MONITORIZACIÓN ACTIVA #OPS INTERNET€¦ · “Internet Oculta” a la cual no es posible acceder...
Transcript of MONITORIZACIÓN ACTIVA #OPS INTERNET€¦ · “Internet Oculta” a la cual no es posible acceder...
Informe Inteligencia Digital
Marzo2013
MONITORIZACIÓNACTIVA#OPSINTERNET
2
Índice
Contenido
Introducción ............................................................................. Error! Bookmark not defined.
Antecedentes .......................................................................................................................... 3
OPDESAHUCIOS (ANONYMOUS VENDETTA) .......................................................................... 5
AYUNTAMIENTO DE LEDRADA ............................................................................................ 5
INMOBILIARIA DE LA ROSA ................................................................................................. 8
PARTIDO POPULAR DE SAN JUAN (SEVILLA) ..................................................................... 10
PARTIDO POPULAR DE NOBLEJAS (TOLEDO) .................................................................... 12
OTROS ATAQUES............................................................................................................... 13
UGT BANKIA .................................................................................................................. 13
IZQUIERDA UNIDA ÁLORA (Andalucía) ........................................................................ 15
OPERACIÓN GAMEZ MORON ............................................................................................... 16
Conclusiones del informe Marzo 2013 ................................................................................. 20
3
AntecedentesDurante los últimos años se ha hecho eco en los medios de comunicación como
blogs, Twitter, prensa, e incluso en televisión, de un grupo de hacktivistas llamado Anonymous. Se conocen como un grupo de Hackers y/o activistas en la red orientados a inutilizar servidores Web impidiendo el acceso al resto del público durante varias horas o días a modo de protesta civil. Según proclama Anonymous en su manifiesto, este grupo carece de una cúpula de mando, de tal forma que cualquier persona del mundo puede liderar una acción hacktivista contra un determinado objetivo político, social o empresarial, denominado “operación”, y serán los internautas de todo el mundo los que, de forma completamente voluntaria, apoyen la causa y se unan en un ataque a gran escala contra un determinado servicio en la red, y en este punto es donde reside la fuerza, y a su vez el peligro, de Anonymous.
Se atribuye el nacimiento de Anonymous en la denominada “Deep Web” o
“Internet Oculta” a la cual no es posible acceder mediante las conexiones y navegadores convencionales. Esta “Internet Oculta” proporciona un nivel de anonimato elevado, la cual realiza las conexiones mediante nodos de red cifrados repartidos por todo el mundo e intercambiados cada pocos minutos para hacer prácticamente imposible el rastreo de una comunicación. De esta forma son capaces de crear redes de comunicación como IRCs o foros ocultos e invisibles en la red normal para establecer las bases y la organización de una determinada “operación”.
Aunque en ocasiones se ha tildado a Anonymous como un grupo desorganizado,
existe una metodología a seguir para generar una operación sobre una institución o empresa (objetivo), de este modo se estructura cada una de las operaciones por separado y se garantiza que los internautas que quieran colaborar con una determinada causa puedan hacerlo sin interferir en otras. Por lo general, los pasos a seguir para crear e intervenir sobre una operación son:
Publicación de forma anónima (normalmente utilizando páginas como “anonpaste.com”) de un documento explicativo en el cual se muestre el motivo de la operación. En este documento se expondrán los medios mediante los cuales poder seguir la operación (twitter, facebook, IRC, etc.) y agregarse como afiliado a la misma. En ocasiones también pueden agregarse objetivos a atacar desde ese mismo documento.
Si el objetivo a atacar no ha sido definido se establece una comunicación en los medios dados para determinar los objetivos y las metodologías de ataque a seguir. En este punto pueden intervenir varios grupos de hacktivistas no afiliados a Anonymous los cuales podrán realizar ataques de forma independiente, de este modo un mismo objetivo puede sufrir varios tipos de ataques como “Deface” (Modificación de la página de inicio de un servidor Web la cual se sustituye por una página reivindicativa), “Digging” (extracción de datos y su posterior publicación en medios públicos), “DdoS” (Distributed Denial of Service, inundar el servidor con miles de peticiones inutilizando el servicio temporalmente), etc.
4
Para la realización de ataques orientados a DDoS se establece una metodología y una herramienta especifica a utilizar. Por defecto, como ha ocurrido durante los últimos años, se suele utilizar una herramienta automatizada de ataque llamada “L.O.I.C” (Low Orbit Ion Canon), la cual ofrece al internauta que desee colaborar con una determinada operación una forma sencilla y sin necesidad de conocimientos informáticos de hacerlo. Simplemente deberá seguir los pasos de descarga e instalación y especificar en la herramienta un servidor y un canal de IRC desde el cual, el operador del canal, dará comienzo a la operación mediante la colaboración de todos estos equipos conectados al mismo.
En este documento se exponen las principales operaciones de Anonymous, y el
seguimiento de las mismas, ocurridas en el ámbito Español durante el mes de Marzo de 2013, se mencionan aquellas que han representado una amenaza para empresas o instituciones
5
OPDESAHUCIOS(ANONYMOUSVENDETTA)
Lejos de ir a menos, la operación “OpDesahucios” ha aumentado considerablemente las actuaciones y las metodologías de actuación durante el mes de Marzo de 2013. Durante este mes se ha producido una nueva oleada de ataques contra instituciones públicas y partidos políticos modificando por completo la página principal de la Web (Deface) y llegando a inutilizar durante varias horas (DDoS) algunos de estos sitios relacionados con la ideología de la operación.
Esta nueva oleada de ataques atiende a nuevos grupos de Hackers afiliados a la
causa de Anonymous. La metodología de ataque consiste, en esta ocasión, en realizar ataques de diversos tipos contra cualquier página o servicio relacionado con determinado partido político (Partido Popular, PSOE, etc), empresa (normalmente inmobiliarias), o instituciones públicas sin ser anunciado previamente y los cuales mantengan una relación con la causa de la operación. Una vez se consigue vulnerar un servidor o denegar el servicio mediante alguna técnica de Hacking, es reportado a la comunidad y expuesto en varios medios de comunicación y redes sociales como Twitter, Facebook o Pastebin. De esta forma, el peligro de ser víctima de un ataque incrementa notablemente al carecer de una lista de objetivos predefinidos por la comunidad.
Prueba de la efectividad del grupo Anonymous y las nuevas tendencias de ataque
son las siguientes entradas en las que se muestran los ataques más significativos contra instituciones y partidos políticos ocurridos durante el mes de Marzo.
AYUNTAMIENTODELEDRADA
Una de las primeras páginas Web en ser afectadas por esta iniciativa es la referente al ayuntamiento de Ledrada. En la prensa se publicaba hace unos años la noticia sobre la deuda municipal del Ayuntamiento del cual se presentaba como alcalde “Carlos Parra”, afiliado del Partido Popular.
El día 7 de Marzo se observa movimiento en la red social Twitter donde se publica
un Twitt mediante la cuenta de @AnonymousUVE en la que se observa la reclamación de los hechos del “Deface” realizado en la página Web del ayuntamiento de Ledrada.
6
Figura 1. Twitter de miembro de Anonymous reivindicando el ataque
En el mensaje se puede observar cómo se informa al grupo #OPdesahucios añadiendo el “Hashtag” (Grupo o conversación de Twitter) de la operación en el cuerpo del mensaje, mediante el cual invita a los internautas y afiliados a la operación a que visiten la página para observar el “Deface” realizado. Se puede acceder mediante la dirección aytoledrada.com
7
En la página modificada se puede observar un mensaje reivindicativo de la operación en la cual se muestra el vídeo de la operación “OPdesahucios” y el siguiente manifiesto:
HACKED Anonymous somos todos y ninguno
Estamos aquí y en todas partes
Seguridad Franqueada, no habrá descanso!! ANONYMOUS OPDESAHUCIOS 2013 EL DESPERTAR DE LAS CONCIENCIAS
“Desde las calles y las redes, vamos a demostraros que vuestro juego se ha terminado, desde Anonymous os enseñaremos, que no se pueden violar los derechos de un pueblo, y esperar la paz. Felicidades. Ahora tendréis un enemigo con un millón de
caras”
ANONYMOUS VENDETTA #STOPDESAHUCIOS #OPDESAHUCIOS
Además de la acción de “Deface” también se observan constantes caídas del
servicio Web, causadas por un ataque de denegación de servicio (DoS), haciendo imposible la correcta visualización del contenido de la Web. Estos ataques pueden atender a diferentes grupos de Hackers o al mismo usuario/grupo que realizó el “Deface”, multiplicando así el daño realizado al servidor objetivo del ataque.
A día 2 de Abril de 2013, casi un mes más tarde del ataque, el servidor del Ayuntamiento de Ledrada sigue sin funcionamiento debido a la restauración del servicio por parte de los técnicos del ayuntamiento, se entiende que alguno de los ataques recibidos eliminó por completo la estructura interna del servidor Web dejándolo inutilizable y obligando a rehacer la página Web de nuevo si no se dispone de un Backup de la misma.
8
INMOBILIARIADELAROSA
Al día siguiente de los acontecimientos ocurridos en la Web del Ayuntamiento de Ledrada se observa movimiento en las redes sociales que indican un nuevo ataque contra la página Web de una inmobiliaria de Valencia (Inmobiliaria de la Rosa). El mensaje se encuentra en la red social ‘Facebook’ tras seguir un Twitter del miembro de Anonymous que reivindicaba los ataques del día anterior a la Web del Ayuntamiento de Ledrada. En el mensaje se puede leer el siguiente texto, firmado por el mismo grupo de Hacktivistas del ataque anterior (Anonymous Vendetta):
#STOPdesahucios #OPdesahucios #STOPsuicidios Hacked‐Defaced Ayer le toco a la página del Ayuntamiento de Ledrada Salamanca http://www.aytoledrada.com Hoy culpamos también a los grupos inmobiliarios por especuladores, en este caso es de la comunidad Valenciana http://inmobiliariadelarosa.com/ Anonymous Vendetta
Visitando la página Web de la inmobiliaria citada se encuentra el mismo logo utilizado en
el ataque anterior, por lo que se confirma que se trata del mismo grupo de Hacktivistas que realizaron el ataque a la página del Ayuntamiento de Ledrada; Anonymous Vendetta. En la página también se encuentra el logo de Anonymous en la parte inferior y un vídeo de OpDesahucios enlazado a Youtube.
9
Adicionalmente al “Deface” de la página Web también se observa, como en el
ataque anterior, una extrema lentitud en el servicio Web y constantes caídas del mismo, síntoma de un ataque de denegación de servicio (DoS) o denegación de servicio distribuido (DDoS).
10
PARTIDOPOPULARDESANJUAN(SEVILLA)
Días más tarde de los anteriores se observa de nuevo movimiento en la red social Twitter en la que se muestra un mensaje reivindicando un nuevo “Deface” contra la página del Partido Popular de San Juan de Aznalfarache (Sevilla). En el texto se muestra el mensaje: “Hacked Defaced Partido Popular San Juan de Aznalfarache, Sevilla ppsanjuan.com”
De la misma manera que el ataque anterior, este es difundido anunciando los
canales de #STOPdesahucios y #OPdesahucios para una mayor redifusión del ataque y asociando la actuación a la operación de Anonymous. Visitando la página Web objetivo del ataque se encuentra un mensaje idéntico al anterior, por lo que se identifica con un ataque perteneciente al mismo grupo de Hackers, “Anonymous Vendetta”
11
Repitiendo los sucesos de los ataques anteriores, el servidor Web del Partido Popular de
San Juan también se encuentra inaccesible durante varios momentos prolongados del día, lo cual hace ver que está siendo sometido a algún tipo de ataque de DDoS. Esto establece un “Modus operandi” del grupo de Hacktivistas “Anonymous Vendetta” siguiendo las pautas de; Realizar un “Deface” de la página y posteriormente realizar un ataque de “Dos” o “DDoS” contra el servidor, dejando el servicio completamente inutilizable.
12
PARTIDOPOPULARDENOBLEJAS(TOLEDO)
No tarda en aparecer una nueva entrada del grupo Anonymous Vendetta asociando un nuevo ataque, en esta ocasión a la página Web del Partido Popular de Noblejas. El mensaje es publicado mediante un Tweet en la cuenta del grupo Hacktivista. El mensaje: Continua Hackeada desde ayer la página del Partido Popular de Noblejas, Toledo ppnoblejas.com
El enlace a la página Web del partido popular muestra una nueva pantalla de
“Deface” aunque el texto y el vídeo sigue siendo el mismo que el utilizado en ataques anteriores. El ataque sigue siendo reivindicado por el grupo de Hacktivistas “Anonymous Vendetta”
Siguiendo el “modus operandi” de las operaciones anteriores, el servicio Web se ve afectada por un ataque de denegación de servicio, pero en esta ocasión el ataque es más potente al permanecer caído durante más ocasiones y durante periodos más largos. Este nuevo nivel de ataque de DoS puede hacer pensar que los hacktivistas miembros del grupo de Anonymous Vendetta están mejorando sus técnicas con respecto a este tipo de ataques.
13
OTROSATAQUES
Varios ataques más se sucedieron durante el trascurso del mes de Febrero de 2013 causando la anulación completa del servicio ocasionadas por el mismo tipo de ataques que los expuestos en los puntos anteriores. Los servicios Web afectados con más relevancia son:
UGTBANKIA Avistado a las 2 horas del acontecimiento en la red social Twitter. Se mostraba el
siguiente mensaje del grupo Anonymous Vendetta en el cual se informa del “Deface” al servicio Web del sindicato UGT de Bankia. En el mensaje podía leerse el siguiente texto:
@AnonSpain #StopDesahucios #OpDesahucios ¿Dónde están los sindicatos? O es que están a favor de Bankia. Hacked. Ugtbankia.net
Nuevamente se alza el grupo de hacktivistas “Anonymous Vendetta” o “Anonymous V” como responsable de la acción e informa al resto de grupos asociados a la operación para que la noticia sea difundida por el canal.
14
Visitando la Web del sindicato de UGT de Bankia nos encontramos nuevamente
con el mensaje reivindicativo del grupo y la página de “Deface” utilizada en las últimas actuaciones.
15
IZQUIERDAUNIDAÁLORA(Andalucía)
Un nuevo ataque se produce contra el partido político Izquieda Únida atentando contra el servidor que hospeda la página Web del partido en Álora (Andalucia). En esta ocasión la página Web que se aloja en el servidor cambia el estilo pero mantiene los mismos mensajes y vídeo de Youtube en relación con la operación “OpDesahucios”. El grupo que reclama la autoría de los hechos continua siendo “Anonymous Vendetta”.
16
OPERACIÓNGAMEZMORONSe detecta en las redes sociales el lanzamiento de una operación denominada
“OpGámezMorón” en la que se especifica como objetivo uno de los centros
dependientes de la Consejería de Bienestar Social y Sanidad de Melilla debido a una serie de malas acciones ocurridas en el centro de discapacitados “Fco. Gámez Morón”. Puede visitarse la página de la reivindicación en:
http://www.anonpaste.me/anonpaste2/index.php?e41672d77f097863#bmGAASHjqSgVJSrupUDSnwfjE3Gn2QkXZVf2csFBM8w
También se crea un canal en Facebook en el cual se irán mostrando los
procedimientos a seguir para colaborar en el ataque al centro. También se enseñará a los internautas como colaborar con la operación y el uso de herramientas que se utilizarán para realizar el ataque. El mensaje que se muestra es el siguiente:
Anonymous España presenta #OpGámezMorón Saludos mundo, somos Anonymous. Esta vez hemos sido testigos de unos hechos que lamentablemente llevan prolongándose demasiado tiempo en el Centro De Atención a Discapacitados Fco. Gámez Morón de Melilla, centro dependiente de la Consejería De Bienestar Social y Sanidad de Melilla cuya máxima responsable es la Consejera de Bienestar Social María Antonia Garbín y gestionado por la empresa Eulen Servicios Sociosanitarios. Sucesos que llevan produciéndose durante mucho ...tiempo y por los que nadie toma responsabilidades. Agresiones, abusos sexuales, violaciones, falta de atención a usuarios, irregularidades en la contratación de personal (familiares o personas afines al gobierno de la ciudad), ocultación y manipulación de información por parte
17
de la empresa, amenazas a quien exponga datos de los hechos, etc... Tales hechos son imperdonables y pedimos se esclarezcan de inmediato. Basta de ocultar los sucesos, basta de hacer caso omiso a denuncias interpuestas por familiares de usuarios, basta de eludir responsabilidades, basta de cebarse siempre con los más desprotegidos, basta de maltratos, humillaciones y vejaciones. Desde aquí condenamos tales actos de violencia, condenamos a los responsables y a quienes intentan ocultar la verdad. Señores de la dirección del centro, Señora consejera de Bienestar social y Sanidad, Señor Presidente del gobierno de Melilla, Estamos viendo todo lo que están haciendo y no nos gusta. Somos Anonymous Somos Legión No Olvidamos No Perdonamos Esperadnos. Información: http://www.anonpaste.me/anonpaste2/index.php?e41672d77f097863#bmGAASHjqSgVJSrupUDSnwfjE3Gn2QkXZVf2csFBM8w= Vídeo: http://www.youtube.com/watch?v=mMjybN8Q7Ew ENGLISH: http://www.anonpaste.me/anonpaste2/index.php?b39c821ed106d6f1#HKHVeDEGPxB7o4hGIw+OwG+6qyU/7MYetUtVM2WCqD0=
El canal muestra mensajes aclaratorios de la operación y un comunicado que enlaza a la página citada anteriormente y un vídeo de respaldo en el cual se dará un mensaje explicando los casos más relevantes ocurridos motivo de la operación. Como se puede observar en la siguiente imagen, el número de visitas del video ha superado los 1.500 visitantes, por lo que la operación puede haber ganado muchos afiliados a la causa, lo que provocaría un gran ataque con su correspondiente peligro. Enlace del vídeo: http://www.youtube.com/watch?v=mMjybN8Q7Ew
18
En el canal comienzan a mostrarse vídeos de la utilización de las herramientas y el enlace de descarga de la misma. La herramienta utilizada para el ataque es HOIC (High Orbit Ion Canon), la cual permite realizar ataques de DOS (Deny Of Service) o Denegación de Servicio a los objetivos establecidos.
Y posteriormente se definen los horarios del ataque para los diferentes países
mediante posts en los medios tanto de Facebook como en Twitter.
19
El último paso de esta operación tendría lugar en el momento en que se
establezcan los objetivos a atacar, el cual tendría lugar a las 23:00 horas del 19 de Marzo de 2013. El día indicado se sucedieron varias pequeñas paradas del servicio y un constante deterioro de la conexión activa del servidor, pero en ningún momento se volvió inestable por completo.
20
ConclusionesdelinformeMarzo2013
Durante el mes de Marzo se ha observado el establecimiento de un “modus operandi” del grupo Hacktivista ‘Anonymous Vendetta’ el cual ha sido participe de la mayoría de los ataques a instituciones públicas y gubernamentales del mes. Esta metodología de actuación sigue unas pautas especificas que consisten en la realización de un “Deface” del servicio Web seguido de un ataque de Denegación de Servicio (Dos / DDoS) multiplicando la probabilidad de éxito del ataque. De esta forma se intenta deteriorar el servicio en la medida de lo posible y en la mayoría de las ocasiones, inutilizarlo por completo.
21
AcercadeArborNetworks
Arbor Networks, Inc. es un proveedor líder de seguridad de red y soluciones de gestión
para la próxima generación de centros de datos y redes de transporte, incluyendo la gran mayoría de los proveedores mundiales de servicios de Internet y muchas de las redes empresariales más grandes en el uso hoy. Las reconocidas soluciones de seguridad de red y gestión ayudan a crecer y proteger las redes de los clientes, negocios y marcas. A través de sus relaciones privilegiadas con proveedores de servicios en todo el mundo y los operadores de redes globales, Arbor ofrece una inigualable visión y perspectiva sobre la seguridad en Internet y las tendencias del tráfico a través de Active Therat Level Analysis System (ATLAS). Lo que representa un esfuerzo de colaboración único con 100 operadores de red + en todo el mundo. ATLAS permite el intercambio de seguridad en tiempo real, tráfico y la información de enrutamiento necesaria para numerosas decisiones de negocios.
Para una visión técnica sobre las amenazas de seguridad más recientes y las tendencias
de tráfico de Internet, por favor visite nuestro sitio web www.arbornetworks.com y nuestro blog: www.asert.arbor.net