ATAQUE HACKER

La Gran Estafa, sin Clooney/Pitt y en un banco, no en un casino

La amenaza de los hackers es real. Tan verdadera como la de los ladrones que abren las cajas fuertes o encañonan a los camiones de caudales. En una economía que se informatiza a diario, los hackers son más sofisticados y requieren de que sus víctimas tomen recaudos. El siguiente caso es notable: todo indica que los hackers no atacaron la seguridad informática de un banco multinacional sino la central donde estaban los dominios de internet del banco, se apoderaron de esos códigos, los redireccionaron a una réplica del banco que crearon en la nube, y durante 5 horas saquearon las cuentas de los clientes del banco.

Dato: Kaspersky Lab es una compañía internacional dedicada a la seguridad informática con sede central en Moscú, Rusia,pero el holding está registrado en Reino Unido. Tiene unos 3.000 técnicos altamente calificados en laboratorios ubicados en 30 países diferentes. Hay otras empresas que defienden la privacidad en Internet: Avast!, Avira, AVG, BitDefender, BullGuard, F-Secure, G Data Software AG, Intel Security (antes McAfee), Panda Security, Sophos, Symantec, Trend Micro y Webroot, etc. Pero los hackers existen y también son diversificados, sofisticados y poderosos.

Impresionante el relato de Andy Greenberg en la revista Wired:

El modelo tradicional de hackear un banco no es diferente del método anticuado de robar uno. Los ladrones entran, sacan las mercaderías (dinero) y salen. Pero un grupo emprendedor de hackers que atacaron un banco brasileño parece haber adoptado un enfoque más completo y tortuoso: Una tarde de fin de semana, re-orientaron a todos los clientes online del banco hacia falsificaciones perfectamente reconstruidas de las propiedades del banco, donde esos clientes las marcas entregaron obedientemente toda su información confidencial.

Los investigadores de la firma de seguridad Kaspersky describieron un caso sin precedentes de fraude bancario mayorista, que esencialmente consistió en secuestrar la huella de internet de un banco (las direcciones www). A la 13:00 del 22/10/2016, los hackers cambiaron los 36 registros del Sistema de Nombres de Dominio propiedad del banco, capturando tanto los de escritorio como los de móvil, y entonces los usuarios fueron redirigidos hacia sitios de phishing o suplantación de identidad.

(N. de la R.: Phishing es un término informático que denomina un modelo de abuso y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (tal como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Se considera pishing también, la lectura por parte de terceras personas, de las letras y números que se marcan en el teclado de una computadora o de un smartphone.

En la práctica, los hackers podrían haber robado las credenciales de inicio de sesión en los servidores donde se encuentran alojadas las direcciones virtuales legítimas del banco. Y los investigadores de Kaspersky creen que los hackers pueden incluso haber redirigido simultáneamente todas las transacciones en cajeros automáticos o sistemas de punto de venta hacia sus propios servidores, recolectando los detalles de la tarjeta de crédito de cualquiera que usara su tarjeta aquel sábado por la tarde.)

"Absolutamente todas las operaciones online del banco estuvieronn bajo el control de los atacantes durante 5 o 6 horas", explicó Dmitry Bestuzhev, uno de los investigadores de Kaspersky que analizó el ataque en tiempo real después de ver el malware infectando a los clientes de lo que parecía ser el dominio del banco completamente válido. Desde el punto de vista de los hackers, según Bestuzhev, el ataque DNS significó que "te conviertes en el banco. Todo te pertenece ahora”.

Stress DNS

Kaspersky no difundió el nombre del banco que fue objetivo del ataque DNS de redirección. Pero sus técnicos dicen que es una importante compañía financiera brasileña con cientos de sucursales, operaciones en USA e islas Caimán, 5 millones de clientes y más de US$ 27.000 millones en activos. Y aunque Kaspersky dice que no conoce el alcance total del daño causado por el ataque y captura de los hackers, debe servir como una advertencia a todos los bancos para considerar cómo la inseguridad de su DNS podría permitir una pesadilla de pérdida de control de sus activos digitales básicos. "Esta es una amenaza conocida en Internet", dice Bestuzhev. "Pero nunca la hemos visto explotada a una escala tan grande".

El Domain Name System (DNS, siglas en inglés), sirve como un protocolo crucial que se ejecuta bajo el capó de Internet: Traduce nombres de dominio en caracteres alfanuméricos (tal como Google.com) a direcciones IP (que son números, tales como 74.125.236.195) que representan las ubicaciones reales de las computadoras que hospedan sitios web u otros servicios en esas máquinas. Pero atacar esos registros puede eliminar sitios, o peor, redirigirlos a un destino elegido por el hacker.

En 2013, por ejemplo, el grupo de hackers del Ejército Electrónico Sirio modificó el registro DNS del The New York Times para redirigir a los visitantes a una página con su logotipo. Más recientemente, el ataque botnet Mirai (N. de la R.: botenet es un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. Mirai es un malware de la familia de las botnets. Malware es un código maligno, software malicioso) al proveedor de DNS Dyn golpeó un pedazo importante de la web, incluyendo Amazon, Twitter y Reddit.

Pero los atacantes al banco brasilero explotaron el DNS de sus víctimas de una manera más enfocada y con gran rentabilidad. Kaspersky cree que los atacantes comprometieron la seguridad de NIC.br, el registrador de sitios que termina en el dominio de nivel superior brasileño ".br", que también gestiona el DNS para el banco. Con ese acceso, los investigadores creen que los atacantes fueron capaces de cambiar el registro simultáneamente para todos los dominios del banco, redirigiéndolos a los servidores que los atacantes habían creado en la plataforma Cloud, de Google.

Con ese secuestro de dominio, cualquiera que visitara las URL del sitio web del banco fue redirigido a sitios similares pero que no eran del banco sino de los hackers. Y esos sitios incluso tenían certificados HTTPS válidos emitidos en nombre del banco, de manera que los navegadores de los visitantes mostraran un bloqueo verde y el nombre del banco, tal como lo harían con los sitios reales. Kaspersky encontró que los certificados habían sido emitidos 6 meses antes por Let's Encrypt, la autoridad de certificación sin fines de lucro que simplificó la obtención de un certificado HTTPS con la esperanza de aumentar la adopción de ese Protocolo Seguro de Transferencia de Hipertexto).

"Si una entidad obtuvo el control de DNS y, por lo tanto, obtuvo un control efectivo sobre un dominio, puede ser posible que esa entidad obtenga un certificado nuestro", explicó el fundador de Let's Encrypt, Josh Aas. "Tal emisión no constituiría una mala emisión de nuestra parte porque la entidad que recibió el certificado habría sido capaz de demostrar adecuadamente el control sobre el dominio".

En última instancia, el secuestro fue tan completo que el banco no fue capaz de enviar un solo correo electrónico para alertar a sus clientes. "Ni siquiera podían comunicarse con ellos", dice Bestuzhev. "Si tu DNS está bajo el control de ciberdelincuentes, estás básicamente jodido."



Aparte del simple phishing, los sitios falsificados también infectaron a las víctimas con una descarga de malware que se disfrazó de actualización del complemento de seguridad del navegador Trusteer que el banco brasileño ofrecía a los clientes. Según el análisis de Kaspersky, el malware recolectó no sólo los inicios de sesión bancaria del banco brasileño y de otros 8, sino también las credenciales de correo electrónico y FTP, así como las listas de contactos de Outlook y Exchange, todas las cuales fueron a un servidor de comandos y control en Canadá. El troyano también incluyó una función destinada a desactivar el software antivirus.

Para las víctimas infectadas, el problema puede haber persistido mucho más allá de la ventana de 5 horas que duró la ocupación del ataque. En el código de programación del malware se descubrieron palabras en lengua portuguesa, lo que indicaría que los atacantes pudieron haber sido brasileños.

Toma de control total

Después de unas 5 horas, el lapso es el que creen los investigadores de Kaspersky, el banco recuperó el control de sus dominios, probablemente llamando a NIC.br y convenciéndoles de corregir sus registros de DNS.

Pero cuántos de los millones de clientes del banco fueron atrapados en el ataque DNS sigue siendo un misterio. Kaspersky dice que el banco no ha compartido esa información con la empresa de seguridad, ni ha revelado públicamente el ataque.

De todos modos, dicen que es posible que los atacantes hayan podido recolectar cientos de miles o millones de detalles de cuentas de clientes, no sólo de su esquema de phishing y malware, sino también de redirigir ATM (cajeros automáticos) y transacciones de punto de venta a la infraestructura que controlaban. "Realmente no sabemos cuál fue el mayor daño: malware, phishing, punto de venta o cajeros automáticos", dice Bestuzhev.

¿Y cómo NIC.br habría perdido el control de los dominios del banco tan catastróficamente en el primer lugar? Kaspersky señala una entrada de blog en enero de NIC.br que admitió una vulnerabilidad en su sitio web que en algunas circunstancias habría permitido cambios en la configuración de los clientes. Pero NIC.br señaló en su publicación que no tenía pruebas de que el ataque había sido utilizado con algún propósito. El post también se refiere vagamente a "episodios recientes de grandes repercusiones que implican cambios en el servidor DNS", pero los atribuye a "ataques de ingeniería social". Wired se dirigió a NIC.br para conocer comentarios, pero no ocurrieron.

Bestuzhev, de Kaspersky, argumenta que para los bancos, el incidente debe servir como una advertencia concreta sobre cómo comprobar la seguridad de su DNS. Señala que la mitad de los 20 principales bancos clasificados por activos totales no gestionan su propio DNS, dejándolo en manos de un 3ro. potencialmente hackeable. E, independientemente de quién controle el DNS de un banco, deberían tomar precauciones especiales para evitar que sus registros de DNS se cambien sin controles de seguridad, tales como un "bloqueo de registro" que ofrecen algunos registradores y la autenticación de factores que hacen mucho más difícil para los hackers alterarlos.

Sin esas simples precauciones, el atraco brasileño muestra la rapidez con la que un switch de dominio puede socavar prácticamente todas las medidas de seguridad que una compañía podría implementar. Su sitio web cifrado y bloqueado de la red no ayudará cuando sus clientes son enrutados en silencio a una versión bizarra en la parte profunda de la web.

Dejá tu comentario