USA, the Shadow Brokers hackeando la NSA, Parte I
Definitivamente el grupo de hackers #ShadowBrokers debe ser el más famoso en los últimos años, debido a que ellos afirmaron ser los primeros en haber accedido a los archivos de la NSA National Security Agency US y haber publicado documentos confidenciales, exploits, herramientas de espionaje usados por la NSA.
Shadow Brokers luego de intentar vender esta serie de herramientas utilizadas para tomar control de sistemas Windows y no lograrlo, el 14 de abril 2017 lo publican abiertamente al público:
A la fecha, he descargado los diferentes archivos y en esta publicación voy a profundizar la información obtenida con las herramientas que supuesta mente la NSA ha usado para espiar a diferentes Bancos del medio Oriente, a continuación muestro un mapa no oficial de esta región para tener una perspectiva:
Ingresando a los archivos del directorio: \\swift, donde podrás observar diferentes informaciones que para un Banco no serían las mejores, saber que la NSA te estuvo espiando y que un grupo de hackers lo publica, para empezar una topología general que ayudará a ver el grado de precisión de cada una de las redes a analizar, documento: #EN_DUBAI_ASA.vsd
Luego, comenzaremos con el documento #JFM_Status, que lleva por título: JEEPFLEA_MARKET donde uno de los objetivos por país es: Dubai, Belgica y Egipto.
Topología general de los objetivos, Bancos arriba indicados, incluso organizado por Front End, Middleware y Back End. Se describen los Targets, Country, Topología, SAA Servers (Noor Islamic Bank, Tadhamon International Islamic Bank, Kuwait Fund for Arab Economic Development, Arcapita Bank)
Inclusive en la topología de arriba se indica que el firewall central es un ASA por lo tanto del fabricante Cisco Systems. A nivel de dispositivos de seguridad perimetral en los archivos existen configuraciones completas de firewalls Cisco, Netscreen que actualmente es del fabricante Juniper, por ejemplo en el archivo: #00566_2_FW1-Configuration tiene una configuración de un firewal Cisco ASA, el password esta cifrado pero como sabemos con otras herramientas libres se puede descifrar y la versión 7.0 (6) del firewall:
Los access list donde se describe las reglas de seguridad del firewall Cisco ASA, por ejemplo se observa que se tiene permitido el trafico hacia diferentes servidores al puerto 3389/TCP que es utilizado Remote Desktop Protocol RDP.
Adicionalmente en otros archivos están los passwords de algunas cuentas de un firewall Netscreen:
Por otro lado tenemos una lista de Hostnames de diferentes instituciones Bancarias para proceder a implantar y colectar datos, entendería los hostnames que han sido totalmente controlados remotamente:
Otro archivo más donde se puede observar la lista de servidores Saa del 08 de Mayo 2013:
Finalmente en otro archivo se puede observar la versión del SO, Service Pack para así tener un inventario y que exploit usar:
Finalmente, toda esta información nos hace pensar que las grandes naciones tienen ejércitos de Cyberseguridad independiente de sus objetivos sean buenos o malos. Gracias a Shadow Brokers podemos tener conocimiento de este conjunto de actividades y tomar las medidas necesarias para proteger la información que creemos es crítica.
