Canadá detiene al primer cracker que usó Heartbleed en VPN para robar información
La Policía de Canadá ha emitido un comunicado informando sobre la detención del sospechoso de un ataque informático usando la vulnerabilidad de Heartbleed para acceder a los ordenadores de la Agencia Tributaria del país. El cracker consiguió robar información confidencial de al menos 900 canadienses, y cuando le detuvieron lo reconoció. Os recomendamos leer nuestro tutorial sobre configurar servidor L2TP/IPsec VPN en pfSense.
La Agencia Tributaria explicó que el robo de los números de seguridad social y los credenciales de identificación de sesión de usuario se produjeron durante el intervalo de seis horas en que se hizo pública la vulnerabilidad, cuando aún no habían corregido este grave fallo de seguridad en los sistemas. El atacante hizo múltiples peticiones al servidor web HTTPS y consiguió todos estos datos, tal y como ya hemos hablado anteriormente.
Aunque la Agencia Tributaria inhabilitó la página de Internet, el robo de los credenciales de sesión permitió eludir la autenticación en dos pasos usado para validar la conexión a los sistemas VPN de la organización. El sistema de detección de intrusos (IDS) con una firma IDS específica para detectar los ataques heartbleed demostraron que hubo más de 17.000 alertas durante la intrusión.
Los investigadores registraron varias evidencias de este robo de datos:
- Una dirección IP provocó miles de alertas en el IDS.
- Los registros de la VPN mostraron que la dirección IP origen (la del atacante) se conectó vía VPN al sistema e hizo varias conexiones rápidamente.
- Las direcciones IP legítimas de acceso VPN estaban separadas geográficamente de la IP del atacante, e incluso pertenecía a operadores diferentes.
Una vez que el atacante se conectó a la red privada virtual de la organización, intentó hacer una escalada de privilegios. Los investigadores recomiendan revisar los logs de acceso remoto y los registros del IDS para saber si un ataque se ha producido en el pasado.