CyberSecurity Pulse 2017-04-4

Por ElevenPaths


		“If you set your goals ridiculously high and it’s a failure, you will fail above everyone else’s success.”
		James Cameron

Visión del analista

Nuevos episodios en el caso Vault 7

En estas últimas dos semanas se han hecho públicos nuevos detalles sobre Vault 7, nombre otorgado por Wikileaks a la colección de documentos presuntamente vinculados a la CIA en los que se detalla el malware y las herramientas de hacking que habría utilizado la organización para convertir teléfonos y televisores en dispositivos de espionaje entre otras utilidades. En este sentido, la empresa Cisco Systems ha confirmado que más de 300 modelos de switches contenían una vulnerabilidad crítica que permitía a la CIA usar un simple comando para ejecutar remotamente código malicioso y llegar a controlar completamente el dispositivo.

CyberSecurity Pulse 2017-04-4 Por otro lado, dentro de ese conjunto de ficheros filtrados también se encontraron manuales de usuario en los que se explicaba cómo explotar una vulnerabilidad sobre la interfaz Thunderbolt de Apple, descubierta por un investigador hace dos años, y que permitía a cualquiera que tuviera acceso físico al MacBook saltarse la contraseña del firmware e instalar una serie de implantes específicos para Apple creados por la CIA. De la misma manera, también se ha hecho público el framework denominado Marble utilizado por la CIA destinado a difuminar el rastro de los actores implicados y a que los investigadores y compañías especializadas en el análisis de amenazas se les dificultara la vinculación de los diferentes ataques con la CIA.

Wikileaks no ha hecho nada más que empezar. Según Julian Assange, la cabeza visible de la organización, ya se ha puesto en contacto con las empresas afectadas para que próximamente el resto conozca en qué consistían dichas vulnerabilidades y el resto de información que todaví queda por publicar.

» Más información en Wikileaks

Noticias destacadas

Herramientas de ciberseguridad que ayudarán a proteger las elecciones

CyberSecurity Pulse 2017-04-4 Jigsaw y Google, ambas divisiones de Alphabet, están lanzando una suite de herramientas de ciberseguridad llamadas «Protege tus elecciones». Esperan con ello proporcionar de forma gratuita seguridad a medios de información independientes, grupos de monitorización y auditoría de elecciones, activistas y organizaciones de derechos humanos que ayuden a que las elecciones se desarrollen sin problemas. La innovación en este caso no pasa por lo novedoso de las herramientas en sí mismas, sino por la manera en que estas compañías las hacen accesibles a las personas que más las necesitan. Las herramientas se encuentran empaquetadas con un público objetivo muy concreto con el objetivo de alcanzar a un colectivo que lo necesita y aprovechando también para ganar visibilidad.

» Más información en The Hacker News

Estados Unidos acusa a Corea del Norte del ciberatraco de Bangladesh

CyberSecurity Pulse 2017-04-4 Fiscales estadounidenses están reconstruyendo una serie de cargos con los que se podría llegar a acusar potencialmente a Corea del Norte de liderar el robo de 81 millones de dólares de la cuenta del Banco de Bangladesh en el Banco de la Reserva Federal de Nueva York el año pasado apoyados por lo que podría ser una serie de intermediarios chinos. Richard Ledgett, subdirector de la Agencia Nacional de Seguridad de Estados Unidos, sugirió públicamente el martes pasado que Corea del Norte podría estar vinculada al incidente, mientras que ciertas firmas privadas han señalado con el dedo al estado aislado. Los casos actuales que se están llevando a cabo no pueden incluir cargos contra funcionarios de Corea del Norte, pero no se descarta la posibilidad de que lleguen a implicar al país.

» Más información en Reuters

Noticias del resto de la semana

El impacto en la seguridad de la interceptación HTTPS

El CERT de los EEUU ha aprovechado el informe The Security Impact of HTTPS Interception para alertar de que la interceptación HTTPS debilita la seguridad TLS, lo que afecta a todos los sistemas. Muchos productos de inspección HTTPS no verifican correctamente la cadena del certificado del servidor antes de volver a cifrar y reenviar los datos del sistema cliente, permitiendo la posibilidad de un ataque MiTM.

» Más información en US-CERT

El troyano Dimnie infecta usuarios de GitHub

Un troyano conocido como Dimnie y que se dirigía principalmente a objetivos rusos, ha sido descubierto también afectando a propietarios de los repositorios Github. El correo electrónico de infección inicial habría sido enviado a una dirección que se utilizó únicamente para Github. Estos correos adjuntaban un documento de Microsoft Word que contenían una macro maliciosa y que utiliza comandos de PowerShell para descargar y ejecutar los payloads.

» Más información en Ars Technica UK

El grupo APT29 usaba la técnica domain fronting para evadir su detección

La empresa de seguridad FireEye continúa analizando al grupo APT29 (también conocido como The Dukes, Cozy Bear y Cozy Duke). En esta ocasión han revelado que este grupo ha estado usando una técnica llamada domain fronting para dificultar la atribución de sus ataques. Esta técnica oculta la comunicación realizada desde un endpoint remoto. Funciona en la capa de aplicación, utilizando HTTPS, para comunicarse con un host prohibido o bloqueado, mientras que parece comunicarse con algún otro host al que el censor sí que permite acceso.

» Más información en Security Affairs

Otras noticias