Y después de Dyn, llegó Deutsche Telekom. Si hace unos días alertábamos sobre la existencia de una nueva variante de Mirai, el pasado domingo 27 de noviembre, un ataque contra los routers de la operadora Deutsche Telekom dejó sin Internet a un gran número de alemanes, pues casi un millón de hogares se vieron afectados por el no funcionamiento de sus routers y reinicios constantes cada quince minutos.

Esta vez, Mirai atacó basándose en una vulnerabilidad en el firmware de los dispositivos que utiliza la empresa proveedora de servicios Deutsche Telekom. Esta utiliza el protocolo TR-064 asociado al puerto 7457 expuesto a todo Internet para configurar de forma remota el router. A pesar de que algunos modelos tienen restringido el acceso a direcciones IP relacionadas con el ISP, para una gran parte no es así.

Entre los comandos que ofrece el servicio está la capacidad de obtener datos como el SSID, la MAC o la clave Wi-Fi, sin embargo el exploit se basa en la posibilidad de ejecución de código remota mediante la instrucción de configuración del servidor NTP.
[Read more…]

Tras provocar la caída del proveedor de soluciones DNS Dyn y, por ende, la de portales web como Twitter, Amazon o Spotify, la botnet de moda sigue expandiéndose mediante nuevos mecanismos.

Tal y como os contamos en nuestro artículo anterior sobre la detección de Mirai este verano en uno de los sensores en nuestra Honey, durante estas últimas semanas hemos podido observar como el número de conexiones diarias se ha mantenido constante, por lo que se podía determinar que el número total de dispositivos susceptibles a la infección podía estar en su máximo.

Sin embargo, la habilitación de las credenciales root:ikwb para la creación de un entorno de alta interacción en el honeypot Hontel, ha permitido la captura de un nuevo binario.
[Read more…]

Durante los Juegos Olímpicos de Río de Janeiro, uno de nuestros sensores en Brasil detectó una intrusión especialmente interesante en un honeypot de servicio TELNET.

Esta interacción utilizaba credenciales no habituales ya que las más recibidas fueron, a diferencia de lo que cabía esperar, xc3511 y vyzxv.

Tras una primera búsqueda no se encontró ninguna referencia a ataques relacionados con estas credenciales pero se dedujo que las credenciales son recurrentes en los dispositivos DVR (Digital Video Recorder) de la marca de origen chino Dahua (por ejemplo el DH-3004). Dahua es el principal proveedor mundial de soluciones de vigilancia, pues según el informe IMS 2015 gozan de la mayor cuota de mercado.

[Read more…]

El pasado 27 de Abril, un grupo de piratas informáticos comprometieron los servidores del QNB (ver Wikipedia. (2016). QNB Group), el segundo banco comercial más grande de África y Oriente Medio, y filtraron más de 1,4 GB de datos con contenido personal de los clientes.

A pesar de no estar claro el origen, todo parece indicar que ha sido obra de Grey Wolves, una organización paramilitar de extrema derecha nacionalista ligada al Partido del Movimiento Nacionalista Turco (ver es.wikipedia.org. (2016). Lobos grises (paramilitares turcos)) al reivindicar su autoría mediante un vídeo de Youtube horas antes del filtrado de archivos (ver YouTube. (2016). Bozkurtlar claiming video over QNB breach).

La brecha de seguridad afecta a más de 100.000 cuentas bancarias que contienen cerca de 15.000 documentos, desde transacciones de los clientes de la entidad financiera, hasta números de identificación y otros detalles sobre operaciones con tarjeta de crédito. Sin embargo, lo que le otorga un interés especial no es el número de afectados (que ascienden a cientos de miles), sino que entre ellos se encuentran multitud de detalles de la familia real catarí, servicios secretos británicos, franceses y polacos, periodistas del canal de televisión Al Jazeera o el Mukhabarat.

[Read more…]