“Qatar bank hacked”. Análisis

El pasado 27 de Abril, un grupo de piratas informáticos comprometieron los servidores del QNB (ver Wikipedia. (2016). QNB Group), el segundo banco comercial más grande de África y Oriente Medio, y filtraron más de 1,4 GB de datos con contenido personal de los clientes.

A pesar de no estar claro el origen, todo parece indicar que ha sido obra de Grey Wolves, una organización paramilitar de extrema derecha nacionalista ligada al Partido del Movimiento Nacionalista Turco (ver es.wikipedia.org. (2016). Lobos grises (paramilitares turcos)) al reivindicar su autoría mediante un vídeo de Youtube horas antes del filtrado de archivos (ver YouTube. (2016). Bozkurtlar claiming video over QNB breach).

La brecha de seguridad afecta a más de 100.000 cuentas bancarias que contienen cerca de 15.000 documentos, desde transacciones de los clientes de la entidad financiera, hasta números de identificación y otros detalles sobre operaciones con tarjeta de crédito. Sin embargo, lo que le otorga un interés especial no es el número de afectados (que ascienden a cientos de miles), sino que entre ellos se encuentran multitud de detalles de la familia real catarí, servicios secretos británicos, franceses y polacos, periodistas del canal de televisión Al Jazeera o el Mukhabarat.

img0

Todos los nombres relacionados con funcionarios del Estado tienen aspecto de ser reales, e incluso empleados de Al Jazeera han confirmado la veracidad de la información. No obstante  se ponen en cuestión los nombres ligados a los servicios de inteligencia, pues es extraño que no exijan una ofuscación en este tipo de información. Todo apunta a que en realidad fueron los mismos trabajadores del banco los que marcaron algunas carpetas porque pensaran que se trataba de personal de agencias de inteligencia e intentaran dar lo mejor de ellos mismos.

En cualquier caso, fue peligroso sobre todo para aquellos que se encuentran fuera del país, fueran o no espías, pues la filtración subida en primera instancia a Global-Files.net, incluía contenido de cuentas de redes sociales o imágenes etiquetadas como “SPY, Intelligence” o “Mukhabarat”, tal y como nos cuentan en Krypt3ia, lo cual resulta de lo más extraño.

img1

Posteriormente a la filtración, el grupo QNB publicaba un comunicado otorgando la máxima prioridad a la seguridad de los datos y a la implementación de las mejores medidas posibles para asegurar la integridad de la información de los clientes. En el comunicado aseguraba que estaba investigando el asunto con la coordinación de todos los agentes interesados.

En cuanto al aspecto técnico, el objetivo principal fuela dirección IP 213.130.121.229, pues albergaba los dominios apps.qnb.com y apps.qnb.com.qa, que al parecer presentaban algunas vulnerabilidades (Servlet 2.4, JSP y Tomcat 4.2.3 ).

img2

img3

Según los logs compartidos por los atacantes, se utilizó una inyección SQL al servidor ORACLE del backend, empleando la herramienta sqlmap, y para la escalada de privilegios utilizaron la web shell de openDoc.jsp como bien nos explica Omar Benbouazza en este interesante artículo.

Así pues, el ataque sólo se ha basado en una inyección SQL a una entidad que no estaba tomando las medidas pertinentes, pero con un atractivo suficiente por la información que ha salido a la luz. Sin embargo, parece que todo no acaba aquí, pues Grey Wolves asegura que han atacado un segundo banco y están dispuestos a filtrar más información (International Business Times UK. (2016). QNB hackers set sights on another big bank).

Seguiremos pendientes de este grupo y su actividad.

Comments

  1. Geniales las explicaciones, muy claras para prevenir cometer estos mismos errores en nuestra seguridad, gracias