El hackeo a #SEDENA y robo de 10TB por #Guacamaya

El #SEDENALeaks y el grupo hacktivista #Guacamaya

El pasado 19 de septiembre del grupo hacktivista llamado #Guacamaya hizo público los resultados de su operación #FuerzasRepresivas, la cual consistió en comprometer sistemas informáticos de diversos organismos militares y policía de países en América Latina, para con ello robar 10 TB de información.

Puedes leer más sobre la operación #FuerzasRepresivas: Operación "FuerzasRepresivas" y 10 TB de emails robados a policía y ejército de países de América Latina.

Entre los países afectados encontramos a México, uno de los países con más información filtrada, un total de 6 TB (6,000 GB) de emails pertenecientes a la Secretaria de la Defensa Nacional de México (SEDENA). La información contenida en los emails abarca desde el año 2016 hasta el 3 de septiembre, algunas fuentes de noticias han compartido en sus notas, los 6 TB de emails filtrados equivalen a:

• 36 millones de documentos en formato PDF.
• 1.5 millones de fotografías.
• 3 mil horas de video.

Comparativa entre filtraciones populares con SEDENALeaks - RedBird Seguridad Ofensiva

La veracidad de esto aun proviene de fuentes no confiables o en proceso de verificación.

Gantt chart maker

¿Como hackearon a SEDENA?

De acuerdo a la información publicada por parte del grupo Guacamaya sumado al análisis de expertos en materia de CiberSeguridad, se sabe que la infiltración a los sistemas de Chile, Perú, Colombia y El Salvador se dio al ejecutar un ataque llamado "ProxyShell" el cual consiste en explotar 3 vulnerabilidades en Microsoft Exchange Server.

Te recomendamos leer: Análisis del Ataque Cibernético al Estado Mayor Conjunto bajo el lente de la matriz ATT&CK

ProxyShell es la combinación 3 vulnerabilidades (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) las cuales permiten a un atacante ejecutar código de forma remota y la elevación de privilegios.

• CVE-2021-34473: Es una vulnerabilidad de ejecución remota de código de Microsoft Exchange. Un atacante puede usar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del "Sistema" del usuario que generalmente tiene acceso de administrador.
• CVE-2021-34523: Es otra vulnerabilidad de ejecución remota de código de Microsoft Exchange en la que la validación del token de acceso antes de PowerShell es incorrecta. Una entidad que usa esta falla puede obtener acceso de usuario NT AUTHORITY\SYSTEM que a su vez tiene acceso de administrador.
• CVE-2021-31207: La vulnerabilidad existe debido a una falla en el manejo de la exportación del buzón. El problema ocurre debido a la falta de una validación adecuada de los datos proporcionados por el usuario y la carga de archivos.

Sin embargo, con SEDENA (México), no se ejecutó el ataque ProxyShell. Para poder comprometer a SEDENA se explotaron 3 vulnerabilidades en Zimbra. Las vulnerabilidades explotadas son:

• CVE-2022-27925
• CVE-2022-37042
• CVE-2022-27924

¿Deficiencias de Ciberseguridad en SEDENA y empresas responsables?

Desde hace años se sabía que la Secretaria de la Defensa Nacional de México (SEDENA) tenía una gran variedad de deficiencias graves en materia de ciberseguridad. 

De acuerdo a una auditoria de cumplimiento realizada por la Auditoria Superior de la Federación (ASF) con clave 2020-0.07100-20-0068-2021 que tiene como propósito fiscalizar la gestión financiera relacionadas con las tecnologías de información y telecomunicaciones, la administración de riesgos, seguridad de información, entre otras.

En esta auditoría realizada por la ASF señala una variedad de deficiencias, entre ellas:

• Los sistemas de la dependencia no contaban con una guía formalizada para usuarios.
• En varios documentos se puede apreciar usuarios y contraseñas.
• Factor crítico de la falta de políticas y procedimientos institucionales.
• No existe una herramienta para la gestión automatizada de actualizaciones de seguridad de los sistemas operativos de SEDENA

En la auditoria se dijo explícitamente: "existen deficiencias en los controles de ciberdefensa para la infraestructura de hardware y software de la Secretaria".

¿Quiénes son los responsables?

Siendo parte de la investigación realizada por Sandra Romandia (@Sandra_Romandia) se identificaron 4 empresas responsables de la vulnerabilidad:

• Decsef Sistemas.
• Computadoras, accesorios y sistemas.
• Debug Experts.
• M&F Rservice.

Tres de las cuatro empresas mencionadas. Contratos públicos de la Plataforma Nacional de Transparencia - Investigación de Sandra Romandia

Otras entradas en el blog relacionadas a Guacamaya

[posts--tag:RB-GHA-014--50]