¿Firmas francesas sacudidas por Kasbah Hacker? – Krebs sobre seguridad


KrebsOnSecurity ha descubierto que un gran número de empresas francesas de infraestructura crítica fueron pirateadas como parte de una campaña extendida de malware que parece haber sido orquestada por al menos un atacante con sede en Marruecos. Un individuo que se cree involucrado ha obtenido elogios de personas como manzana, Delly Microsoft por ayudar a encontrar y corregir vulnerabilidades de seguridad en sus productos.

En 2018, firma de inteligencia de seguridad HYAS descubrió una purple de malware que se comunica con sistemas dentro de una compañía eléctrica nacional francesa. El malware se identificó como una versión del troyano de acceso remoto (RAT) conocido como njRAT, que se ha utilizado contra millones de objetivos a nivel mundial con un enfoque en las víctimas en el Medio Oriente.

Investigaciones posteriores revelaron que el proveedor de electricidad period solo una de las muchas firmas francesas de infraestructura crítica que tenían sistemas que se dirigían al centro de regulate de la pink de malware.

Otras víctimas incluyeron uno de los sistemas hospitalarios más grandes de Francia un fabricante de automóviles francés un importante banco francés empresas que trabajan o gestionan redes para sistemas postales y de transporte franceses una empresa nacional que opera varios aeropuertos en Francia una empresa ferroviaria de propiedad estatal y múltiples instalaciones de investigación nuclear.

HYAS dijo que notificó rápidamente al equipo nacional francés de emergencias informáticas y al FBI sobre sus hallazgos, que señalaron un sistema de nombre de dominio dinámico (DNS) en el que los proveedores de esta campaña de ataque confiaron para sus diversos servidores de malware.

Cuando no tuvo noticias de las autoridades francesas después de casi una semana, HYAS le pidió al proveedor de DNS dinámico que «sumidero«Los servidores de handle de la crimson de malware. Sinkholing es una práctica mediante la cual los investigadores asumen el handle sobre los dominios de una crimson de malware, redirigiendo cualquier tráfico que fluya a esos sistemas a un servidor que controlen los investigadores.

Si bien el hundimiento no limpia los sistemas infectados, puede evitar que los atacantes continúen recolectando datos de las Computer system infectadas o enviándoles nuevos comandos y actualizaciones de malware. HYAS descubrió que, a pesar de sus notificaciones a las autoridades francesas, algunos de los sistemas aparentemente infectados todavía intentaban ponerse en contacto con las redes de command hasta finales de 2019.

«Debido a nuestra visibilidad remota, es imposible para nosotros determinar si las infecciones de malware se han contenido dentro de las organizaciones (afectadas)», escribió HYAS en un informe que resume sus hallazgos. «Es posible que una computadora infectada esté emitiendo balizas, pero no puede salir del comando y el regulate debido a restricciones de firewall salientes».

La única vertical de infraestructura crítica francesa que los hackers de Kasbah no tocaron fue el sector de gestión del agua.

HYAS dijo que dadas las entidades comprometidas, y que solo un puñado de compromisos conocidos ocurrieron fuera de Francia, existe una gran posibilidad de que esto sea el resultado de una campaña de phishing orquestada dirigida a empresas de infraestructura francesas. También concluyó que los dominios asociados con esta campaña probablemente estaban controlados por un grupo de adversarios con sede en Marruecos.

«Lo que llamó nuestra atención fue la naturaleza de las víctimas y el hecho de que no se observaron otros compromisos fuera de Francia», dijo Sasha Angus, vicepresidenta de inteligencia de HYAS. “Con la excepción de la gestión del agua, al observar a las organizaciones involucradas, cada una de ellas se ubicaba dentro de una de las verticales en el approach estratégico de infraestructura crítica de Francia. Si bien no podríamos descartar el delito financiero como el motivo potencial del actor, no parecía que el actor aprovechara las herramientas normales de delito financiero «.

&#39Error Fatal

HYAS dijo que el proveedor de DNS dinámico compartió información que muestra que una de las direcciones de correo electrónico utilizadas para registrar un servidor DNS clave para la purple de malware estaba vinculada a un dominio para un negocio legítimo con sede en Marruecos.

Según los registros históricos mantenidos por Domaintools.com (un anunciante en este sitio), esa dirección de correo electrónico: ing.equipepro@gmail.com – se utilizó en 2016 para registrar el sitio website talainine.com, un negocio ya desaparecido que ofrecía excursiones de campamento recreativas basadas en vehículos a las afueras de una ciudad en el sur de Marruecos llamado Guelmim.

Copias archivadas de talainine.com indicar que la empresa fue administrada por dos personas, incluida una persona nombrada Yassine Algangaf. Una búsqueda en Google de ese nombre revela que una persona con un nombre similar ha sido acreditada por varias compañías de software program importantes, incluidas manzana, Dell y Microsoft – con informes de vulnerabilidades de seguridad en sus productos.

Una búsqueda de este nombre en Fb apareció una página para otro negocio ya desaparecido llamado Yamosoft.com que enumera a Algangaf como propietario. Una copia en caché de Yamosoft.com en archive.org dice que period un servicio marroquí de seguridad informática especializado en auditorías de seguridad, investigaciones de piratería informática, pruebas de penetración y revisión del código fuente.

Una búsqueda en la dirección ing.equipepro@gmail.com en 4iq.com – un servicio que indexa detalles de la cuenta como nombres de usuario y contraseñas expuestos en violaciones de datos del sitio world wide web – muestra que esta dirección de correo electrónico se utilizó para registrar una cuenta en el foro de piratería informática agrietado (.) a para un usuario llamado «deadly.001. «

Un perfil de LinkedIn para Yassine Algangaf dice que es un probador de penetración de la provincia de Guelmim de Marruecos. Todavía otro perfil de LinkedIn bajo el mismo nombre y ubicación dice que es un programador independiente y probador de penetración. Ambos perfiles incluyen la frase “investigador de mecanismos de prevención de ataques, herramientas de seguridad, prueba de conceptos, desarrollador” en la descripción de la experiencia laboral del usuario.

Al buscar esta frase en Google aparece otra página de Fb, esta vez por un «Yassine Majidi,«Debajo del nombre del perfil»FatalW01. » Una revisión del perfil de Majidi en Facebook muestra esa frase como su lema, y ​​que ha firmado varias de sus publicaciones a lo largo de los años como «Fatal.001».

También hay dos cuentas de Skype diferentes registradas en la dirección de correo electrónico ing.equipepro.com, una para Yassine Majidi y otra para Yassine Algangaf. Hay una tercera cuenta de Skype llamada «Deadly.001» que está vinculada al mismo número de teléfono incluido en talainine.com como número de contacto de Yassine Algangaf (+212611604438). Un video en la página de Majidi en Facebook lo muestra conectado a la cuenta de Skype «Fatal.001».

En su perfil de Fb, Majidi incluye capturas de pantalla de varios correos electrónicos de compañías de application agradeciéndole por informar vulnerabilidades en sus productos. Fatal.001 era un miembro activo en punto-dev (.) com, un foro de piratería informática en idioma árabe. A lo largo de múltiples publicaciones, Lethal.001 discute su trabajo en el desarrollo correo no deseado herramientas y malware RAT.

En este tutorial de YouTube en idioma árabe de dos horas de 2014, Lethal.001 explica cómo usar una RAT que desarrolló llamada «Small Boy» para robar números de tarjetas de crédito y contraseñas de las víctimas. La pantalla de regulate principal para la interfaz de botnet Tiny Boy incluye un mapa de Marruecos.

Alcanzado a través de LinkedIn, Algangaf confirmó que usó los seudónimos Majidi y Deadly.001 para su investigación de seguridad y búsqueda de errores. Pero negó haber participado en actividades de piratería ilegal. Reconoció que ing.equipepro@gmail.com es su dirección de correo electrónico, pero afirma que la cuenta de correo electrónico fue pirateada en algún momento en 2017.

«Ya ha sido pirateado y recuperado después de un cierto período», dijo Algangaf. «Como soy un investigador de seguridad, publico de vez en cuando un conjunto de blogs destinados a crear conciencia sobre los posibles riesgos de seguridad».

En cuanto a la concept de que ha estado desarrollando programas de piratería durante años, Algangaf dice que esto tampoco es cierto. Dijo que nunca vendió copias de la botnet Minimal Boy, y que esta fue una de varias herramientas que creó para crear conciencia.

«En 2013, desarrollé una plataforma para la investigación de seguridad a través de la cual se pueden realizar pruebas de penetración para teléfonos y computadoras», dijo Algangaf. “Contenía conceptos que podrían beneficiarse de un dominio controlado. En cuanto al hecho de que se llevaron a cabo ataques ilegales contra otros, es imposible porque simplemente no tengo interés en blackhat (actividades) «.


Etiquetas: +212611604438, 4iq.com, DomainTools.com, deadly.001, FatalW01, Hyas, hyas.com, ing.equipepro@gmail.com, njrat, Sasha Angus, talainine.com, Yamosoft, Yassine Algangaf, Yassine Majidi

Esta entrada fue publicada el lunes 2 de marzo de 2020 a la 1:07 pm y está archivada en Breadcrumbs.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first