HACKEO A CORREOS DEL ESTADO MAYOR CONJUNTO DE CHILE: CÓMO SE PRODUJO Y CÓMO EVITAR NUEVAS VULNERACIONES
Expertos de Arkavia Networks recomiendan monitorear constantemente las vulnerabilidades de las instituciones, instalar los parches recomendados por los proveedores de servicios y actualizar periódicamente las reglas sobre seguridad y gestión de eventos.
Un grupo de hackers, denominado Guacamaya, expuso alrededor 10 Tera Bytes de correos electrónicos de organizaciones militares y policiales de diferentes países, entre ellos y según informes de diversos medios, 400 mil emails pertenecientes al Estado Mayor Conjunto de las Fuerza Armadas de Chile (EMCO), organismo de trabajo y asesoría permanente del Ministerio de Defensa de Chile.
“Filtramos sistemas militares y policiales de México, Perú, Salvador, Chile, Colombia y entregamos esto a quienes legítimamente hagan lo que puedan con estas informaciones”, declaró el grupo a través de un comunicado.
La operación se habría llevado a cabo explotando una vulnerabilidad activa denominada ProxyShell, que afecta a los servidores Exchange de Microsoft (en sus versiones 2013, 2016 y 2019) la cual permitiría, mediante un conjunto de vulnerabilidades de seguridad presentes en el servidor de correo, ejecutar un código remoto y falsificar las solicitudes de acceso por el lado del servidor.
“Esta vulnerabilidad era conocida desde el año 2021 y fue parchada por Microsoft en abril y mayo del mismo año. En la ocasión, además la empresa emitió un comunicado a las instituciones invitándolas a realizar un inventario de sus activos y ejecutar el parche de seguridad de las plataformas que pudieran verse afectadas por esta vulnerabilidad”, explica Oscar Bravo, ingeniero de seguridad de la empresa Arkavia Networks.
Explica que, de acuerdo a lo detectado en 2021, los hackers omitieron la necesidad de autenticación debido a un error de emisión de la funcionalidad de seguridad de Microsoft Exchange. De ese modo obtuvieron privilegios que les permitieron ejecutar comandos de manera remota con lo que pudieron generar una descarga masiva de las casillas de emails.
Situaciones como estas, atentan directamente al funcionamiento e integridad de instituciones públicas o gubernamentales al comprometer información muy delicada, pero pueden ser evitadas a futuro. “Los administradores de servidores y el área de seguridad de la información de las empresas deben estar constantemente monitoreando las nuevas vulnerabilidades que puede afectar a sus activos, instalando los parches recomendados por los proveedores, creando y actualizando las reglas en la información sobre seguridad y gestión de eventos (SIEM), generando monitoreo activo (WAF, FIREWALL, IPS, IDS, etc.), además de actualizar las firmas en relación con la detección de amenazas”, explica Juan González Fuentes, líder de Seguridad Ofensiva de Arkavia Networks.
El especialista agrega que el monitoreo permanente de la actividad de red de servicios públicos y otros, además de la detección temprana de anomalías, como altos caudales de tráfico o transferencias fuera de lo habitual, puede ayudar a detectar y luego detener estos ataques antes que el daño sea mayor.