Guardians of Peace GOP los Hackers de Sony, ¿quiénes son?

El 24 de noviembre de 2014 ocurrió un hecho que fue catalogado de bluff o estrategia de marketing: hackers habían tomado control de diversas computadoras de la compañía norteamericana Sony, al interior de la red corporativa de trabajo. ¿Qué? ¿Cómo? ¿Quién? Guardians of Peace GOP.

Red comprometida

La noticia se dio a conocer después de que empleados de Sony Pictures Entertainment advirtieran que la red de computadoras estaba secuestrada, impidiéndoles trabajar. Sólo era posible ver un macabro mensaje que contenía enlaces de descarga directa con archivos secretos de Sony, incluyendo una advertencia sobre filtración de material secreto a las 11:00 PM del mismo lunes 24:

“Warning: We’ve already warned you, and this is just a beginning.
We continue till our request be met.
We’ve obtained all your internall data including your secrets and top secrets.
If you don’t obey us, we’ll release data shown below to the world.
Determine what will you do till November the 24th, 11:00 PM (GMT).”

Guardians of Peace GOP los Hackers de Sony
Guardians of Peace GOP los Hackers de Sony

Hackeo de cuentas en Twitter

Además de esto, casi de manera simultánea, fueron hackeadas tres cuentas de Twitter relacionadas con la compañía y la difusión de producciones filmográficas: @SoulSurferMovie @StompTheYardDVD @StarTroopMovie Con el siguiente mensaje:

“Hacked By #GOP You, the criminals including Michael Lynton will surely go to hell. Nobody can help you.

@SoulSurferMovie Twitter Hacked by GOP Guardians of Peace
@SoulSurferMovie Twitter Hacked by GOP Guardians of Peace
@StompTheYardDVD Twitter hacked by GOP Guardians of Peace
@StompTheYardDVD Twitter Hacked by GOP Guardians of Peace
@StarTroopMovie Twitter hacked by GOP Guardians of Peace
@StarTroopMovie Twitter Hacked by GOP Guardians of Peace

Emails con exigencias no reveladas

Asímismo los empleados de Sony recibieron correos electrónicos con demandas que de no ser cumplidas impulsarían la filtración de documentos con información financiera y comercial de la empresa, a las 11:00 PM del lunes 24 de noviembre, tal como se veía en las computadoras bloqueadas.

¿Quiénes son Guardians of Peace?

Sobre esto se ha especulado bastante. Desde un comienzo se habló de una estrategia publicitaria para promover producciones cinematográficas de Sony. Otros aseguraron que trabajadores de la firma participaron en el ataque, mientras que también se rumoreaba un supuesto protagonismo de Corea del Norte, con el argumento de que en junio de 2014, el gobierno de Pyongyang declaró (a través de una carta) que consideraba a la película The Interview como “un acto de guerra“.

Tras indagaciones del FBI, el buró federal compartió con Brian Krebs una firma de detección de intrusión realizada con el IDS Snort, a lo cual Brian Krebs publicó en su blog que el lenguaje utilizado en el desarrollo del malware fue el coreano:

“The report also says the language pack referenced by the malicious files is Korean”

Guardians of Peace: ¿Botnet? ¿Ransomware? ¿El Virus de La Policía?

¿Qué es un ramsonware? Según Wikipedia:

Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.”

“Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa MacAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos.”

La primera aparición del ransomware data de marzo del 2011 en Alemania, cuando una plaga de virus informático desconocido hasta ese entonces bloqueaba las computadoras simulando ser la policía alemana.

Con estas descripciones genéricas de ransomware podemos entender con qué malware los hackers de Guardians of Peace infectaron la red informática y corporativa de Sony, para luego robar la información de ésta y bloquear las computadoras. La particularidad destacada del ransomware de Guardians of Peace es que se trata además, a todas luces, de una Botnet indetectable y altamente sofisticada, ya que permite copiar o transferir grandes cantidades de archivos de forma remota mediante protocolos como FTP, e infectar completamente redes de computadoras comunes, y servidores. Estamos, por tanto, frente a un potente malware desarrollado bajo ambientes militares, que probablemente se propaga con características de gusano, ya que una compañía como Sony debe tener altos estándares y políticas de seguridad que permiten descartar de antemano un ataque de Ingeniería Social con phishing.

Al respecto, el mismo lunes 24 de noviembre, tras el ataque a Sony, el FBI emitió una alerta a las empresas de Estados Unidos, hablando sobre un poderoso virus que era capaz, entre otras cosas, de borrar por completo un disco duro, y que se trata de un malware con potencial para poner en jaque a los sistemas informáticos de ese país.

En desarrollo.

Guardians of Peace Christmas gift for Michael Lynton

The 1st day of Christmas gift: This is the beginning

by GOP

Notice

We have already promised a Christmas gift to you.
This is the beginning of the gift.

Please send an email titled by “Merry Christmas” at the addresses below to tell us what you want in our Christmas gift.
emma.brooks-0oc6m7bl@yopmail.com
marc.parker-1ojn2dp2@yopmail.com
axel.turner-4oqbyjui@yopmail.com
rose.martin-boz2uaul@yopmail.com
rose.martin-0o7jacx4@yopmail.com

Warning

We will clearly show it to you at the very time and places “The Interview” be shown, including the premiere, how bitter fate those who seek fun in terror should be doomed to.
Soon all the world will see what an awful movie Sony Pictures Entertainment has made.
The world will be full of fear.
Remember the 11th of September 2001.
We recommend you to keep yourself distant from the places at that time.
(If your house is nearby, you’d better leave.)
Whatever comes in the coming days is called by the greed of Sony Pictures Entertainment.
All the world will denounce the SONY.

Christmas gift: Michael Lynton
Password: diespe123

http://www.mediafire.com/download/ruybemwauscqcz2/mlynton.rar.torrent
http://filenuke.com/f/OXVgaa6
http://rmdown.com/link.php?hash=14305a5d7d2980e3f6e4a3627971bf21c0f5aaba703
http://www.uploadable.ch/file/FWa7V3fmCach/mlynton.rar.torrent
http://180upload.com/8nnfi3newqeq

Previous Torrents
http://www.mediafire.com/download/o86cvept53a806o/s0ny-old.zip
http://filenuke.com/f/3pqX4o6
http://www.uploadable.ch/file/5aTd2wN37Tgb/s0ny-old.zip
http://180upload.com/5xq113evi1fx

https://friendpaste.com/5spgSLCA5DN9T7ZHtftfsK

SONY MOVIE SCRIPTS.zip FREE DOWNLOAD!!!

https://volafile.io/r/PN53Ju
http://fileb.ag/l3w5uoo97f23

Banco Estado, el banco menos seguro de Chile

Nota, 26 de marzo 2015.

Después de la publicación de las vulnerabilidades en Banco Estado, se generaron trifulcas en las que, obviamente, no participé: el banco, por ejemplo, amenazó con demandarme, al mismo tiempo que desmintió las fallas en su aplicación web. Curiosamente (para el bien de todos sus clientes), las falencias desaparecieron y aplicaron diferentes y adicionales maneras de autenticación. ¿Coincidencia? Como disloque, un anónimo, días después del disclosure, aplicó las vulnerabilidades con algo de cosecha propia (logrando un interesante bypass de login), para luego grabarlo y publicarlo en Youtube, demostrando con esto que la información publicada en aquel reporte era 100% real y explotable, tirando por el suelo los estudios paralelos a base de ignorancia. A saber: http://utb.cl/NLjh4

******************

Motivado por un aviso de publicidad en Banco Estado para descargar el software Detect Safe Browsing, advertí graves vulnerabilidades por medio de las cuales Banco Estado ha expuesto durante varios meses las cuentas bancarias de todos los clientes Cuenta RUT (y probablemente otros tipos de cuentas). Banco Estado ha roto todas las políticas de privacidad y protección de manera increíble.

Descarga desprotegida & XSS

Detect Safe Browsing de Easy Solutions INC fue el punto de partida, ya que es una aplicación supuestamete exclusiva para clientes de Banco Estado, accesible sólo por medio de una cuenta de usuario, pero en la práctica se puede descargar sin sesión. Incluso, podemos ver cómo dicha URL ya ha sido objeto de explotación para ataques tipo XSS (Cross-site Scripting), según los resultados de búsqueda y la caché de Google. Pero no es lo peor, ¡esto es sólo el comienzo! Toma tu cuenta RUT y partir de ahora guárdala.

URL para descarga de Detect Safe Browsing, de Easy Solutions INC
URL para descarga de Detect Safe Browsing, de Easy Solutions INC

Fuzzing & SQL Injection

Fue entonces cuando decidí volver a ingresar con mi cuenta de usuario al sitio de Banco Estado para poner esta vez más atención en el funcionamiento de la interfaz web, logrando advertir que es posible, por medio de fuzzing, acceder a planillas de uso interno del banco. Para mi sorpresa, además, en cada cambio de acceso la nueva URL arroja un número en el extremo superior izquierdo, mostrando de esta forma que además de fuzzing es vulnerable a ataques de SQLi (SQL Injection).

Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado

Exposición de base de datos de clientes

De manera extraordinaria, también es posible acceder a la base de datos completa de personas y empresas que han obtenido devoluciones de dinero, filtrando así números de cuentas, nombres completos y dineros de cientos o quizá miles de usuarios y compañías en Chile:

Exposición de base de datos de clientes
Exposición de base de datos de clientes

Cambios arbitrarios de datos y contraseñas

Como si fuera poco, aunque parezca increíble, es posible “actualizar” los datos de cualquier cliente sin tener la contraseña y sin acceder bajo una sesión de login:

Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado

Y para colmo, no sólo es posible cambiar arbitrariamente los datos de los clientes, sino que además podemos resetear la contraseña de acceso web de todas las Cuentas RUT. Increíble, pero cierto.

Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado

XSS, Inyección de HTML & Ataques de Ingeniería Social

Como han de imaginarse, mi asombro era gigante. Sin embargo, quedé con la boca abierta al percatar que después de todo lo anterior, ¡podía modificar la web! Así es, señoras y señores, el sitio de Banco Estado es tan crítico, que se puede armar un buen plan de Ingeniería Social para realizar un ataque masivo a nivel nacional con el objeto de robar contraseñas de tarjetas bancarias. ¿Cómo? Facil, inyectando un payload acorde a la web en donde se realice un call to action para que la víctima haga click sobre él y lo lleve a una web de phishing a través de la misma página web oficial. ¡Una mina de oro para carding!

Ingenieria Social & Robo de contraseñas de tarjetas Banco Estado
Ingenieria Social & Robo de contraseñas de tarjetas Banco Estado

Conclusión

¿Se justifican los cobros de la Cuenta RUT, sabiendo que, cualquier cracker podría explotar esta información para fines criminales? Un banco tan grande como este, ¿tiene equipo dedicado a los quehaceres propios de la seguridad informática? Francamente, si la aplicación web es así, no quiero imaginar sus sistemas o redes y menos aún los servidores… Es más, ¿de qué sirven sus certificados de seguridad SSL?

Hasta que Banco Estado no arregle todo esto, es recomendable, a todas luces, no usar la Cuenta RUT, guardarla por un buen tiempo, o buscar un banco más seguro.

Saludos y recuerda que… La seguridad en Internet es un mito, porque el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Si no me crees, pregúntaselo a la NSA.