Gran operación del FBI para intentar frenar a los hackers chinos

 Un tribunal de Houston (Texas, USA) autorizó una operación del FBI para "copiar y eliminar" puertas traseras de cientos de servidores de correo electrónico de Microsoft Exchange en USA.

Los hackers chinos le hicieron un daño considerable a Microsoft Exchange.

Microsoft Exchange Server es un servidor de correo y un servidor de calendario desarrollado por Microsoft. Se ejecuta exclusivamente en sistemas operativos Windows Server.

 

Esto sucede meses después de que los piratas informáticos utilizaran 4 vulnerabilidades no descubiertas anteriormente para atacar miles de redes.

 

El Departamento de Justicia anunció la operación, que calificó de "exitosa".

 

Hafnium

 

En marzo 2021, Microsoft descubrió un nuevo grupo de piratas informáticos patrocinado por China, Hafnium, dirigido a servidores Exchange que se ejecutan desde redes de empresas. 

 

Hafnium es un grupo de ciberespionaje, "altamente calificado y sofisticado", y Microsoft nombró a Hafnium como el grupo responsable de la violación de datos de Microsoft Exchange Server, y alegó que estaban "patrocinados por el Estado y operaban fuera de China". 

 

Según Microsoft, tienen su sede en China pero utilizan servidores privados virtuales basados ​​en USA, y se han dirigido a "investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG". 

 

El gobierno chino ha negado la responsabilidad por la violación de Microsoft en marzo de 2021, cuando se informó que el grupo tenía acceso al 'shell web' de China Chopper, que utilizó en la filtración de datos de Microsoft Exchange Server. 

 

Un 'shell web' es una interfaz maliciosa que permite el acceso y el control remotos a un servidor web al permitir la ejecución de comandos arbitrarios. Se puede cargar un 'shell web' en un servidor web para permitir el acceso remoto al servidor web, como el sistema de archivos del servidor web. 

 

Un shell web a menudo se considera un troyano de acceso remoto.

 

China Chopper es una puerta trasera bastante simple en términos de componentes. Tiene 2 clave: el binario de cliente de comando y control de 'shell web' (CnC) y una carga útil de 'shell web' basada en texto (componente de servidor). 

 

La carga útil basada en texto es tan simple y corta que un atacante podría escribirla a mano directamente en el servidor de destino, sin necesidad de transferir archivos.

 

Al ataque

 

Las 4 vulnerabilidades, cuando estaban encadenadas, permitieron a los piratas informáticos irrumpir en un servidor Exchange vulnerable y robar su contenido. 

 

Microsoft solucionó las vulnerabilidades, pero los parches no cerraron las puertas traseras de los servidores que ya habían sido violados. 

 

En cuestión de días, otros grupos de piratas informáticos comenzaron a atacar servidores vulnerables con las mismas fallas para implementar ransomware.

 

El número de servidores infectados disminuyó a medida que se aplicaron los parches. 

 

Pero cientos de servidores Exchange permanecieron vulnerables porque las puertas traseras son difíciles de encontrar y eliminar, dijo el Departamento de Justicia en un comunicado.

 

"Esta operación eliminó los 'proyectiles web' restantes de un grupo de piratería informática que podrían haberse utilizado para mantener y aumentar el acceso persistente y no autorizado a las redes de USA", según el comunicado. 

 

"El FBI llevó a cabo la eliminación emitiendo un comando a través del 'shell web' al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web (identificado por su ruta de archivo única)".

 

El FBI dijo que está intentando informar por correo electrónico a los propietarios de los servidores que eliminó las puertas traseras.

 

El asistente del fiscal general John C. Demers dijo que la operación "demuestra el compromiso del Departamento de interrumpir la actividad de piratería utilizando todas nuestras herramientas legales, no solo los enjuiciamientos".

 

El Departamento de Justicia también dijo que la operación solo eliminó las puertas traseras, pero no detuvo las vulnerabilidades explotadas por los piratas informáticos para empezar ni eliminó el malware dejado.

 

Se cree que es el primer caso conocido en el que el FBI limpia de manera efectiva redes privadas luego de un ciberataque. 

 

En 2016, la Corte Suprema se movilizó para permitir que los jueces estadounidenses emitieran órdenes de registro e incautación fuera de su distrito. 

 

Los críticos se opusieron a la medida en ese momento, temiendo que el FBI pudiera pedirle a un 'tribunal amigo' que autorizara las operaciones cibernéticas para cualquier parte del mundo.

 

Otros países, como Francia, han utilizado poderes similares antes para secuestrar una botnet y cerrarla de forma remota.


Fuente: u24News

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más