Robo De Datos De #SEDENA (Secretaría De La Defensa Nacional En México) No Fue El Primero
El grupo Guacamaya, del que en días previos se reveló que había robado 6 TB de archivos a la Secretaría de Defensa Nacional (SEDENA) luego de realizar un ataque cibernético, ha dado a conocer algunos detalles adicionales sobre el hackeo. Previamente el grupo ya se había hecho responsable de divulgar 10T de datos de diferentes países de Latinoamérica.
Lo primero que el grupo señala en su blog y en DDoSecrets, es que algunos de los documentos de la SEDENA se encuentran disponibles públicamente, pero también apuntan a que no son los únicos atacantes que ingresaron a los servidores de la Secretaría, puesto que encontraron evidencias de que alguien más tenía acceso desde principios de julio.
Tal y cómo detalla Xataka en otra publicación, antes Guacamaya utilizó la vulnerabilidad ProxyShell en Microsfot Exchange, lo que permitió ejecutar código en un servidor de forma remota para acceder a varias documentaciones, pero en el caso específico de la SEDENA, se aprovechó una de antigua vulnerabilidadde Zimbra, un software para correos electrónicos y de colaboración utilizado principalmente para leer y escribir mensajes, sincronizar contactos, así como calendarios y documentos.
Este programa tenía dos vulnerabilidades descubiertas en 2022 (CVE-2022-27925 y CVE-2022-37042), mismas que afectaban únicamente a la versión de pago del servicio, que permitían a un atacante ingresar por el puerto de administrador por defecto, obtener sus privilegios y escribir archivos en el servidor, permitiendo ejecutar comandos en sistemas sin parches.
El grupo menciona que explotando esta vulnerabilidad, y luego de subir una webshell, pudieron descargar todos los correos en el directorio deseado. Incluso señalan que "en el servidor de la SEDENA había otros scripts malintencionados, algunos con fecha del 5 de julio", además de que encontraron evidencia de que otros atacantes también estuvieron descargando la documentación.
Por último, Guacamaya detalla que su intención es que más personas tuvieran acceso a la información, pero su difusión representa un riesgo para mucha gente si llega a manos equivocadas.
No obstante, el grupo está otorgando esta información sin cobrar por ella, siempre y cuando se les solicite directamente, pero antes se debe identificar plenamente a la persona que desea la documentación, explicar sus propósitos con los datos, además de dar detalles sobre cómo se difundiría, si esa es la intención.
Fuente: XATAKA
Via: blog.segu-info.com.ar