Ataque a Mintic: Habrían vulnerado entidad que tiene a su cargo la ciberseguridad del país
Era crónica de un ataque anunciado. El 27 de febrero el grupo Colombian Hackers advirtió que haría un ataque digital al Ministerio TIC y finalmente cumplieron.
Ese día se publicó la que sería la topología de la red del Ministerio. Una serie de documentos que explicarían cómo funcionaba la infraestructura técnica de la entidad. No se sabía con exactitud el nivel de privacidad de esa documentación aunque una búsqueda en detalle usando Google permitía inferir que se trataban de documentos privados de la entidad.
Al conocerse esta situación y observar que la topología circulaba por varios chats públicos MuchoHacker.lol se comunicó con Mintic para informar la situación.
En su momento, desde el punto de vista editorial, se consideró inconveniente y peligroso publicar sobre los documentos compartidos pues tenían direcciones IP que podrían servir como ruta para realizar ataques.
A pesar de las advertencias y que la información circuló en varios grupos de Telegram públicos finalmente el día de hoy se conoció un ataque digital cuyas consecuencias aún están por determinar y que podrían comprometer varios activos digitales de la entidad.
Antes de publicar este post nos comunicamos vía Twitter con la entidad para conocer su versión de los hechos.
Una funcionaria de la entidad nos indicó en términos muy generales que las publicaciones hechas en Telegram no son actuales y harían parte “de unas capacitaciones de la entidad”. Sin embargo, no pudo responder por qué en algunas de las pruebas aparecen fechas actuales y tampoco por qué una capacitación muestra las que serían claves de redes sociales de un activo digital del Estado.
La funcionaria explicó que no podía ser la vocera de la entidad ya que toda la versión oficial se haría a través de una respuesta en Twitter. Dado que hubo una explicación desde la entidad, pero no se puede citar al detalle en este texto por pedido de la funcionaría, las preguntas que surjan luego de esta publicación se harán públicamente en Twitter
Las pruebas que publica Colombian Hackers tienen un alto componente técnico y pueden ser la prueba de una vulneración que debería preocupar a cualquier entidad del Estado.
Con la ayuda de varias personas con conocimiento técnico en Twitter se intentó descifrar la magnitud . En las pruebas de la vulneración digital se compartieron 11 pruebas.
Claves expuestas
Una de las primeras recomendación técnicas que se hace para un adecuado manejo de las contraseñas es que no se deben alojar todas en un documento de guía. Justamente es lo que, al parecer hizo la entidad, en cuanto a varias redes sociales y correos que se administrarían desde Mintic.
Según unos de los documentos expuestos como prueba del ataque las contraseñas de varias cuentas del Estado estarían vulneradas. Se observa un cuadro hecho en Word donde se registra la cuenta en redes sociales con su respectiva contraseña.
La oficina de comunicaciones de Mintic pudo estar vulnerada. Igualmente los activos digitales y redes sociales de GobiernoEnLinea.
Solo se observa una parte del documento. Esto quiere decir que en ese archivo pueden estar expuestas otras contraseñas y cuentas pertenecientes al Estado.
Vulnerada la nube
Los atacantes demostraron que pudieron acceder a la nube del Fondo de Tecnologías de la Información y las Comunicaciones.
Mostraron un pantallazo del sistema Azure y aparece el nombre de una persona llamada Carlos Caicedo cuyo status sería global reader, que según Microsoft, es el estatus de lectura dentro de la nube.
Microsfot Azure tienen múltiples funcionalidades. Sin embargo, para entender la dimensión del ataque es el desarrollo técnico que por ejemplo habilita las funcionalidades de apps o administración de múltiples servicios digitales.
De forma no técnica es el sistema desde donde básicamente se controlaría buena parte de la infraestructura tecnológica de la entidad. Es un servicio que se paga a la multinacional Microsoft.
El usuario vulnerado para acceder a este sistema es Dleon.
Dentro de los documentos compartidos se observa que el usuario vulnerado pudo tener acceso como administrador de la nube.
VPN
Se observa que los atacantes lograron accesos gracias a la vulneración del usuario Hroldan. Este funcionario tiene acceso al portal Viveteletrabajo.mintic.gov.coSe observa acceso a un dashboard que tiene como título VPN MinTic usuarios.
Con el pantallazo compartido se puede inferir que tuvieron acceso a otras URL que llevarían a otros activos digitales de Mintic. Allí se observa que podrían tener acceso a Alfanet, Notificaciones, SIR, Gestion de Cobro, entre otros.
Igualmente se compartió una muestra de una posible conexión a un VPN llamado Mintic Viveelteletrabajo.
Igualmente habrían vulnerado la IP 10.90.XXX (Ultimos números no se comparten) en la cual pudieron acceder a tres links.
Arquitectura Empresarial Mintic, Administrador de Base de Datos Mysql – Mintic, Administrador de LDAP.
Uno de estos links podría ser acceso a una base de datos.
En otro prueba denominado Documento de Arquitectura 2021 se observan
Datos.gov.co vulnerado
Otra de las pruebas muestra un acceso como administrador al que sería el panel de administrador del portal de datos del estado. Una vulneración de este nivel da acceso a data sets del Estado colombiano que administra esta entidad.
Una de las pistas que podría aclarar en qué momento se hizo este ataque es una muestra de una carpeta en la nube que fue creada el 11 de enero de este año a las 17:12. Es una carpeta en la nube con 785 MB de datos que lleva por nombre Mintic.gov.vo
Este sería uno de tantos ataques realizados a la infraestructura técnica del Estado que se han reportado en este blog. Desde la Policía Nacional pasando por el propio Mintic se está demostrando el estado real de la ciberseguridad del país.
Este fue el mismo grupo que atacó a la Universidad Nacional. Entidad que aceptó la vulneración y envió una comunicación a estudiantes. Igualmente, fue el grupo que atacó la Policía Nacional. En su momento la entidad no manifestó interés en el ataque y al día de hoy no se han pronunciado.
Es importante señalar que no es posible verificar con un tercero si la información que se compartió como prueba del ataque es reciente o fue hecha en el pasado. Mintic niega que sus sistemas hayan sido vulnerados.
Actualización. Miércoles 8 de marzo de 2023. 3 de marzo. 3:26 a.m
Ante las declaraciones de Mintic donde afirmaron que actualmente la entidad no se encuentra bajo ningún ataque el grupo Colombian Hackers indicó que los encargados de la ciberseguridad del país están comprometidos desde el 2021.
En comunicación vía chat público explicaron que varias de las pruebas enviadas son de los años 2021, 2022 y 2023.
Según los atacantes con la publicación sólo se demostraría que la entidad ha estado más de tres años vulnerada sin que nadie haga alguna actividad técnica para remediarlo.
“Este es el nivel técnico de investigación que tiene la entidad”, afirmaron.
En concepto del grupo actualmente la entidad se encuentra comprometida.
Así mismo, como parte de las pruebas de un supuesto ataque compartieron una url que direcciona a una nube con password donde se habría compartido una base de datos comprometida.
La Url compartida es una dirección que apunta a un activo digital de los ciber atacantes Lockbit. Grupo creador de ransomware que atacó a la ciudad de Medellín y una de las agrupaciones con más secuestros de información del mundo.
Al momento del cierre de esta publicación MuchoHacker.lol se encuentra analizando en un entorno seguro los datos que pertenecerían a Mintic y habrían sido comprometidos.
Actualización. Miércoles 8 de marzo de 2023. 3 de marzo. 8:16 a.m
El archivo que subieron a un sistema en la nube de Lockbit es un documento de Excel que tiene por nombre Gobierno Digital DB. El documento tiene un encabezado en el que se indica que pertenece al Viceministerio de Transformación Digital.
El documento no tiene fecha de actualización pero sus metadatos indican que fue creado el martes 13 de octubre de 2020.
Este archivo de Excel está compuesto por 36 pestañas y contiene el nombre, cargo, correo electrónico y en algunos casos el número celular del CIO o Líder digital de todas las entidades del país. También se incluyen esos datos de personas e instituciones que no pertenecen al Estado pero tienen que ver con temas de ciberseguridad.
En tan solo la primera pestaña, de las 36, se registran datos de más de 3.000 funcionarios. Dentro de la lista se pueden observar nombres de entidades como Armada Nacional, Comando General de las Fuerzas Armadas, Fuerza Aérea, todos los ministerios, todos los municipios, todas las alcaldías.
En algunas pestañas se observa la misma entidad con nombre diferente lo que podría indicar algún tipo de actualización.
Se realizó una búsqueda en Google de este documento y no fue posible su ubicación.
Pingback: Operación global culmina en el desmantelamiento de la red de ransomware Lockbit: Víctimas colombianas podrían desencriptar datos secuestrados – MuchoHacker.LOL