07 mayo 2014

Volvemos a la carga con un post referente a los Syrian Electronic Army.


Durante la pasada RSA Conference, celebrada entre los días 24 y 28 de Febrero, Ira Winkler, el presidente de la compañía de seguridad Secure Mentem, presentó una charla llamada "Syrian Electronic Army: Their Methods and Your Responses" comentando durante aproximadamente 30 minutos la historia, ataques, metodologías  y demás acerca de los Syrian Electronic Army. Dicha charla está disponible ya online para su visualización, y os la referenciamos a continuación:


Como principal conclusión, destacar que Ira (al igual que opina mucha gente) trasladó a los asistentes que los SEA no se caracterizan precisamente por su ataques altamente cualificados y de excelencia técnica, pero si que son tremendamente efectivos. En multitud de ocasiones incluso los llega a menospreciar, llamándoles "cucarachas" de internet, entre otras lindezas.

Pues bien, tras la publicación de este video, la respuesta de los SEA no se hizo esperar, y se pusieron manos a la obra para conseguir que durante un período de tiempo, la página principal de la RSA Conference, disponible en el dominio www.rsaconference.com, apareciese de la siguiente forma e incluyendo un mensaje contra Ira Winkler y su charla sobre ellos:


A continuación la traducción:

Hackeado por los Syrian Electronic Army
Querido Ira winkler,
¿Te crees muy gracioso? ¿Crees que estás a salvo?
Pues no lo estás
Si hubiese alguna CUCARACHA en Internet, definitivamente serías tú.
Tus amigos de SEA

Tras este hecho, se publicó una noticia en el blog de Secure Mentem, en la que se explicó cómo los SEA consiguieron mostrar este mensaje al acceder a la página de uno de los congresos más importantes de seguridad a nivel mundial, y que a continuación vamos a resumir:
  1. La página de RSA Conference contiene incrustado un código Javascript para el seguimiento de visitas a través de un software llamado Lucky Orange.
  2. El software, llamada a un código que estaba alojado en la URL w1.livestatserver.com/w.js
  3. Aún teniendo Luck Orange el dominio bloqueado, los SEA consiguieron averiguar cual era el proveedor DNS asociado a los dominios que utilizaban para sus servicios. Posteriormente, enviaron phishings sobre trabajadores del proveedor DNS tras recopilar información a través de Linkedin y otros recursos.
  4. Los phishings se enviaban en nombre del CEO de la compañía sobre los trabajadores, referenciando una supuesta noticia en la BBC que podría ser de interés. El enlace se dirigía a un panel de acceso falso para los usuarios, sobre los que los SEA se harían con cuentas de usuario y contraseñas.
  5. Uno de los ejecutivos de cuentas cayó en la trampa. Se utilizaron las credenciales para acceder al panel de acceso de clientes, y se reinicializó la contraseña de Lucky Orange, para posteriormente, acceder en su nombre.
  6. Se consiguió redirigir el subdominio w1 de livestatserver.com a una página controlada por los SEA que contenía la imagen en la que se muestra el mensaje que visteis anteriormente.
Con esto, cualquier persona que accediese a la página de rsaconference.com con Javascript habilitado (y cualquier otra página que utilizase este servicio de estadísticas) se redirigiría al mensaje para Ira Winkler.

Fácil, sencillo, y para toda la familia. ¿No es sofisticado? Bueno, pero se consiguió el objetivo de dejar un mensaje concreto en una página como la de la RSA Conference.

No hay que preocuparse sólo de nuestra propia seguridad, si no de la de nuestros proveedores de servicios o contenidos.


6 comments :

André B. Conte dijo...

Muy interesante, lo cierto es que lo mas vulnerable siempre será la mente humana.

Sr. XX-Terror dijo...

¡¡¡Zas en toda la boca!!! para Ira y su empresa.

eddu dijo...

Cachetada con guante blanco

pepe dijo...

no sé yo, pero he estado en Siria y por lo que vi, esa gente en cuestiones tecnologicas no es que parecieran muy duchos la verdad...

intec0 dijo...

A dia de hoy es españa no se sabe como hackearon el inteco y como sacaron los datos de la poli

Jonathan Novel dijo...

XD