ShadowBrokers exponen acceso de la NSA a la red bancaria SWIFT

La NSA utilizó exploits para entrar a dos oficinas de servicio de SWIFT con el fin de acceder a los datos bancarios de varias instituciones financieras en el Medio Oriente. El acceso se utilizó probablemente para monitorear el financiamiento de operaciones terroristas, dijeron hoy expertos mientras continúa el análisis de la última publicación de ShadowBrokers de las herramientas de hacking del Equation Group.

La filtración llegó este viernes y ha tenido a los investigadores ocupados profundizando en la gama de hacks no sólo relacionados con SWIFT, sino también herramientas para comprometer sistemas Windows, así como una serie de presentaciones y documentación para otras herramientas.

El lanzamiento de hoy se produjo seis días después de que el grupo clandestino expusiera una serie de hacks basados en UNIX y documentación dirigida a explotar servidores empresariales y críticos en todo el mundo.

“En este caso, si las reclamaciones de Shadow Brokers son verificadas, parece que la NSA intentó capturar totalmente la columna vertebral del sistema financiero internacional para tener un ojo de Dios en una Oficina de Servicios SWIFT y potencialmente toda la red SWIFT”, dijo el investigador Matt Suiche en un blog publicado hoy explicando su análisis del volcado de datos. “Esto encajaría dentro del procedimiento estándar como una entidad encargada de acciones encubiertas que pueden o no ser legales en un sentido técnico”.

SWIFT, por su parte, dijo que su infraestructura no se vio comprometida.

“No hay ningún impacto en la infraestructura o los datos de SWIFT, sin embargo, entendemos que las comunicaciones entre estas oficinas de servicio y sus clientes pueden haber sido previamente accedidas por terceros no autorizados”, dijo un representante de SWIFT.

Las oficinas de servicio de SWIFT son proveedores de servicios de terceros que gestionan y alojan conexiones con SWIFTNet para las instituciones financieras que desean conectarse a la red, pero optan por externalizar esas operaciones. SWIFT dijo que los servicios de la oficina de servicios incluyen compartir, alojar u operar componentes de conectividad SWIFT, iniciar sesión o administrar sesiones o seguridad para los usuarios de SWIFT.

Los archivos relacionados con SWIFT se llamaban JEEPFLEA y contienen credenciales y la arquitectura de EastNets, la oficina de servicios SWIFT más grande de Oriente Medio, dijo Suiche.

Suiche explicó que estas transacciones bancarias se manejan en una base de datos Oracle que ejecuta software SWIFT. El archivo incluye herramientas utilizadas por la NSA para tomar datos de la instalación de Oracle, incluyendo una lista de usuarios y consultas de mensajes de SWIFT, dijo Suiche.

EastNets, que también proporciona servicios contra el lavado de dinero y el anti-fraude, era un objetivo de la NSA en la región y los documentos filtrados muestran credenciales, información de cuentas e información de la cuenta del administrador. En una declaración en su sitio web, el CEO y fundador de EastNets, Hazem Mulhim dijo que no hay credibilidad a las reclamaciones de que sus servicios se vieron comprometidos.

“Los informes de una supuesta red de servicios de EastNets (ENSB) comprometida por los hackers son totalmente falsos e infundados. La unidad de seguridad interna de la red de EastNets ha realizado un chequeo completo de sus servidores y no encontró ningún compromiso de hackers ni vulnerabilidades. EastNets Service Bureau se ejecuta en una red segura aparte que no se puede acceder a través de las redes públicas. Las fotos que se muestran en twitter, que denuncian información comprometida, se trata de páginas obsoletas y anticuadas, generadas en un servidor interno de bajo nivel que se retiro desde 2013.

“Aunque no podemos averiguar la información que se ha publicado, podemos confirmar que ningún dato del cliente de EastNets ha sido comprometido de ninguna manera, EastNets continúa garantizando la seguridad completa y los datos de sus clientes con los más altos niveles de protección de su Oficina de servicio SWIFT certificada.”

El investigador Kevin Beaumont desaconsejó las reclamaciones de EastNets de que su red no está públicamente accesible con unas capturas de pantalla.

El investigador x0rz dijo que la NSA podría haber estado utilizando exploits de día cero contra firewalls de Cisco para acceder a las Oficinas de Servicio de SWIFT.

“Pueden haber violado las redes de [oficinas de servicios] a través de Cisco ASA y se han metido más en las redes utilizando exploits de Solaris (En mi opinión)”, dijo x0rz. “Luego recopilaron datos utilizando consultas SQL en los servidores Oracle”.

X0rz agregó que vio al menos dos vulnerabilidades de Windows cero día, algo confirmado por Suiche para Windows 8 y Windows Server 2012, lo que significa que Microsoft podría tener que emitir un parche de emergencia o esperar hasta el 9 de mayo, su próxima fecha programada para el Patch Tuesday.

Suiche dijo que muchas de las herramientas apuntan a versiones anteriores de Windows.

“La filtración más relevante hasta la fecha, mucha información sobre objetivos reales y documentos de PowerPoint, a diferencia de los depósitos anteriores que eran sólo herramientas”, dijo Suiche.

Los implantes de Windows tienen el nombre de código Oddjob y, según el archivo NSA, hay poco o ningún dato de detección en VirusTotal. Cualquier vulnerabilidad de día cero frente a los servidores XP, Vista o Windows 2003 o 2008 probablemente no se repararán ya que el soporte ha terminado para esas plataformas.

El sábado pasado, los ShadowBrokers lanzaron las herramientas de hacking de UNIX junto con la contraseña para el archivo original de Equation Group que planeaba subastar. El envoltorio de todo esto fue una carta abierta al Presidente Donald Trump en la que el grupo expresó su descontento con las acciones de la nueva administración en Siria y con la atención de salud en los Estados Unidos, entre otras cosas. Los hacks incluyeron explotaciones de ejecución remota de código contra servidores empresariales que ejecutan Sun Solaris, Netscape Server, servidores FTP y una serie de clientes de correo web. El volcado también incluyó una serie de herramientas antiforenses, puertas traseras y depósitos de acceso remoto de post-explotación para máquinas empresariales. También hubo keyloggers, herramientas de monitoreo de red e implantes a nivel de kernel para sistemas UNIX.

Leave a Reply