USA, the Shadow Brokers hackeando la NSA, Parte I

Definitivamente el grupo de hackers #ShadowBrokers debe ser el más famoso en los últimos años, debido a que ellos afirmaron ser los primeros en haber accedido a los archivos de la NSA National Security Agency US y haber publicado documentos confidenciales, exploits, herramientas de espionaje usados por la NSA.

Image for post
Image for post

Shadow Brokers luego de intentar vender esta serie de herramientas utilizadas para tomar control de sistemas Windows y no lograrlo, el 14 de abril 2017 lo publican abiertamente al público:

Image for post
Image for post

A la fecha, he descargado los diferentes archivos y en esta publicación voy a profundizar la información obtenida con las herramientas que supuesta mente la NSA ha usado para espiar a diferentes Bancos del medio Oriente, a continuación muestro un mapa no oficial de esta región para tener una perspectiva:

Image for post
Image for post

Ingresando a los archivos del directorio: \\swift, donde podrás observar diferentes informaciones que para un Banco no serían las mejores, saber que la NSA te estuvo espiando y que un grupo de hackers lo publica, para empezar una topología general que ayudará a ver el grado de precisión de cada una de las redes a analizar, documento: #EN_DUBAI_ASA.vsd

Image for post
Image for post

Luego, comenzaremos con el documento #JFM_Status, que lleva por título: JEEPFLEA_MARKET donde uno de los objetivos por país es: Dubai, Belgica y Egipto.

Image for post
Image for post

Topología general de los objetivos, Bancos arriba indicados, incluso organizado por Front End, Middleware y Back End. Se describen los Targets, Country, Topología, SAA Servers (Noor Islamic Bank, Tadhamon International Islamic Bank, Kuwait Fund for Arab Economic Development, Arcapita Bank)

Image for post
Image for post

Inclusive en la topología de arriba se indica que el firewall central es un ASA por lo tanto del fabricante Cisco Systems. A nivel de dispositivos de seguridad perimetral en los archivos existen configuraciones completas de firewalls Cisco, Netscreen que actualmente es del fabricante Juniper, por ejemplo en el archivo: #00566_2_FW1-Configuration tiene una configuración de un firewal Cisco ASA, el password esta cifrado pero como sabemos con otras herramientas libres se puede descifrar y la versión 7.0 (6) del firewall:

Image for post
Image for post

Los access list donde se describe las reglas de seguridad del firewall Cisco ASA, por ejemplo se observa que se tiene permitido el trafico hacia diferentes servidores al puerto 3389/TCP que es utilizado Remote Desktop Protocol RDP.

Adicionalmente en otros archivos están los passwords de algunas cuentas de un firewall Netscreen:

Image for post
Image for post

Por otro lado tenemos una lista de Hostnames de diferentes instituciones Bancarias para proceder a implantar y colectar datos, entendería los hostnames que han sido totalmente controlados remotamente:

Image for post
Image for post

Otro archivo más donde se puede observar la lista de servidores Saa del 08 de Mayo 2013:

Image for post
Image for post

Finalmente en otro archivo se puede observar la versión del SO, Service Pack para así tener un inventario y que exploit usar:

Image for post
Image for post

Finalmente, toda esta información nos hace pensar que las grandes naciones tienen ejércitos de Cyberseguridad independiente de sus objetivos sean buenos o malos. Gracias a Shadow Brokers podemos tener conocimiento de este conjunto de actividades y tomar las medidas necesarias para proteger la información que creemos es crítica.

Fuente: https://github.com/misterch0c/shadowbroker

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store