Los servidores pertenecientes a las compañías de soluciones VPN, NordVPN, TorGuard fueron pirateados, robando y filtrando las claves privadas asociadas a los certificados utilizados para proteger servidores web, archivos de configuración, etc.
El proveedor OpenVPN a través de twitter publicó un enlace de que un pirata informático afirmó tener acceso completo a los servidores de dichas compañías incluyendo VikingVPN.
NordVPN, bastante popular en el mercado, se vio comprometido ya que las claves privadas para el certificado de su sitio web se filtraron públicamente en Internet. Si bien este certificado ya caducó, si fue utilizado antes de su vencimiento, podría haber permitido a un ciberdelincuente crear un sitio convincente que suplante a NordVPN haciendo mal uso de este certificado e incluso ya de forma más avanzada también podrían haber utilizado esta clave para realizar ataques de intermediario (o más conocidos como MiTM, man-in-the-middle) con el fin de escuchar comunicaciones cifradas.
VikingVPN no ha respondido a ninguna de las declaraciones, por otro parte, tanto NordVPN como TorGuard han emitido comunicados oficiales respecto al tema.
Según una declaración emitida por NordVPN, el atacante pudo obtener acceso a sus servidores a través de una herramienta de gestión remota insegura implementada por su centro de datos.
NordVPN advierte que el atacante pudo obtener acceso a sus servidores a través de una herramienta de gestión remota insegura implementada por su centro de datos. Además, la compañía afirma que la clave TLS tomada por el atacante ya había expirado, negando que es imposible que el tráfico se haya descifrado en el momento del ataque.
En una declaración de TorGuard, el proveedor de VPN afirma que, al utilizar la característica "secure PKI management", ninguno de sus usuarios se ha visto afectado por esta violación y que las claves CA no han sido robadas, ya que estas no están presentes en el servidor comprometido. Según afirmaciones del proveedor, el certificado TLS robado para *.torguardvpnaccess.com es para un "certificado proxy de Squid que no ha sido válido en la red de TorGuard desde 2017".
Si bien, no entran en detalles sobre cómo fue pirateado el servidor, sí afirman que hubo "actividad sospechosa reiterada" en el distribuidor al que alquilaron el servidor y que por ello, ya no trabajan con ellos. TorGuard afirmó además que el servidor comprometido está relacionado con una demanda que presentaron contra NordVPN en 2019.
Estos ataques a los proveedores de VPN se produjo solo horas después de que NordVPN decidiera publicar un anuncio en Twitter señalando que "No hay pirata informático que pueda robar tu vida en línea (si usas VPN). Mantente a salvo", demostrando que nada es inquebrantable, la publicación fue retirada poco después de las RRSS.
REFERENCIA
COMENTARIOS