Habrían vulnerado servidor del DNP. Atacante instala en subdominio de la entidad página web de tragamonedas en línea
Nuevamente se presenta un incidente digital en el Departamento Nacional de Planeación. En esta oportunidad un atacante habría vulnerado la seguridad digital de la entidad e instaló una página web dentro del dominio Dnp.gov.co.
Según un experto consultado, que responde bajo el anonimato, y que ayudó a comprender el inusual caso, la instalación de cualquier cosa en un subdominio del DNP pasa obligatoriamente por tener accesos privilegiados.
El ataque a la entidad se conoce gracias a la detección de la venta de una webshell que se ofrece por $2000 en un famoso chat donde se comercia con información de este tipo.
Un webshell es un tipo de software malicioso que se instala en un servidor web para permitir que un atacante tenga acceso remoto y tenga control sobre el sistema.
El anuncio de la venta del webshell se hizo con la publicación de una prueba que consistió en mostrar una URL que contiene una página web completa instalada en lo que sería un subdominio del DNP.
La url que el atacante muestra como parte de su argumento para vender y afirmar que instaló la webshell es : https://mga-preprod.dnp.gov.co/slot/.
El anuncio de la venta se realizó el pasado sábado y han pasado tres días sin que DNP revise sus subdominios para identificar algún tipo de vulneración. De hecho, sigue al aire.
DNP tiene varios servicios instalados en subdominios que hacen parte del dominio principal que es: dnp.gov.co. Algunos de ellos: https://colaboracion.dnp.gov.co, https://ingresosolidario.dnp.gov.co, entre otros.
Que pueden hacer si instalan una webshell
Cuando un atacante instala una webshell en un servidor, puede tener una gran cantidad de opciones. Pueden desde obtener acceso remoto a un servidor hasta recopilar información privada.
Es la segunda vez de posibles incidentes digitales al DNP. En enero publicamos como estarían vendiendo información con 25 millones de datos de usuarios del Sisben. Publicación que recogieron varios medios masivos y que a la fecha no tiene claridad sobre lo que pudo pasar.
Nos comunicamos con el DNP para informar la situación. Se enviaron dos preguntas y estamos a la espera de una respuesta.