29 junio, 2021
Según un reciente informe, la OTAN sufrió la pérdida de documentación sensible tras el hackeo a uno de sus proveedores.
El reciente hackeo de la plataforma secreta de la OTAN está directamente relacionado con el ataque sufrido por Everis en mayo de este mismo año, durante el que la plataforma cloud de la OTAN se vio comprometida. Entre los datos que se vieron expuestos al ataque se encontraban el código fuente y la documentación de la plataforma. La plataforma que se ha visto afectada por el ataque se conoce como Service-Oriented Architecture and Identity Access Management (SOA & IdM), una de las partes claves del proyecto de modernización en el ámbito IT de la OTAN. Esta plataforma se usa para administrar aspectos como la seguridad y la integración, y tiene funcionalidades de registro y repositorio, administración de servicios, etc.
Los piratas informáticos también intentaron extorsionar a Everis e hicieron bromas sobre el envío de datos a los servicios de inteligencia rusos. Cabe recordar que la compañía de tecnología trabaja para diferentes servicios del gobierno nacional y de la Ciudad.
Según Everis y un documento no clasificado de la OTAN, SOA & IdM habrían proporcionado una plataforma central «responsable de la seguridad, integración, registro y repositorio, gestión de servicios, descubrimiento de información y alojamiento». El contrato fue de 10 millones de euros.
Según los hackers, que se autodenominaron como «políticamente motivados», estaban interesados en los datos de las filiales latinoamericanas de Everis / NTT Data. Según una nota que dejaron Everis y compartieron con el sitio Distributed Denial of Secrets (DDoSecrets), inicialmente solo estaban interesados en datos relacionados con subsidiarias latinoamericanas y los datos a los que tenían acceso a través de contratos. Esto parecería incluir registros manifiestos de LATAM Airlines. Sin embargo, después de que los piratas informáticos investigaran más sobre la empresa y vieran referencias a drones y sistemas de defensa, pasaron más tiempo en las redes de la empresa.
Los hackers, al ver información clasificada sobre armamento (en particular, drones) decidieron desviar su ataque y filtrar la información. Afirmaron que el hackeo fue «tanto a favor como en contra de la OTAN» porque alguien podría haber causado más daño que simplemente borrando y filtrando sus datos.
Tanto en el archivo de texto que se proporcionó originalmente a Everis como en confirmaciones al sitio DDoSecrets, los piratas informáticos aludieron al potencial de modificar el software SOA e IdM en lugar de eliminarlo e intentar filtrarlo. «Qué desafortunado sería si alguien le hiciera algunos cambios antes de que se implemente en este centro de datos secreto de la OTAN. Creo que les hicimos un favor a todos simplemente eliminándolo «, escribieron en el archivo. «Espero que aprecien que acabamos de eliminar toda la basura de Everis en lugar de abrirla por la puerta trasera o tirarla en el depósito seguro de FSB (el Servicio Federal de Seguridad ruso)» explicaron.
Los hackers informáticos expresaron su preocupación de que Everis iba a encubrir la violación no solo del público, sino también de sus clientes. «Tenemos la sospecha de que la respuesta actual a incidentes de Everis está cubriendo nuestras propias pistas del cliente [sic]». Según informaron, tuvieron tratativas con la compañía para mantenerla alejada del incidente si pagaban la suma de 14.000 XRM (la criptomoneda Monero) algo así como US$ 3.121.762.
«Hola, chicos y chicas. Quizás se esté preguntando dónde fueron sus archivos.
Presentémonos primero. Somos un actor motivado políticamente y creemos que es genial que una persona pueda participar en la geopolítica global armada solo con un teclado de computadora.
Inicialmente solo estábamos interesados en la copia de los datos de Colombia y las subsidiarias chilenas, pero cuando revisamos su sitio web y vimos algunas palabras ridículas como «sistemas no tripulados», «drones» y ‘ sistema de defensa’, decidimos gastar un poco más tiempo dentro de su red y hacernos una copia de más datos.
Así es como se desarrollarán las cosas:
Publicaremos los datos de sus clientes colombianos y chilenos que inicialmente nos interesaron, pase lo que pase.
También te daremos la oportunidad de hacer una generosa donación de 14500 XMR (Monero) a esta dirección:
Si dicha donación se realiza dentro de los próximos 3 días (hasta el sábado), el nombre «Everis» y «NTT Data» no se vincularán a esta filtración, podrá responder al incidente usted mismo y si la filtración sí se conecta a su empresa, podrá controlar la narrativa en los medios. No se harán más comentarios por nuestra parte.
Si no se realiza la donación, la filtración incluirá datos de otras partes de la empresa y una descripción detallada de lo fácil que fue para nosotros irrumpir en su red y posiblemente incluso llevar a cabo un ataque a la cadena de suministro en este pequeño proyecto que usted están implementando para la OTAN y EU-LISA.
Esto incluirá todo el código fuente asociado, la documentación y las especificaciones del proyecto para que la comunidad de seguridad de la información y el público en general puedan juzgar la calidad de su trabajo, lo que básicamente engaña a las organizaciones para que gasten una tonelada de dinero para instalar Docker en una imagen de CentOS sin cualquier firma criptográfica para verificar la integridad de esa imagen.
Qué desafortunado sería si alguien le hiciera algunos cambios antes de que se implemente en este centro de datos secreto de la OTAN. Creo que les hicimos un favor a todos simplemente borrándolo))))
Podemos charlar y estamos abiertos a algunas negociaciones sobre la oferta que estamos haciendo en esta dirección:
Lo más probable es que necesite el navegador Tor para acceder a esta URL, que se puede descargar aquí:
https://www.torproject.org/download/
Con mucho amor, Anónimo», dice la misiva de los atacantes