Mirai Strikes Again

Tras provocar la caída del proveedor de soluciones DNS Dyn y, por ende, la de portales web como Twitter, Amazon o Spotify, la botnet de moda sigue expandiéndose mediante nuevos mecanismos.

Tal y como os contamos en nuestro artículo anterior sobre la detección de Mirai este verano en uno de los sensores en nuestra Honey, durante estas últimas semanas hemos podido observar como el número de conexiones diarias se ha mantenido constante, por lo que se podía determinar que el número total de dispositivos susceptibles a la infección podía estar en su máximo.

Sin embargo, la habilitación de las credenciales root:ikwb para la creación de un entorno de alta interacción en el honeypot Hontel, ha permitido la captura de un nuevo binario.
[Read more…]

Linux.Mirai: Atacando sistemas de videovigilancia

Durante los Juegos Olímpicos de Río de Janeiro, uno de nuestros sensores en Brasil detectó una intrusión especialmente interesante en un honeypot de servicio TELNET.

Esta interacción utilizaba credenciales no habituales ya que las más recibidas fueron, a diferencia de lo que cabía esperar, xc3511 y vyzxv.

Tras una primera búsqueda no se encontró ninguna referencia a ataques relacionados con estas credenciales pero se dedujo que las credenciales son recurrentes en los dispositivos DVR (Digital Video Recorder) de la marca de origen chino Dahua (por ejemplo el DH-3004). Dahua es el principal proveedor mundial de soluciones de vigilancia, pues según el informe IMS 2015 gozan de la mayor cuota de mercado.

[Read more…]

“Qatar bank hacked”. Análisis

El pasado 27 de Abril, un grupo de piratas informáticos comprometieron los servidores del QNB (ver Wikipedia. (2016). QNB Group), el segundo banco comercial más grande de África y Oriente Medio, y filtraron más de 1,4 GB de datos con contenido personal de los clientes.

A pesar de no estar claro el origen, todo parece indicar que ha sido obra de Grey Wolves, una organización paramilitar de extrema derecha nacionalista ligada al Partido del Movimiento Nacionalista Turco (ver es.wikipedia.org. (2016). Lobos grises (paramilitares turcos)) al reivindicar su autoría mediante un vídeo de Youtube horas antes del filtrado de archivos (ver YouTube. (2016). Bozkurtlar claiming video over QNB breach).

La brecha de seguridad afecta a más de 100.000 cuentas bancarias que contienen cerca de 15.000 documentos, desde transacciones de los clientes de la entidad financiera, hasta números de identificación y otros detalles sobre operaciones con tarjeta de crédito. Sin embargo, lo que le otorga un interés especial no es el número de afectados (que ascienden a cientos de miles), sino que entre ellos se encuentran multitud de detalles de la familia real catarí, servicios secretos británicos, franceses y polacos, periodistas del canal de televisión Al Jazeera o el Mukhabarat.

[Read more…]