Aventuras para contactar al FSB ruso – Krebs on Safety


KrebsOnSecurity recientemente tuvo ocasión de contactar con Servicio de Seguridad Federal Ruso (FSB), el equivalente ruso del Oficina Federal de Investigaciones de EE. UU. (FBI). En el proceso de hacerlo, encontré un pequeño inconveniente: el sitio website del FSB decía que para comunicarme con ellos de forma segura, necesitaba descargar e instalar un dispositivo de cifrado y redes privadas virtuales (VPN) que está marcado por al menos 20 productos antivirus. como malware.

La sede del FSB en la plaza Lubyanka, Moscú. Imagen: Wikipedia.

Irónicamente, la razón por la que me comuniqué con el FSB, una de las agencias sucesoras de la KGB rusa, tuvo que ver con preocupaciones de seguridad planteadas por un infame pirata informático ruso sobre el método preferido por el FSB para ser contactado.

KrebsOnSecurity buscaba comentarios del FSB sobre una publicación de blog site publicado por Vladislav «BadB» Horohorin, un ex traficante internacional de tarjetas de crédito robadas que cumplió siete años en una prisión federal de EE. UU. por su papel en el robo de $ 9 millones de RBS WorldPay en 2009. Horohorin, un ciudadano de Rusia, Israel y Ucrania, ahora está de regreso donde creció en Ucrania, dirigiendo un negocio de consultoría de ciberseguridad.

Tienda de tarjetas BadB de Horohorin, badb (.) Biz, alrededor de 2007. Imagen: Archive.org.

Visite el sitio net del FSB y es posible que notice que su dirección net comienza con http: // en lugar de https: //, lo que significa que el sitio no utiliza un certificado de cifrado. En términos prácticos, cualquier información compartida entre el visitante y el sitio web se envía en texto plano y será noticeable para cualquier persona que tenga acceso a ese tráfico.

Este parece ser el caso independientemente del sitio del gobierno ruso que visite. De acuerdo a Gigante de búsqueda ruso Yandex, las leyes de la Federación de Rusia exigen que las conexiones cifradas se instalen de acuerdo con la Algoritmo criptográfico ruso GOST.

Eso significa que aquellos que tienen una razón para enviar comunicaciones cifradas a una organización del gobierno ruso, incluidas las cosas ordinarias como hacer un pago por una licencia o multa del gobierno, o presentar documentos legales, primero deben instalar CryptoPro, una aplicación solo para Windows que carga las bibliotecas de cifrado GOST en la computadora de un usuario.

Pero si desea hablar directamente con el FSB a través de una conexión cifrada, puede instalar su propio cliente, que incluye el código CryptoPro. Visite el sitio del FSB y seleccione la opción para «transferir información significativa a las unidades operativas», y verá un mensaje para instalar una aplicación de «generación de números aleatorios» que se necesita antes de que un formulario de contacto específico en el sitio net del FSB se cargue correctamente.

Eso sí, no estoy sugiriendo que nadie haga eso: Horohorin señaló que este generador de números aleatorios fue marcado por 20 productos antivirus y de seguridad diferentes como maliciosos.

«Piense bien antes de ponerse en contacto con el FSB para cualquier pregunta o tratar con ellos, y si aún así decide hacer esto, es mejor utilizar una máquina digital», escribió Horohorin. Y un traje espacial. Y, preferiblemente, mientras se encuentre en otro país «.

Detecciones de productos antivirus en el program VPN del FSB. Imagen: VirusTotal.

Probablemente vale la pena mencionar que el FSB es la misma agencia que ha sido sancionada por actividad cibernética maliciosa por parte del gobierno de EE. UU. En múltiples ocasiones durante los últimos cinco años. Según las sanciones más recientes de la Departamento del Tesoro de EE. UU., el FSB es conocido por reclutar hackers criminales de foros clandestinos y ofrecerles cobertura legal para sus acciones.

«Para reforzar sus operaciones cibernéticas maliciosas, el FSB cultiva y coopta a los piratas informáticos criminales, incluida la anteriormente designada Evil Corp., lo que les permite participar en ataques de ransomware disruptivos y campañas de phishing», se lee una evaluación del Tesoro a partir de abril de 2021.

Si bien Horohorin parece estar convencido de que el FSB está diseminando malware, no es inusual para una gran cantidad de herramientas de seguridad utilizadas por VirusTotal u otros servicios similares de «caja de arena» de malware para marcar incorrectamente archivos seguros como malos o sospechosos, una condición demasiado común conocida como «falso positivo».

A finales del año pasado yo advirtió a mis seguidores en Twitter para posponer la instalación de actualizaciones para su Dell productos hasta que la empresa pudiera explicar por qué dos docenas de herramientas antivirus detectaban un montón de controladores de program como malware. Todos esos resultaron ser falsos positivos.

Para averiguar realmente qué estaba haciendo este software program FSB, recurrí a Lance James, el fundador de Unidad221B, una empresa de ciberseguridad con sede en la ciudad de Nueva York. James dijo que cada solicitud de descarga genera un nuevo programa ejecutable. Esto se debe a que la singularidad del archivo en sí es parte de lo que hace posible la conexión cifrada uno a uno.

«Esencialmente, es como una VPN temporal de un solo uso, que united states of america una clave separada para cada descarga», dijo James. “El ejecutable es el apretón de manos con usted para intercambiar claves, ya que almacena la clave para esa sesión en el exe. Es un enfoque horrible. Pero es lo que es «.

James dijo que el programa del FSB no parece ser malware, al menos en términos de las acciones que realiza en la computadora de un usuario.

«No hay señales de actividad serious de troyanos aquí, excepto el hecho de que se borran automáticamente», dijo James. «Utiliza cifrado GOST y (los productos antivirus) pueden pensar que esas propiedades parecen ransomware».

James dice que sospecha que los falsos positivos del antivirus fueron provocados por ciertos comportamientos que podrían interpretarse como similares al malware. La captura de pantalla a continuación, de VirusTotal, dice que algunos de los contenidos del archivo se alinean con las reglas de detección creadas para encontrar instancias de ransomware.

Algunas de las reglas de detección de malware activadas por el software package del FSB. Fuente: VirusTotal.

Otras reglas de detección activadas por este archivo incluyen las rutinas del programa que borran los registros de eventos del sistema del usuario, un comportamiento que se ve a menudo en el malware que intenta ocultar sus pistas.

Con el presentimiento de que solo incluir la rutina de cifrado GOST en un programa de prueba podría ser suficiente para desencadenar falsos positivos en VirusTotal, James escribió y compiló un programa corto en C ++ que invocaba el cifrado GOST pero por lo demás no tenía componentes de pink. Luego cargó el archivo para escanearlo en VirusTotal.

Aunque el programa de prueba de James no hizo nada indebido o malicioso, fue marcado por seis motores antivirus como potencialmente hostil. El motor de aprendizaje automático de Symantec parecía particularmente seguro de que el archivo de James podría ser incorrecto, y le otorgó el nombre de amenaza «ML.Attribute.HighConfidence», la misma designación que asignó al programa del FSB.

KrebsOnSecurity instaló el program del FSB en una computadora de prueba usando una VPN separada, y de inmediato se conectó a una dirección de Online actualmente asignada al FSB (213.24.76.xxx).

El programa me pidió que hiciera clic en varias partes de la pantalla para generar aleatoriedad para una clave de cifrado, y cuando se hizo, dejó una pequeña ventana que explicaba en ruso que se había establecido la conexión y que debería visitar un enlace específico en el FSB. sitio.

El generador de números aleatorios del FSB en acción.

Al hacerlo, se abrió una página donde podía dejar un mensaje para el FSB. Les pregunté si tenían alguna respuesta a que su programa se marcara ampliamente como malware.

El formulario de contacto que finalmente apareció después de instalar el program de FSB y hacer clic en un enlace específico en fsb (.) Ru.

Después de todo el esfuerzo, me decepciona informar que aún no he recibido una respuesta. Tampoco escuché de vuelta de CSP S-Terra, la empresa que fabrica el software program VPN que ofrece el FSB.

James dijo que, dada su posición, podía ver por qué muchos productos antivirus podrían pensar que es malware.

«Ya que ellos no usarán nuestra criptografía y nosotros no usaremos la de ellos», dijo James. «Es una gran explicación sobre la rareza política con las criptomonedas».

Aún así, dijo James, varias cosas simplemente no tienen sentido sobre la forma en que el FSB ha elegido implementar su computer software VPN de una sola vez.

“La forma en que han configurado esto para confiar repentinamente en un ejecutable que cambia dinámicamente sigue siendo muy preocupante. Además, ¿por qué me enviarían una semilla generadora de números aleatorios de 256 en un ejecutable cuando la computadora tiene incorporado un generador de números aleatorios perfectamente válido y probado? Me está enviando un exe con una clave que determine sobre un entorno no seguro. ¿Por qué diablos si eres una de las principales agencias de inteligencia harías eso? «

Por qué de hecho. Me pregunto cuántas personas compartirían información sobre delitos federales con el FBI si la agencia les pidiera a todos que primero instalaran un archivo ejecutable, por no hablar de uno que se parece mucho al ransomware para las firmas antivirus.

Después de hacer esta investigación, supe que el FSB lanzó recientemente un sitio web al que solo se puede acceder a través de Colina, software package que protege el anonimato de los usuarios al hacer rebotar su tráfico entre diferentes servidores y cifrar el tráfico en cada paso del camino. A diferencia del claro sitio net del FSB, el sitio Tor de la agencia no pide a los visitantes que descarguen algún program poco fiable antes de contactarlos.

«La aplicación se está ejecutando durante un tiempo limitado para garantizar su seguridad», aseguran las instrucciones para el generador de números aleatorios del FSB, con solo un suave empujón de urgencia. «No olvide cerrar la aplicación cuando haya terminado».

Sí, no lo olvides. Además, no olvide incinerar su computadora cuando haya terminado.





Enlace a la noticia authentic