritos como ciber-mercenarios? ¿O espías rusos? Algunos casi seguro que lo son. Otros son quizás meros engranajes en una máquina más amplia, que realizan importantes tareas de ingeniería para el complejo cibermilitar de su país.

Hasta la invasión rusa de Ucrania en 2022, el personal de Vulkan viajaba abiertamente a Europa occidental y asistía a conferencias de TI y ciberseguridad, incluida una reunión en Suecia, para mezclarse con delegados de empresas de seguridad occidentales.

Los ex graduados de Vulkan ahora viven en Alemania, Irlanda y otros países de la UE. Algunos trabajan para corporaciones tecnológicas globales. Dos están en Amazon Web Services y Siemens. Siemens se negó a comentar sobre empleados individuales, pero dijo que tomaba esas preguntas "muy en serio". Amazon dijo que implementó "controles estrictos" y que proteger los datos de los clientes era su "máxima prioridad".

No está claro si los ex ingenieros de Vulkan ahora en el oeste representan un riesgo para la seguridad y si han llamado la atención de las agencias de contrainteligencia occidentales. Al parecer, la mayoría tiene familiares en Rusia, una vulnerabilidad conocida por haber sido utilizada por el FSB para presionar a los profesionales rusos en el extranjero para que colaboren.

Contactado por un reportero, un ex miembro del personal expresó su pesar por haber ayudado a la agencia de espionaje nacional y militar de Rusia. "Al principio no estaba claro para qué se usaría mi trabajo. Con el tiempo entendí que no podía seguir y que no quería apoyar al régimen. Tenía miedo de que me pasara algo o terminara en la cárcel".

También hubo enormes riesgos para el denunciante anónimo detrás de los archivos de Vulkan. El régimen ruso es conocido por cazar a aquellos a los que considera traidores. En su breve intercambio con un periodista alemán, el filtrador dijo que eran conscientes de que dar información confidencial a los medios extranjeros era peligroso. Pero habían tomado precauciones que les cambiaron la vida. Habían dejado atrás su vida anterior, dijeron, y ahora existían "como un fantasma".

Fuente: The Guardian

Traducción Cristian Borghello

30 mar 2023

XSS solucionado en Azure Cloud Service (Fabric)

Microsoft corrigió una "falla peligrosa" en su componente Azure Service Fabric de la infraestructura de alojamiento en la nube de la compañía. Si se hubiera explotado, habría permitido que un actor malicioso no autenticado ejecutara código en un contenedor alojado en la plataforma.

Investigadores de Orca Security descubrieron la falla de Cross-site Scripting (XSS), a la que llamaron Super FabriXSS, en diciembre y se la informaron a Microsoft, que emitió una solución en la ronda de actualizaciones de marzo.

Los investigadores revelaron los detalles técnicos del error y demostraron cómo los atacantes pueden aprovechar la falla, que hace que las versiones de Azure Service Fabric Explorer anteriores a 9.1.1583.9590 sean vulnerables a la explotación, en una presentación en el BlueHat IL 2023 de Microsoft en Tel Aviv.

Super FabriXSS, identificado como CVE-2023-23383, con una calificación CVSS de 8.2, es la segunda falla XSS que, hasta ahora, los investigadores de Orca descubrieron en Azure Service Fabric Explorer. Como parte de la plataforma en la nube Azure de Microsoft, Azure Service permite el empaquetado, la implementación y la gestión de microservicios y contenedores sin estado y con estado en sistemas distribuidos a gran escala.

La primera vulnerabilidad XSS, denominada FabriXSS y detallada por los investigadores de Orca en octubre, no representaba un riesgo tan grave como su sucesor.

Explotando Super FabriXSS

Con Super FabriXSS, un atacante remoto no autenticado puede ejecutar código en un contenedor alojado en uno de los nodos de Service Fabric, lo que "significa que un atacante podría obtener el control de sistemas críticos y causar daños significativos", dijo Lidor Ben Shitrit, investigador de seguridad en la nube de Orca Security.

Usando Super FabriXSS, un atacante podría crear una URL maliciosa que, cuando se hace clic, inicia un proceso de varios pasos que eventualmente conduce a la creación y despliegue de un contenedor dañino en uno de los nodos del clúster.

Específicamente, los investigadores demostraron en BlueHat cómo podían escalar una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer a un RCE no autenticado abusando de la pestaña de métricas y habilitando una opción específica en la consola.

La vulnerabilidad en sí surge de un parámetro vulnerable de "Node name", que puede explotarse para incrustar un iframe en el contexto del usuario, dijo Shitrit en la publicación. Este iframe luego recupera archivos remotos de un servidor controlado por el atacante, lo que finalmente conduce a la ejecución de un shell inverso malicioso de PowerShell.

"Esta cadena de ataque puede resultar en última instancia en la ejecución remota de código en el contenedor [que] se implementa en el clúster, lo que podría permitir que un atacante tome el control de los sistemas críticos", escribió.

Mitigación e implicaciones para los usuarios de Azure

Orca informó la vulnerabilidad al Microsoft Security Response Center (MSRC) el 20 de diciembre, y comenzó una investigación sobre el problema.

Si bien no es necesaria ninguna otra acción por parte de los usuarios de Azure Service Fabric, la falla resalta el peligro inherente de las vulnerabilidades sin parchear en las arquitecturas basadas en la nube, en comparación con las soluciones locales.

"Con los sistemas basados en la nube, las organizaciones a menudo dependen de proveedores externos, lo que genera una mayor superficie de ataque y menos control sobre las medidas de seguridad", agrega. "Además, es importante tener en cuenta la naturaleza multiinquilino de los entornos de nube y la importancia de mantener un aislamiento adecuado entre los inquilinos".

Fuente: Dark Reading

29 mar 2023

Dark Power, nuevo ransomware activo

Ha aparecido una nueva operación de ransomware llamada "Dark Power", y ya ha enumerado a sus primeras víctimas en un sitio de fuga de datos de la dark web, amenazando con publicar los datos si no se paga un rescate.

El cifrador de la banda de ransomware tiene una fecha de compilación del 29 de enero de 2023, cuando comenzaron los ataques. Además, la operación aún no se ha promocionado en ningún foro de crackers o espacio web; por lo tanto, es probable que sea un proyecto privado.

Según Trellix, que analizó Dark Power, esta es una operación de ransomware oportunista que se dirige a organizaciones de todo el mundo y solicita pagos de rescate relativamente pequeños de U$S10.000.

El payload de Dark Power se escribió en Nim, un lenguaje de programación multiplataforma con varias ventajas relacionadas con la velocidad, lo que lo hace adecuado para aplicaciones de rendimiento crítico como el ransomware.

Además, debido a que Nim recién ahora comienza a ser más popular entre los ciberdelincuentes, generalmente se considera una opción de nicho que es poco probable que sea detectada por las herramientas de defensa. Los programadores utilizan la librería NimmCrypto para el cifrado.

Proceso del ransomware

Trellix no brinda detalles sobre el punto de infección de Dark Power, pero podría ser un exploit, correos electrónicos de phishing u otros medios.

Tras la ejecución inicial, el ransomware crea una cadena ASCII aleatoria de 64 caracteres para inicializar el algoritmo de cifrado con una clave única en cada ejecución.

Luego, el ransomware finaliza servicios y procesos específicos en la máquina de la víctima para liberar archivos y minimizar las posibilidades de que algo bloquee el proceso de cifrado de archivos.

Durante esa etapa, el ransomware también detiene el Servicio de instantáneas de volumen (VSS), los servicios de respaldo de datos y los productos antimalware en su lista codificada.

Después de eliminar todos los servicios anteriores, el ransomware "duerme" durante 30 segundos y borra los registros de la consola y del sistema de Windows para evitar el análisis por parte de expertos en recuperación de datos.

El cifrado utiliza AES (modo CRT) y la cadena ASCII generada al iniciarse. Los archivos resultantes se renombran con la extensión ".dark_power".

Curiosamente, circularon dos versiones del ransomware, cada una con un esquema de clave de cifrado diferente. La primera variante procesa la cadena ASCII con el algoritmo SHA-256 y luego divide el resultado en dos mitades, usando la primera como clave AES y la segunda como vector de inicialización (nonce). La segunda variante usa el resumen SHA-256 como la clave AES y un valor fijo de 128 bits como el nonce de cifrado.

Los archivos críticos del sistema como DLL, LIB, INI, CDM, LNK, BIN y MSI, así como los archivos de programa y las carpetas del navegador web, se excluyen del cifrado para mantener la computadora infectada operativa, lo que permite a la víctima ver la nota de rescate.

La nota, que se modificó por última vez el 9 de febrero de 2023, otorga a las víctimas 72 horas para enviar U$S 10.000 en XMR (Monero) a la dirección de billetera proporcionada para obtener un descifrador que funcione.

La nota de rescate de Dark Power se destaca en comparación con otras operaciones de ransomware, ya que es un documento PDF de 8 páginas que contiene información sobre lo que sucedió y cómo contactarlos a través del mensajero qTox.

Víctimas y actividad

Al escribir esto, el sitio Tor de Dark Power estaba fuera de línea. Sin embargo, no es raro que los portales de ransomware se desconecten periódicamente a medida que se desarrollan las negociaciones con las víctimas.

Trellix informa que ha visto diez víctimas de los EE.UU., Francia, Israel, Turquía, la República Checa, Argelia, Egipto y Perú, por lo que el alcance de la orientación es global.

El grupo Dark Power afirma haber robado datos de las redes de estas organizaciones y amenaza con publicarlos si no pagan el rescate, por lo que es un grupo más de doble extorsión.

Fuente: BC

NCA crea e infiltra sitios con servicios DDoS-for-hire falsos

La Agencia Nacional contra el Crimen del Reino Unido (NCA, por sus siglas en inglés) reveló que ha creado varios sitios falsos de DDoS para infiltrarse en la clandestinidad criminal en línea.

Los servicios DDoS-for-hire o 'booter' permiten a los usuarios registrados lanzar ataques DDoS ordenados sin conocimientos específicos. La Agencia Nacional se ha infiltrado en el mercado criminal en línea mediante la creación de varios sitios que pretenden ofrecer servicios DDoS de alquiler.

En diciembre, el Departamento de Justicia de EE.UU. (DoJ) incautó 48 dominios asociados con las plataformas de servicio Booter utilizadas por los actores de amenazas. Los sitios web incautados por los federales se utilizaron para lanzar millones de ataques DDoS reales o intentados dirigidos a víctimas en todo el mundo.

Mientras los sitios administrados por la NCA estaban en funcionamiento, varios miles de personas accedieron a ellos, cuyos datos de registro fueron obtenidos por los investigadores. Las autoridades del Reino Unido contactarán a los usuarios registrados con sede en el Reino Unido y les advertirán sobre la participación en delitos cibernéticos. La información relacionada con los usuarios que se encuentran en el extranjero se transmite a las fuerzas del orden internacionales.

"Todos los sitios administrados por la NCA, a los que hasta ahora han accedido varios miles de personas, se han creado para que parezca que ofrecen las herramientas y servicios para ejecutar estos ataques", se lee en el anuncio. "Sin embargo, después de que los usuarios se registran, en lugar de tener acceso a las herramientas de delitos cibernéticos, los investigadores recopilan sus datos".

La actividad es parte de una operación internacional coordinada llamada Operation Power Off que tiene como objetivo las infraestructuras DDoS de alquiler en todo el mundo.

"Los servicios Booter son un facilitador clave del delito cibernético". dijo Alan Merrett de la Unidad Nacional de Delitos Cibernéticos de la NCA. "El anonimato percibido y la facilidad de uso que ofrecen estos servicios significa que DDoS se ha convertido en un atractivo delito básico, que permite a las personas con poca capacidad técnica cometer delitos cibernéticos con facilidad".

Las agencias internacionales han ampliado su capacidad operativa con este tipo de actividad, al mismo tiempo que socavan la confianza en el mercado criminal.

Fuente: SecurityAffairs

28 mar 2023

La nube y el correo, mal configurados son los principales problemas de ciberseguridad

El puntaje de riesgo promedio para la empresa empeoró este año pasado debido a que las empresas no logran adaptarse a las técnicas de exfiltración de datos y proteger adecuadamente las aplicaciones web.

El riesgo efectivo de exfiltración de datos aumentó desde 30/100 en 2021 a 44/100 en 2022. Esta medición se basa en la clasificación de la empresa Cymulate, que analizó los datos en 1 millón de pruebas de penetración, incluidas 1,7 millones de horas de pruebas de ciberseguridad ofensivas dentro de entornos de producción.

En su informe "Estado de la eficacia de la ciberseguridad de 2022" [PDF], publicado el 28 de marzo, la empresa señaló que existen varios problemas persistentes que conducen a un mayor riesgo. Por un lado, mientras muchas empresas están mejorando su adopción y el rigor de las políticas de red y de grupo, los atacantes se están adaptando para eludir tales protecciones, según el informe.

Además, los conceptos básicos continúan rezagados: la empresa descubrió que cuatro de los 10 CVE principales identificados en los entornos de sus clientes tenían más de dos años. Estos incluyen la vulnerabilidad de validación de firma WinVerifyTrust de alta gravedad (CVE-2013-2900), que puede permitir que los ejecutables maliciosos pasen las comprobaciones de seguridad, y una vulnerabilidad de corrupción de memoria en Microsoft Office (CVE-2018-0798).


Sin embargo, hay buenas noticias. Los datos de las evaluaciones de seguridad indican que todas las empresas han mejorado los puntajes de riesgo para la detección de malware en las principales plataformas, y muchos ataques están bloqueados por gateways.

"La ciberseguridad debe convertirse en un proceso tratado como cualquier otro proceso empresarial, con controles y equilibrios y una revisión periódica. El CFO nunca permitiría que los libros permanecieran cerrados excepto una vez al año, sin embargo, los sistemas que albergan todo ese dinero como datos solo se revisan de forma rutinaria durante una prueba de penetración anual", dijo Mike DeNapoli, director de Cymulate.

Todo esto se produce en el contexto de que las empresas se centran cada vez más en proteger toda su superficie de ataque, mejorar la resistencia a los ataques cibernéticos y prevenir la interrupción de los sistemas de información. Como resultado, los servicios y productos de ciberseguridad que reducen la complejidad se han vuelto más populares, mientras que las grandes empresas de tecnología se han lanzado al ruedo, como el lanzamiento de Microsoft de Defender External Attack Surface Management en agosto y la compra de Randori por parte de IBM en junio. El tiempo dirá si estas tendencias moverán la aguja en el riesgo.

Mientras tanto, el análisis de Cymulate de un año de pruebas de ciberseguridad ofensivas también encontró que la nube y el correo electrónico continúan brindando espacios de pruebas ricos para los delincuentes informáticos.

El informe también mostró que las diferentes industrias tienen diferentes fortalezas y debilidades. Los sectores de la educación y la hostelería, por ejemplo, tenían el mayor riesgo de exfiltración de datos, mientras que las protecciones contra las amenazas más inmediatas eran las más bajas en el sector de la tecnología. Tanto las organizaciones tecnológicas como las gubernamentales tenían una protección de firewall de aplicaciones web peor que el promedio.

Ataques desde las nubes populares

Los atacantes han cambiado algunos aspectos de sus ataques del uso de servicios populares para compartir archivos, como Dropbox y Box para evadir los filtros de archivos adjuntos de correo electrónico y otras tecnologías de seguridad, al uso de una infraestructura de nube más genérica, como Amazon y Azure. Las empresas tienen más dificultades para bloquear datos de proveedores de servicios grandes y confiables, que sirven como columna vertebral para muchos sitios web y servicios en la nube grandes, dice DeNapoli.

"Estas métricas se aplican a cientos de intentos de eliminar datos que deberían considerarse 'controlados' por la organización", dice. "Este aumento significa que las organizaciones tienen menos control para evitar que los datos comerciales confidenciales, de identificación personal y otros datos controlados se eliminen de la organización de manera no autorizada".

Las principales tácticas más exitosas utilizadas por los atacantes incluyen atacar a los usuarios a través de aescenarios de drive-by, exfiltración de datos y transferencia de datos a través de cuentas en cloud, tales como AWS o Azure.

Correo electrónico mal configurado

Casi la mitad de las 10 principales exposiciones descubiertas por las pruebas de penetración de Cymulate involucraron una falta de seguridad para la infraestructura básica de TI. Las simulaciones descubrieron que los problemas comunes incluían el no reconocimiento de dominios de phishing, una falla en la configuración de DNSSEC y la falta de dos tecnologías: Domain-based Message Authentication, Reporting, and Conformance (DMARC) y Sender Policy Framework (SPF), que pueden ayudar a detener ataques basados en correo electrónico.

En general, las empresas han tardado en implementar tecnologías críticas de seguridad e integridad del correo electrónico, como DMARC, SPF y una tercera tecnología, Domain Keys Identified Mail (DKIM), que juntas pueden ayudar a prevenir el éxito del phishing y el fraude de marca. Si bien las empresas que implementan registros DMARC, DKIM y SPF pueden protegerse mejor contra ataques basados en correo electrónico, los estándares tecnológicos solo son realmente efectivos si ambos lados de un intercambio los utilizan, dice DeNapoli.

Fuente: DarkReading

NSA publica curso gratuito de Python para ciberseguridad

La Agencia de Seguridad Nacional de EE.UU. (NSA, por sus siglas en inglés) ha publicado recientemente un documento oficial COMP 3321 para aprender a programar en Python, el lenguaje de programación más utilizado en el campo de la ciberseguridad.

Aunque Python no es el lenguaje más fuerte en este campo, su simplicidad le ha dado un gran impulso en esta área. La NSA, consciente de su importancia, ha creado su propio material de aprendizaje de Python y anima al público a buscarlo.

Los desarrolladores ya tienen numerosas opciones de Microsoft y Google para aprender a programar en Python. Pero ahora los desarrolladores en ciernes pueden leer sobre los propios materiales de capacitación de Python de la Agencia de Seguridad Nacional.

El ingeniero de software Chris Swenson obtuvo el material a través de una solicitud bajo la Ley de Libertad de Información y lo convirtió en una copia digital completa.

El curso de Python no contiene información clasificada y puede completarse en un bloque de dos semanas a tiempo completo o a un ritmo más pausado, como en un almuerzo semanal durante varios meses o incluso en un taller de tres días.

La NSA describe el curso como adecuado para cualquier persona que quiera aprender a programar en Python, ya sea que ya tenga conocimientos de otro lenguaje de programación o no.

Los módulos cubiertos por semana son diez, y cada sesión de material del curso tardaría entre 45 y 90 minutos en completarse en un entorno de clase.

Para acceder al curso gratuito de Python de la NSA, se puede descargar el material completo (mirror) [PDF]. Además, se puede unir al canal en Telegram de la NSA con cientos de cursos gratuitos publicados diariamente.

El desarrollador de Python, Kushal Das, ha sacado algunos detalles interesantes del material. Descubrió que la NSA tiene un índice interno de paquetes de Python, que su instancia de GitLab es gitlab.coi.nsa.ic.gov y que tiene una galería de Jupyter que se ejecuta a través de HTTPS. NSA también ofrece instrucciones de instalación de GIT para CentOS, Red Hat Enterprise Linux, Ubuntu y Windows, pero no para Debian.

Fuente: ZDNet

27 mar 2023

Francia también prohibe TikTok, Twitter, Netflix y Candy Crush en el Estado

El gobierno de Francia elaboró una "lista negra" de aplicaciones que no podrán usarse en dispositivos oficiales que están asociados a servidores públicos. Si bien aún no hay un detalle completo de las herramientas bloqueadas, Le Monde menciona a TikTok, Twitter, Netflix y Candy Crush , entre otras.

El bloqueo se produce después de que el gobierno federal de EE.UU., decenas de estados, Canadá, la Comisión Europea. el Reino Unido prohibieran TikTok en los dispositivos de sus trabajadores. En esos casos, la lógica ha sido similar: a los funcionarios de muchos países les preocupa que el gobierno chino pueda recopilar datos sobre personas importantes, difundir propaganda y obligar a ByteDance (la empresa matriz de TikTok) a entregar información confidencial.

¿Por qué Francia bloqueó TikTok, Candy Crush y Twitter?

Cabe remarcar que la restricción en territorio galo corre para los dispositivos gubernamentales, no para los celulares y tablets de los usuarios a nivel general.

Según Stanislas Guerini, ministro de Servicios Públicos de Francia, la prohibición de aplicaciones recreativas responde a los riesgos de ciberseguridad que derivan del uso y de la eventual exposición de información interna.

Guerini indicó que una vez que se publique el listado completo de aplicaciones bloqueadas en equipos oficiales se incluirán excepciones "por el bien de la comunicación".

El anuncio que llega desde el país europeo tiene un contexto de ineludible mención: los bloqueos a TikTok en diversas regiones del mundo y la reciente audiencia del CEO de la aplicación china en el Congreso de Estados Unidos.

La propia Unión Europea manifestó sus intenciones de prohibir el uso de la aplicación de origen chino en los dispositivos oficiales, siguiendo los pasos de Estados Unidos, donde la herramienta de ByteDance podría ser bloqueada no sólo en los celulares gubernamentales sino a nivel nacional.

En los diferentes bloqueos a TikTok, la herramienta está en la mira por supuestos riesgos para la seguridad nacional, por eventuales prácticas de espionaje y entrega de información al gobierno del gigante asiático. Pero tal como nota el sitio Engadget, las medidas de las autoridades galas no apuntan a un país en particular. En rigor, Twitter, Candy Crush y Netflix son desarrollos de empresas estadounidenses.

"La nueva política francesa no está dirigida a ningún país o categoría de aplicación. En cambio, representa una preocupación general de que las herramientas de entretenimiento pongan en riesgo innecesariamente los datos de los gobiernos".

Fuente: Engadget

26 mar 2023

Uso del chip EMV vs banda magnética de una tarjeta de crédito

La tecnología de chip EMV ha reducido significativamente el fraude con tarjetas de crédito en el punto de venta, pero el fraude sin tarjeta presente continúa prosperando, gracias a una tecnología antigua: la banda magnética, dice Mark Solomon, presidente internacional de la Asociación Internacional de Investigadores de Delitos Financieros.

EMV significa "Europay, MasterCard y Visa", que son las tres empresas que desarrollaron originalmente las especificaciones de la tecnología. Hoy cuenta con el respaldo de varias otras compañías, incluidas Discover, American Express y UnionPay, a través de una organización llamada EMVCo.

Hasta ahora, el número de la tarjeta se almacenaba en la banda magnética en el reverso de la tarjeta. Cuando desliza la tarjeta en la caja, la terminal de caja lee la información de su tarjeta de esa franja y luego la envía a través de una red para transferir el dinero de su cuenta al minorista. Ese número es estático, lo que significa que siempre es el mismo número para cada transacción, lo que hace que sea relativamente fácil para los estafadores piratear la terminal o la red, robar su número de tarjeta y usarlo en otro lugar.

Pero el chip del microprocesador de su tarjeta EMV genera un código único para cada transacción. Incluso si un delincuente logra obtener el código de la tienda, en su mayoría es inútil porque no funcionará una segunda vez y no se puede rastrear hasta su número de tarjeta real. Tiene la misma información que la banda magnética de la tarjeta anterior, pero crea un código único que se reorganiza con cada compra. El código generado tiene en cuenta numerosas variables diferentes y no está vinculado a la cuenta de un tarjetahabiente.

"Ahora estamos viendo que los estafadores pasan de ir a las tiendas y usar tarjetas robadas: solo usan los datos de la tarjeta en Internet, como tiendas en línea y mercados de darknet", dice Solomon.

La banda magnética de una tarjeta de crédito puede ser vulnerable a la clonación y el robo de identidad. Los delincuentes pueden utilizar dispositivos de skimming para leer la información de la banda magnética de una tarjeta de crédito sin que el propietario se dé cuenta. Por eso, se recomienda utilizar tarjetas con chip EMV en lugar de tarjetas con banda magnética.

Se supone que la banda magnética en el reverso de las tarjetas proporciona un método de pago de respaldo si no se puede leer el chip EMV. Los estafadores todavía roban datos de tarjetas y activan las bandas magnéticas en tarjetas falsas.

El chip EMV es el estándar global utilizado para los chips de las tarjetas de crédito en todo el mundo. El chip EMV es capaz de brindar una autenticación mucho más sofisticada que las tarjetas de banda magnética. Básicamente, hay un sistema informático completamente operativo integrado en cada tarjeta EMV. El chip es "inviolable", por lo que la tarjeta es "casi imposible" de clonar.

La banda magnética todavía se usa porque no todos los comerciantes han actualizado sus sistemas para aceptar tarjetas con chip EMV. Además, la banda magnética es más fácil de usar en ciertos casos, como cuando se viaja al extranjero. Sin embargo, la tendencia es que cada vez más comerciantes actualicen sus sistemas para aceptar tarjetas con chip EMV.

"Los delincuentes están robando los datos de la banda magnética y usándolos en estaciones de gasolina, cajeros automáticos y máquinas POS. Necesitamos deshacernos de este procedimiento alternativo".

Fuente: BankInfosScurity | Gizmodo

24 mar 2023

Extensiones falsas de ChatGPT roban cuentas de Facebook

Google intervino para eliminar una extensión falsa del navegador Chrome de la tienda web oficial que se hizo pasar por el servicio ChatGPT de OpenAI para recolectar cookies de sesión de Facebook y secuestrar las cuentas.

La extensión "ChatGPT para Google", una versión troyanizada de un complemento de navegador de código abierto legítimo, tuvo más de 9.000 instalaciones desde el 14 de marzo de 2023, antes de su eliminación. Se subió originalmente a Chrome Web Store el 14 de febrero de 2023.

Según la investigadora de Guardio Labs, Nati Tal, la extensión se propagó a través de resultados de búsqueda de Google patrocinados maliciosos que fueron diseñados para redirigir a los usuarios desprevenidos que buscaban "Chat GPT-4" a páginas de destino fraudulentas que apuntan al complemento falso.

La instalación de la extensión agrega la funcionalidad prometida, es decir, mejora los motores de búsqueda con ChatGPT, pero también activa sigilosamente la capacidad de capturar cookies relacionadas con Facebook y filtrarlas a un servidor remoto de manera cifrada.

Una vez en posesión de las cookies de la víctima, el autor de la amenaza toma el control de la cuenta de Facebook, cambia la contraseña, altera el nombre y la imagen del perfil e incluso la utiliza para difundir propaganda extremista.

El desarrollo lo convierte en la segunda extensión falsa del navegador ChatGPT Chrome que se descubre en la naturaleza. La otra extensión, que también funcionaba como un ladrón de cuentas de Facebook, se distribuía a través de publicaciones patrocinadas en la plataforma de redes sociales.

En todo caso, los hallazgos son otra prueba más de que los ciberdelincuentes son capaces de adaptar rápidamente sus campañas para sacar provecho de la popularidad de ChatGPT para distribuir malware y organizar ataques oportunistas.

"Para los actores de amenazas, las posibilidades son infinitas: usar su perfil como un bot para comentarios, me gusta y otras actividades promocionales, o crear páginas y cuentas publicitarias usando su reputación e identidad mientras promocionan servicios que son legítimos y probablemente en su mayoría no".

Fuente: THN