Embed Size (px)
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 17 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Canadá sufre un ciberataque para robar los pagos de ayuda COVID-19 ...................................................... 3
Vulnerabilidad de seguridad SNMPTT ........................................................................................................... 4
Falla en Voice Over LTE (VoLTE) permite escuchar llamadas en teléfonos móviles ..................................... 5
Utilizan correos maliciosos para implementar malware KONNI ................................................................... 7
Índice alfabético ............................................................................................................................................ 9
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 135
Fecha: 17-08-2020
Página: 3 de 9
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Canadá sufre un ciberataque para robar los pagos de ayuda COVID-19
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que los sitios web del gobierno canadiense utilizados para brindar acceso a servicios importantes como de inmigración, impuestos, pensiones y beneficios han sido afectados en un ciberataque coordinado para robar pagos de ayuda COVID-19.
2. Detalles de la alerta:
La Oficina de la Oficina Principal de Información del Gobierno de Canadá emitió un comunicado en el que advertía al público del ciberataque que había sufrido el sistema GCKey.
Un sistema GCKey es una credencial electrónica única emitida por el gobierno de Canadá para su uso con servicios gubernamentales en línea. Para utilizar GCKey para acceder a My Service Canadá Account (MSCA), debe tener: un ID de GCKey y un código de acceso (Código de acceso EI o Código de acceso personal (PAC)
Los ciberdelincuentes usando la técnica de "relleno de credenciales", los atacantes lograron ingresar a unas 9.041 cuentas de GCKey de un total de 12 millones. Los ciberataques de relleno de credenciales involucran a los atacantes que intentan combinaciones de nombre de usuario y contraseña previamente filtradas contra otro sitio web de forma automatizada, en un intento de encontrar cuentas que compartan las mismas credenciales.
Por consiguiente, las cuentas de GCKey afectadas se cancelaron tan pronto como se descubrió la amenaza y los departamentos se están comunicando con los usuarios cuyas credenciales fueron revocadas para proporcionar instrucciones sobre cómo recibir una nueva GCKey.
Utilizado por más de 30 departamentos federales, GCKey también actúa como una ruta de acceso alternativa para los usuarios que inician sesión en los sistemas de la Agencia Canadiense de Ingresos (CRA).
Cabe señalar, como parte de un esfuerzo de alivio del COVID-19 a nivel nacional, el gobierno de Canadá instaló el Beneficio de Respuesta de Emergencia de Canadá (CERB). El cual proporcionó fondos de hasta $ 2,000 a los residentes elegibles. Para acceder utilizar la plataforma “My Service Canadá" que utiliza GCKey. Han surgido informes de atacantes que obtienen acceso no autorizado a las cuentas fiscales de los residentes canadienses para desviar fondos.
Especialistas en ciberseguridad, realizaron verificación al acceder a algunos departamentos como migración, Refugiados y Ciudadanía de Canadá (IRCC) y la Agencia Canadiense de Ingresos (CRA). Donde el GCKey no tiene habilitada la autenticación multifactor en el flujo de trabajo. Asimismo, tampoco encontró captchas de seguridad en uso. Esto podría haber hecho posible que los bots llevasen a cabo un relleno de credenciales automatizado.
3. Recomendaciones:
Implementar autentificación multifactor y/o captchas en los sistemas informáticos.
Cambiar credenciales de aplicaciones, sistemas informáticos y dispositivos de TI a los que se tiene acceso.
Promover las políticas de uso de contraseñas seguras.
Realizar escaneo de vulnerabilidades a los sistemas informáticos antes de entrar a producción.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 135
Fecha: 17-08-2020
Página: 4 de 9
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad de seguridad SNMPTT
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 17 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una vulnerabilidad de seguridad en las versiones SNMPTT anteriores a la 1.4.2. El identificador asignado a esta vulnerabilidad es el CVE-2020-24361.
2. La vulnerabilidad existe debido a que una validación de entrada incorrecta, relacionada con EXEC, PREXEC y unknown_trap_exec. Un atacante remoto autentificado podría aprovechar esta vulnerabilidad para ejecutar códigos Shell.
3. Recursos afectados:
Versiones SNMPTT anteriores a la 1.4.2
4. Se recomienda:
Instalar la actualización desde la página del proveedor.
Fuentes de información http://www.snmptt.org/changelog.shtml
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 135
Fecha:17-08-2020
Página: 5 de 9
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Falla en Voice Over LTE (VoLTE) permite escuchar llamadas en teléfonos móviles Tipo de ataque Exploit Abreviatura Exploit Medios de propagación IRC, USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 17 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro informacion que se detalla a continuacion: Las amenazas de seguridad contra los sistemas de telecomunicación siguen siendo un serio problema, El servicio de telefonía basado en paquetes Voice over LTE (VoLTE), integrado en el estándar Long Term Evolution (LTE), se ha convertido en una de las tecnologías más empleadas por las compañías operadoras de telecomunicaciones.
2. Como método de cifrado de las llamadas telefónicas, VoLTE cifra los datos entre el teléfono y la red con un cifrado de flujo, que genera claves únicas para cada llamada, evitando la reutilización del flujo de claves. Debido a su uso generalizado, una campaña de explotación de vulnerabilidades en VoLTE podría afectar a una gran cantidad de usuarios en todo el mundo.
3. Un equipo de especialistas de la Universidad de Ruhr, Alemania, y la Universidad de Nueva York, en Abu Dhabi ha desarrollado un método para abusar de una falla en la implementación de LTE para interceptar el contenido de una llamada VoLTE cifrada. Apodado “ReVoLTE“, este método de ataque permite a los actores de amenazas escuchar cualquier llamada de forma sigilosa empleando la reutilización del flujo de claves.
4. ReVoLTE explota la reutilización del mismo flujo de claves para dos llamadas dentro de una misma conexión de radio, lo que es posible debido a una falla de implementación en la estación base (eNodeB). Los investigadores escanearon múltiples celdas de radio seleccionadas de forma aleatoria para determinar si esta debilidad está presente de forma generalizada, descubriendo que la falla afecta a 12 de las 15 estaciones base analizadas.
5. El objetivo del experimento configurado por los investigadores era interceptar los datos durante una llamada telefónica entre el Usuario A y el Usuario B. Con este fin, los investigadores (actuando como atacantes) comienzan detectando el tráfico de radio cifrado del Usuario A, administrado en una estación base vulnerable. Después de que la primera llamada entre los usuarios objetivo finalizó, los atacantes llamaron al Usuario A para iniciar una segunda llamada telefónica; durante esta segunda llamada, los actores de amenazas detectaron el tráfico cifrado del Usuario A, logrando grabar el sonido sin cifrar.
6. Para descifrar la llamada objetivo, los actores de amenazas deberán de afrontar un par de variables: En primer lugar, los hackers deben modificar el texto sin formato (registrado en el teléfono del atacante) empleando el texto cifrado de la primera llamada, lo que permitirá calcular el flujo de claves de la segunda llamada; a causa de las fallas de seguridad de la estación base, el flujo de claves es el mismo que en la primera llamada.
7. La primera llamada es descifrada empleando el algoritmo de cifrado XOR en el flujo de claves de la primera llamada; debemos recordar que los atacantes deben participar en una conversación suficientemente larga con el usuario objetivo para conseguir descifrar la mayor parte de la llamada objetivo. Por ejemplo, si la conversación entre atacantes y víctimas dura 5 minutos, se podrán descifrar 5 minutos de la conversación anterior.
8. Aunque este es un ataque complejo, los investigadores consideraron necesario notificar a los proveedores mediante el Programa de Divulgación Coordinada de Vulnerabilidades de la Asociación GSMA, alerta que fue presentada en diciembre de 2019. En respuesta, la Asociación pidió a los proveedores de telecomunicaciones desarrollar las actualizaciones para las estaciones base comprometidas.
9. Al momento de la divulgación pública de este método, los proveedores ya deberían haber lanzado las correcciones necesarias, además de solicitar su instalación. Las compañías en Alemania, donde se ubican las estaciones base analizadas, ya han lanzado las actualizaciones pertinentes. Es necesario considerar que decenas de proveedores a nivel mundial podrían verse afectados, por lo que es fundamental generar conciencia sobre estas fallas y su posibilidad de explotación, pues los especialistas temen que ReVoLTE (Exploit) no sea el único método de ataque contra el cifrado de llamadas VoLTE.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
10. Se recomiend:
Los investigadores desarrollaron una app que permite detectar si las estaciones base son vulnerables a un ataque de ReVoLTE, lo que requiere de un smartphone con una versión del sistema operativo Android compatible con VoLTE y acceso de root, además de un chip Qualcomm. Esta herramienta está disponible en GitHub.
Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/falla-en-voice-over-lte-volte-permite-escuchar-llamadas-en-telefonos-moviles-ataque-revolte/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 135
Fecha: 17-08-2020
Página: 7 de 9
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Utilizan correos maliciosos para implementar malware KONNI Tipo de ataque Malware Abreviatura Malware Medios de propagación Red, correo electrónico Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso
Descripción
1. El 17 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) detecto que ciberdelincuentes utilizan correos electrónicos que contienen un documento de Microsoft Word con un código malicioso de la Aplicación Visual Basic (VBA) que permite cambiar el color de la fuente de gris claro a negro (para engañar al usuario para que habilite el contenido), verificar si el sistema operativo Windows es una versión de 32 o 64 bits, con la finalidad de implementar el malware KONNI, la cual es una herramienta de administración remota (RAT) utilizada por ciberdelincuentes para robar archivos, capturar pulsaciones de teclado, tomar capturas de pantalla y ejecutar código arbitrario en hosts infectados.
2. Según la compañía MITRE ATT & CK (Tácticas, Técnicas y Conocimiento Común de Adversarios), KONNI utiliza las técnicas ATT & CK enumeradas en la tabla 1.
Tabla 1: Técnicas KONNI ATT & CK
Técnica Utilizar
Descubrimiento de la
configuración de red del sistema
KONNI puede recopilar la dirección del Protocolo de Internet de la máquina de la
víctima.
Detección de usuario / propietario
del sistema KONNI puede recopilar el nombre de usuario de la máquina de la víctima.
Enmascaramiento: coincide con el
nombre o la ubicación legítimos
KONNI crea un acceso directo llamado Anti virus service.lnk en un aparente
intento de hacerse pasar por un archivo legítimo.
Exfiltración sobre protocolo
alternativo: Exfiltración sobre
protocolo no C2 no cifrado /
ofuscado
KONNI ha utilizado el Protocolo de transferencia de archivos para extraer los
datos de reconocimiento.
Captura de entrada: registro de
teclas KONNI tiene la capacidad de realizar keylogging.
Descubrimiento de procesos KONNI ha utilizado tasklist.exe para obtener una instantánea del estado de los
procesos actuales de la máquina de destino.
Intérprete de comandos y
secuencias de comandos:
PowerShell
KONNI usó PowerShell para descargar y ejecutar una versión específica de 64
bits del malware.
Intérprete de comandos y
secuencias de comandos: Shell de
comandos de Windows
KONNI ha utilizado cmd.exe para ejecutar comandos arbitrarios en el host
infectado en diferentes etapas del cambio de infección.
Eliminación del indicador en el
host: Eliminación de archivos KONNI puede eliminar archivos.
Protocolo de capa de aplicación:
protocolos web
KONNI ha utilizado el Protocolo de transferencia de hipertexto para comando y
control.
Descubrimiento de información
del sistema
KONNI puede recopilar la versión del sistema operativo, la información de la
arquitectura, las unidades conectadas, el nombre de host y el nombre de la
computadora de la máquina de la víctima y se ha utilizado systeminfo.exe para
obtener una instantánea del estado actual del sistema de la máquina de destino.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Descubrimiento de archivos y
directorios
Una versión de KONNI busca nombres de archivos creados con una versión
anterior del malware, lo que sugiere que diferentes versiones apuntan a las
mismas víctimas y que las versiones pueden funcionar juntas.
Transferencia de herramienta de
entrada KONNI puede descargar archivos y ejecutarlos en la máquina de la víctima.
Modificar registro KONNI ha modificado las claves de registro del servicio ComSysApp y Svchost en
la máquina para ganar persistencia.
Captura de pantalla KONNI puede tomar capturas de pantalla de la máquina de la víctima.
Datos del portapapeles KONNI tenía una función para robar datos del portapapeles.
Codificación de datos: codificación
estándar
KONNI ha utilizado una clave base64 personalizada para codificar los datos
robados antes de la exfiltración.
Manipulación de token de acceso:
proceso de creación con token
KONNI ha duplicado el token de un proceso de alta integridad para generar una
instancia de cmd.exe bajo un usuario suplantado.
Desofuscar / decodificar archivos
o información
KONNI ha utilizado CertUtil para descargar y decodificar cadenas codificadas en
base64.
Ejecución de proxy binario
firmado: Rundll32
KONNI ha utilizado Rundll32 para ejecutar su cargador con fines de escalada de
privilegios.
Ejecución activada por evento:
secuestro del modelo de objeto
componente
KONNI ha modificado el servicio ComSysApp para cargar la carga útil DLL
maliciosa.
Ejecución de inicio automático de
inicio o inicio de sesión: claves de
ejecución del registro / carpeta de
inicio
Una versión de KONNI coloca un acceso directo de Windows en la carpeta Inicio
para establecer la persistencia.
Ejecución de inicio automático de
inicio o inicio de sesión:
modificación de acceso directo
Una versión de KONNI coloca un acceso directo de Windows en la máquina de la
víctima para establecer la persistencia.
Abuso del mecanismo de control
de elevación: omisión del control
de acceso del usuario
KONNI pasó por alto el Control de cuentas de usuario con la configuración
"AlwaysNotify".
Credenciales de almacenes de
contraseñas: Credenciales de
navegadores web
KONNI puede robar perfiles (que contienen información de credenciales) de
Firefox, Chrome y Opera.
3. Se recomienda lo siguiente:
Mantener las firmas y los motores antivirus actualizados.
Mantener actualizados los parches del sistema operativo.
Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software.
No abrir archivos adjuntos de correo electrónico de dudosa procedencia.
Desactivar los servicios innecesarios en las estaciones de trabajo.
Fuentes de información: Comandancia de Ciberdefensa de la Marina de Guerra del Perú, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 9 de 9
Índice alfabético
Código malicioso ............................................................................................................................................................ 5, 7 Explotación de vulnerabilidades conocidas ................................................................................................................... 3, 4 Intento de intrusión ....................................................................................................................................................... 3, 4 internet .............................................................................................................................................................................. 3 IRC, USB, disco, red, correo, navegación de internet ........................................................................................................ 5 malware ..................................................................................................................................................................... 2, 7, 8 Malware ............................................................................................................................................................................. 7 Red, internet ...................................................................................................................................................................... 4 redes sociales ..................................................................................................................................................................... 1 software ............................................................................................................................................................................. 8 Vulnerabilidad................................................................................................................................................................ 2, 4 Vulnerabilidades ................................................................................................................................................................ 5
