En venganza por captura de org0n el grupo SiegedSEC muestra pruebas de vulneración de software de monitoreo geoespacial administrado por el Igac

mayo 23, 2023 hyperconectado

El 19 de mayo el grupo SiegedSEC publicó en uno de sus canales de Telegram lo que serían evidencias de un ataque digital que habría afectado a 30 emisoras de radio colombianas y ocho “satellite receivers” estatales.

En un video publicado los atacantes muestran cómo se habría desarrollado el ataque y, según se puede observar en las imágenes, infraestructura técnica relativa a monitoreo geoespacial administrada por el Instituto Gegráfico Agustín Codazzi pudo ser vulnerada.

MuchoHacker.lol se comunicó a las 11:34 a.m vía Twitter con el Instituto para saber más sobre el asunto. Pidieron más información sobre el asunto y se envió una descripción corta de los hallazgos. Al momento del cierre de esta nota no hubo respuesta.

Según contaron vía dm por Twitter la entidad envió la información que se compartió a áreas encargadas. “Quienes se encuentran analizando la infraestructura tecnológica de la entidad”

Satellite Receiver

“Apagamos los satellite receivers y destruimos la configuración de las emisoras” afirma el comunicado de Siegedsec.

Comunicado de SiegedSec donde explica el ataque efectuado el pasado viernes.

En el video – que no se publica porque puede tener información técnica que facilite otros ataques – se puede observar cómo los perpetradores habrían podido ingresar a un software de monitoreo geoespacial llamado Trimble NetR9.

Pantallazo del video publicado. Muestra un software que utilizaría el IGAC para administrar satélites receivers.

El video no dejaría de ser una imagen cualquiera de no ser por la configuración interna que revela. Se observa un conexión del programa vulnerado con una url que haría parte de un subdominio del Igac.gov.co, que pertenece al Instituto Geográfico Agustín Codazzi.

Dashboard del programa Trimble. Se observa la URL relacionada al Instituto Agustín Codazzi.

Según la página del IGAC la Red Magna ECO “Es un conjunto de estaciones GNSS (sistema global de navegación por satélite) de rastreo continuo, que se encuentran ubicadas estratégicamente en el territorio nacional y sirven como base de referencia para los levantamientos diferenciales, porque reciben información satelital en tiempo real”.

Se puede inferir una relación entre esta información del IGAC publicada en su portal y el nombre de la URL supuestamente vulnerada que es Magnaeco.igac.gov.co. No se ha podido verificar esta relación con un tercero y tampoco por el IGAC.

Según este documento la Red Magna Eco es utilizada entre otras, por la Agencia Nacional de Tierras y el Servicio Geolgógico Colombiano.

El video también muestra que alguien tuvo acceso al sistema y que no es video viejo ya que se observan carpetas por año y una de ellas dice 2023.

Si se llegó a presentar un ataque a esta entidad y si usa ese software para la gestión de información satelital se observa que los atacantes borraron los nombre de usuario JaMontoya, DAPDM, JASALAZAR e IGAC.

Luego de borrar supuestos nombres de administradores se observa como reinician el sistema, le cambian el nombre al nuevo sistema que ahora se llama Hacked by SiegededSEC #OpColombia y el software muestra un reinicio completo.

En términos muy básicos y apelando solo a la información disponible en Internet lo que pudo hacer Siegedsec fue vulnerar un software que administra algún tipo de información satelital colombiana administrado por el Igac. Información que usa el Estado para ubicar un punto en el territorio nacional y que puede tener diversos usos. No ha sido posible verificar esta información con la entidad afectada.

Siegdsec no es nuevo en el mundo de la ciberactividad. Su actividad es ampliamente conocida e incluso se les ha adjudicado ataques a satélites rusos que el Kremlin en su momento negó. La información fue compartida en el mismo canal donde está la información del supuesto ataque a satélites rusos.

Radio

Pero el ataque no solo se afectaría un software que administraría información satelital. Varias emisoras colombianas pudieron estar afectadas. Según el comunicado un total de 30.

Atacantes vulneran el programa Comrex y e ingresan al administrador del software con una clave vulnerada.

En el video se muestra el acceso supuestamente ilegal al software Comrex. Este es un programa que utilizan la mayoría de emisoras colombianas para la administración y flujo de trabajo de los medios de comunicación.

El Comrex fue el software atacado y que afectó a varias emisoras del grupo PRISA el mes pasado entre las que se encuentran W radio y Caracol Radio.

No se conocen cuáles son las 30 emisoras atacadas pero los atacantes dejaron pistas para demostrar su poder de ataque.

Una de las emisoras atacada tiene instalado el software en la IP 172.16.(XXX) (Se omiten los tres últimos números para evitar nuevos ataques). Toda la configuración de la emisora fue borrada. Igual pasó con la IP 70.22.(XXXX) y la IP 200.116.(XXX) que pertenecería a una emisora ubicada en Pereira.

Pantallazo compartido por el grupo atacante. Se observa la IP desde donde varias emisoras en Colombia tienen instalado Comrex y a las que supuestamente habrían atacado borrando toda su configuración.

El Comrex se instala sobre una IP y de ahí la emisora, en términos muy básicos, puede funcionar. Todas las configuraciones del software asociadas a las anteriores IP fueron borradas.

Una de las emisoras afectadas sería algún dial de la organización Radial Olímpica ya que uno de los nombres que se observan, y que fue modificado, habla de ‘Manizales ORO’ y una parte de nombre de dominio de la emisora es ORO. No se ha podifo verificar esta información con un tercero.

Este ataque, sumado al del grupo Prisa, demuestra la vulnerabilidad a la que están expuestas las emisoras en Colombia y probablemente debería motivar que los medios de comunicación tomen mayores medidas de seguridad y que las autoridades (Cualquiera que está sea en Colombia porque no se sabe) investiguen lo que claramente son ataques directos a la Libertad de Prensa.

Anuncios de la Fiscalía

Todo el caos descrito anteriormente se produce por la captura de una persona supuestamente relacionada con una facción de Anonymous Colombia y que la Fiscalía de Colombia mostró como un gran logro en la lucha contra la ciberdelincuencia.