Estarían usando infraestructura tecnológica estatal para desplegar ataques digitales
Desde cuentas de correos con el dominio. gov.co se intenta vulnerar digitalmente a ciudadanos. Alertan sobre despliegue de ransomware desde infraestructura zombie del Instituto Agustín Codazzi.
El 1 de agosto se difundió de manera masiva un mensaje de texto supuestamente enviado por Bancolombia donde la entidad financiera informaba de un aumento en el cupo de la tarjeta de crédito a sus clientes. Una comunicación que muchos clasifican rápidamente como uno más de los intentos de estafas que se reciben a diario, pero para otros, la oportunidad de gastar más desde su tarjeta.
Nada nuevo en Colombia. Sin embargo, este intento de ataque digital tiene una característica inusual y que según pudimos verificar se trata de una o varias estrategias en donde se estaría usando infraestructura técnica pública para soportar y desplegar ataques.
Según pudimos evidenciar es altamente probable que servidores que se pagan con recursos públicos se estén usando para llevar a cabo intentos de ataques digitales. Se desconoce su origen, el alcance de las vulneraciones y solo podrían confirmarlo los administradores de la posible infraestructura afectada.
MuchoHacher.lol pudo identificar al menos ocho diferentes estrategias de ataque digital donde se estaría usando el recurso tecnológico para realizar intentos de estafas, instalación de programas sin autorización y hasta ransomware.
Toda persona que sepa técnicamente y que intente desplegar un ataque digital masivo sabe con certeza que no es una actividad barata y se necesitan recursos técnicos y humanos para que se haga realidad. Como no los tienen, buscarían vulnerabilidades en el Estado y acceden a recursos técnicos desde donde se despliegan los ataques. Por ejemplo, vulnerar un correo electrónico alojado en un servidor de uso público y desde allí aprovechar la capacidad técnica de los servidores para realizar sus estrategias.
El caso Bancolombia y Corponor
El mensaje de texto donde se anunciaba un aumento de cupo en la tarjeta de crédito usó, mientras estuvo activa la estrategia, recursos técnicos de una entidad pública llamada Corponor.
La Url https://cupo1.info/ que compartía el mensaje de texto llevaba a una página de aterrizaje que imita a un activo digital de Bancolombia. El portal tiene logos, colores y tipografía similar a la que usa el banco afectado.
Dentro de este portal se observa un link que llevaba a la url https://corponor.gov.co/b/cupo/mua.
El posible uso del dominio corponor.gov.co indicaría que el servidor, donde está alojado el sitio web, pudo ser vulnerado en algún punto en el tiempo y los atacantes lograron crear una carpeta y una url sin que los administradores se dieran cuenta. Esa url muestra que por un tiempo no determinado alguien accedió a esa url. El control del contenido del dominio y del servidor estaría a cargo de la Corporación Autónoma Regional de la Frontera Nororiental.
Para decirlo con claridad, el intento de ataque posiblemente se alojó en un servidor cuya administración está a cargo de una entidad ambiental del Norte de Santander.
Actualmente el link de Corponor , hacia donde se direccionaba el ataque no sirve ya que en su momento MuchoHacker.LOL advirtió a la entidad y los funcionarios desactivaron la URL.
Un patrón que se repite
Lo sorprendente del caso es que no es el único. Este mismo patrón se presenta en diferentes intentos de ataques digitales. En todos ellos se utilizan correos asociados a un dominio .gov.co, que en teoría están alojados en servidores pagados por el Estado.
Es altamente probable que las entidades oficiales afectadas no tengan idea de lo que está pasando e incluso correos que se usan en labores diarias, al mismo tiempo, estén siendo usados para timar o engañar.
En mayo 29 el periodista Julián Martínez alerto de un caso de suplantación de Migración Colombia mediante el uso de correo electrónico ludoteca@uribia-laguajira.gov.co.
En este caso, aunque los filtros de Gmail lo detectaron, se intentó difundir un documento falso de Migración Colombia que contienen un archivo adjunto infectado y que busca instalar un archivo desconocido.
El correo ludoteca@uribia-laguajira.gov.co existe como se certifica en este Share Point de la entidad y es el altamente probable que quien administra ese correo no sepa que lo están usando para posibles ataques digitales. Probablemente estamos ante una especie de correo zombie administrado por alguien cuyo objetivo es realizar ataques.
Y siguen los casos. El usuario @Victor_noruega que le ha hecho un seguimiento al tema, encontró otro caso con dominio con el uso del dominio sanjuandeuraba-antioquia.gov.co. En este caso se envía desde el correo Sisben@sanjuandeuraba-antioquia.gov.co un supuesto PDF que certifica un pago.
Los atacantes conocen con certeza que una comunicación de un pago del Sisben tiene una alta probabilidad de ser abierto. Como ya lo han identificado varios analistas, esta puede ser una estrategia masiva para aprovechar la vulnerabilidad de los ciudadanos e instalar software que puede incluso controlar dispositivos de manera remota.
Otro caso más tiene que ver con el correo cultura@villapinzon-cundinamarca.gov.co y sigue el mismo modus operandi de los anteriores. Un correo enviado desde posible infraestructura técnica del Estado , que en este caso habla de un proceso en un juzgado, que trae un archivo adjunto que se abre con una supuesta contraseña que lo único que busca es infectar el computador de la víctima.
Pero no son los únicos casos. Se registran vulneraciones no solo en entidades de gobierno, también están afectadas universidades, hospitales y hasta bancos.
Se ha utilizado un correo del Hospital Malvinas, ubicado en Florencia, Caquetá para enviar correo que hace parte de una operación de ataque de Blind Eagle.
Usaron correo de la Universidad del Meta para enviar mensajes infectados. Utilizaron correos del banco Agrario para atacar con Pishing.
Es casi un imposible saber la dimensión de la infraestructura técnica afectada pero las evidencias que han compartido diferentes investigadores y que se pueden recopilar de diversas publicaciones permiten concluir que la situación es real y puede tener una escala que ni siquiera imaginamos.
Ransomware desde lo público
Pero uno de los casos más críticos y que más debería generar alertas de todo tipo tiene que ver con el descubrimiento de una botnet que despliega ataques ransomware y que usaría infraestructura técnica del Instituto Geográfico Agustín Codazzi.
No se conocen muchos detalles de esta vulneración lo que sí es cierto es que el investigador Germán Fernandez alertó públicamente en su perfil en Twitter sobre esta anomalía y advirtió a las autoridades.
En este caso estamos hablando de que se usan recursos técnicos de la institución desde donde se estaría desplegando ransomware. Algo inexplicable.
Sobre los correos
No es posible saber a ciencia cierta si los correos que parecen ser vulnerados pertenecen ciento por ciento a las entidades mencionadas hasta tanto no se despliegue un análisis técnico que lo certifique.
Existen formas técnicas de enmascarar un correo electrónico y, por ejemplo, hacerlo pasar como si fuera de una entidad pública.
Una de las técnicas usadas es el email spoofing donde se falsifica la dirección de correo electrónico de un remitente en un mensaje de correo electrónico. El objetivo principal del email spoofing es engañar al destinatario haciéndole creer que el correo electrónico proviene de una fuente confiable cuando, en realidad, es enviado por alguien con intenciones maliciosas.
Solo los administradores de las cuentas acá reseñadas y alguien que haga un análisis técnico podrá determinar si los correos están infectados o no.
Sería bueno conocer qué otros correos podrían estar vulnerados o qué otra infraestructura. Deje comentarios si conoce alguno o escriba a Hyperconectado@proton.me