Los hackers rusos están usando la propia infraestructura de Google para hackear Gmail


Los investigadores de seguridad han expuesto una sofisticada campaña de hacking y desinformación dirigida a más de 200 usuarios de Gmail.

Los hackers del gobierno ruso parecen haber descubierto que a veces la mejor manera de hackear las cuentas de Gmail de las personas es abusar de los propios servicios de Google.

El jueves, los investigadores expusieron una campaña masiva de espionaje y desinformación en Rusia usando correos electrónicos diseñados para engañar a los usuarios para que abandonaran sus contraseñas, una técnica que se conoce como phishing. Según un nuevo informe, los hackers atacaron a más de 200 víctimas, entre ellas periodistas y activistas críticos del gobierno ruso, así como a personas afiliadas al ejército ucraniano ya altos funcionarios de compañías energéticas de todo el mundo.

Los investigadores del Citizen Lab, un grupo de investigación de derechos digitales de la Escuela Munk de Asuntos Globales de la Universidad de Toronto, pudieron identificar a todas estas víctimas tras las pistas que dejaron en dos correos electrónicos de phishing enviados a David Satter, Rusia moderna, y que ha sido prohibido del país en 2014.

El 7 de octubre, Satter recibió un correo electrónico de phishing diseñado para parecer que venía de Google, alegando que alguien había robado su contraseña y que debería cambiarla de inmediato.

Al igual que con otros ataques de phishing dirigidos a personas afiliadas a la campaña de Hillary Clinton que condujo a las filtraciones de DNC del año pasado, el correo electrónico, sin embargo, no provenía de Google. Fue en realidad de un grupo de hackers conocido como Fancy Bear, o APT28, que muchos creen que trabajan para la inteligencia militar de Rusia, el GRU.

Gmail

El botón “Cambiar contraseña” vinculado a una URL corta del servicio de acortador de vínculos de Tiny.cc, un competidor de Bitly. Pero los hackers inteligentemente lo disfrazaron como un enlace legítimo usando las Páginas Móviles Aceleradas de Google, o AMP. Se trata de un servicio alojado por el gigante de Internet que fue diseñado originalmente para acelerar las páginas web en móviles, especialmente para los editores. En la práctica, funciona creando una copia de la página de un sitio web en los servidores de Google, pero también actúa como una redirección abierta.

Según los investigadores de Citizen Lab, los hackers utilizaron Google AMP para engañar a los objetivos y pensar que el correo electrónico provenía realmente de Google.

Así que si la víctima se había movido rápidamente sobre el botón para inspeccionar el enlace, habrían visto una URL que comienza con google.com/amp, que parece segura, y está seguida por una URL de Tiny.cc, que el usuario podría no a ver notado (Por ejemplo: https://www.google[.]com/amp/tiny.cc/63q6iy)

El uso del servicio de redireccionamiento propio de Google también fue quizás también una manera de obtener el correo electrónico de phishing más allá de los filtros automatizados de Gmail contra el correo no deseado y los mensajes maliciosos.

“Es un juego de porcentaje, es posible que no consigas que cada persona caiga en el phishing, pero obtendrás un porcentaje”.

Según Citizen Lab, que no apunta directamente al dedo en Fancy Bear, el correo electrónico fue enviado por annaablony[@]mail.com. Esta dirección fue utilizada en 2015 por Fancy Bear para registrar un dominio, según la firma de seguridad ThreatConnect. Y otro dominio utilizado en los ataques de octubre expuestos por Citizen Lab también fue vinculado previamente a Fancy Bear, según SecureWorks, que rastreó la campaña de phishing contra el DNC y la campaña de Clinton.

Curiosamente, la dirección de correo electrónico Satter llegó unos días antes de que Google advirtiera a algunos periodistas y activistas rusos que los “atacantes respaldados por el gobierno” estaban tratando de hackearlos usando enlaces maliciosos de Tiny.cc.

Ahora sabemos que en octubre de 2016, cuando los hackers apuntaron a Satter y al menos a otras 200 personas, el truco de usar Google AMP funcionaba y Google no lo había bloqueado. Google ha rechazado las preocupaciones acerca de los redireccionadores abiertos, argumentando que “un pequeño número de redireccionadores debidamente supervisados ​​ofrece beneficios bastante claros y plantea muy poco riesgo práctico”.

El jueves, un portavoz de la compañía dijo que se trata de un problema conocido y el año pasado algunas URL de Google AMP comenzaron a mostrar una advertencia si los sistemas de la empresa no están seguros si el enlace es seguro para visitar, como este.

Pero para algunos investigadores de seguridad, son peligrosos.

“El comportamiento del servicio AMP como una redirección abierta para los navegadores de escritorio fue claramente abusado en esta situación y también es trivial al abuso en general”, dijo Nicholas Weaver, investigador senior del Instituto Internacional de Ciencias de la Computación de la UC Berkeley, en un correo electrónico . “Hay indudablemente alguna compensación de la ingeniería que no estoy viendo que hace que la mantengan.”

Los redireccionadores de Google podrían no ser la única parte de la infraestructura de Google que los hackers de Fancy Bear han aprovechado. Investigadores de Citizen Lab encontraron una URL de Tiny.cc dirigida a una dirección de correo electrónico-myprimaryreger [@]gmail.com-que otros investigadores de seguridad sospechan que Fancy Bear usó para probar sus propios ataques.

Malicioso Mensaje

Esa dirección tenía una página de Google Plus llena de imágenes que aparecen en alertas de seguridad reales y legítimas de Gmail. No está claro para qué sirvieron los hackers, o si los usaron en absoluto. Pero los investigadores dijeron que quizás los hackers los estaban incrustando en los correos electrónicos de phishing, y el hecho de que estuvieran alojados en Google Plus quizás ayudó a frustrar los controles de seguridad de Gmail.

Los hackers de Fancy Bear son conocidos por usar servicios populares como reductores de URL en sus operaciones de hacking de alto perfil. Y, a veces, los reductores de URL los traicionan y terminan revelando a quién dirigieron.

Entre marzo de 2015 y mayo de 2016, como parte de su operación para cortar el presidente de la campaña de Clinton, John Podesta, y el ex asesor de Seguridad Nacional Colin Powell, los hackers apuntaron a más de 6.000 personas con más de 19.000 enlaces de phishing. Algunos de los que utilizaron URL de Bitly que, como resultó, podrían ser decodificados para averiguar a quién estaban destinados.

Mensaje Malicioso

De manera similar, en este caso, los investigadores de Citizen Lab fueron capaces de identificar a las víctimas al descubrir que había un patrón de cómo Tiny.cc crea URL cortas. Ese patrón, como me explicó el investigador Adam Hulcoop, “fue cronológico”. Así, a partir de los enlaces enviados a Satter, los investigadores pudieron adivinar otros enlaces creados alrededor del mismo tiempo.

Es imposible saber por qué los hackers siguen dependiendo de servicios como Bitly o Tiny.cc, que terminan exponiendo algunas de sus operaciones, aunque meses después. Una explicación podría ser que sus campañas de phishing son altamente automatizadas, ya que se dirigen a miles de personas. Por lo tanto, como dice Hulcoop, necesitan una infraestructura modular de phishing donde cada elemento puede ser modificado si es necesario, como “una póliza de seguro de tipo” y utilizan servicios de terceros “para tratar de equilibrar la necesidad de OpSec [seguridad operacional, o La práctica de mantener las operaciones secretas] con la capacidad de operar a escala “.

“La construcción de los shortcodes de Tiny.cc apuntando a los shortcodes de TinyURL, que apuntan en última instancia a sitios de phishing en diferentes servidores. Es probable que esta modularidad sea de diseño para que el operador pueda cambiar los componentes individuales, servidores, redireccionadores, etc. Abandonar las piezas que se queman “, dijo en un chat en línea. “Cuantas más capas tenga, más flexible podrá ser”.

Vía | motherboard

log in

reset password

Back to
log in