El FBI explica cómo fue hackeado Yahoo: mediante un ataque de spear phishing

El FBI explica cómo fue hackeado Yahoo: mediante un ataque de spear phishing
1 comentario Facebook Twitter Flipboard E-mail

Ayer en nuestro artículo sobre los responsables del hackeo Masivo de Yahoo, comentábamos por encima algún detalle del ataque, que había ofrecido The Guardian. Sin embargo, en aquellos momentos no se conocían causas específicas que pudiesen explicar cómo el equipo de agentes del FSB y crackers consiguió controlar más de 6.500 cuentas.

Una de las posibles causas que se apuntaban desde el medio británico era el uso de cookies falsificadas, pero tal y como se recoge en Ars Technica esto podría ser sólo la punta del iceberg. Un agente especial de la oficina del FBI de Silicon Valley llamado Malcolm Palmore apunta a que se trató de un caso de spear phishing. Por ahora parece que esta forma de ingeniería social es la causa más plausible.

Pero, ¿qué es el spear phising exactamente? Para que nos entendamos, el phishing tradicional ataca a un amplio abanico de objetivos intentando robar sus datos. Con el spear phishing se ataca a un grupo u organización determinado, intentando conseguir los datos de uno de sus integrantes para acceder a su infraestructura.

Así fue el hack según el FBI

Gracias a usar un ataque dirigido, los cuatro acusados consiguieron acceso directo a las redes internas de Yahoo. Una vez dentro, se cree que Alexsey Belan (que ya estaba en la lista de los crackers más buscados del mundo, tal y como dijimos ayer) realizó labores de reconocimiento por las redes del gigante de Internet.

Durante esta misión de exploración, descubrió dos activos importantes para la empresa, según el FBI: por un lado la base de datos de usuarios de Yahoo (UDB) y una herramienta administrativa llamada Account Management Tool. Los contenidos de la UDB ofrecieron a Belan y a los dos agentes de la FSB información que podían usar para localizar determinadas cuentas de su interes. Con la segunda herramienta se podía alterar cualquier cuenta objetivo, incluyendo el cambio de contraseña.

Después, los acusados descubrieron una herramienta que les permitía falsifcar cookies para conseguir acceso a las cuentas sin cambiar sus contraseñas, lo que conecta directamente con lo que adelantaba The Guardian ayer. Al parecer, los registros de la UDB para cada usuario contenían un número criptográfico asociado con su cuenta, que se podía usar para generar las cookies emitidas después de la autenticación.

El uso de las cookies falsificadas se realizó en dos fases: primero en la propia red interna de Yahoo, y después en sistemas que ellos controlaban. A través de esta técnica, tanto Alexsey Belan como los agentes del FSB habrían podido crear cookies específicas para acceder a cuentas objetivo.

En cuanto Belan pudo copiar parte de los datos de la UDB a su ordenador, el grupo pudo generar cookies falsas sin entrar en la red de Yahoo

Según se recoge en el domcumento de acusación contra los cuatro individuos, Belan copió parte de los datos de la UDB a su propio ordenador entre noviembre y diciembre de 2014 a través de FTP. Desde ese momento, el grupo pudo generar cookies de forma externa, sin entrar en la red de la empresa.

Sin embargo, el plan tenía un fallo. Dado que los números criptográficos cambiaban cuando los usuarios cambiaban sus contraseñas, las cookies creadas externamente fallaban con las nuevas claves que las cuentas objetivo usaron cuando la UDB se robó. Esas cookies que no funcionaron quedaron en los registros de los sistemas de Yahoo, lo que podría haber conducido a detener el ataque.

La manera en la que se usaron las cookies falsificadas fue documentada por uno de los cuatro acusados. En un correo electrónico enviado en julio de 2015, Dmitry Dokuchaev enviaba a Igor Sushchin (los dos agentes de la FSB implicados) una captura de pantalla de su ordenador, en la que aparecía un addon para Firefox llamado Advanced Cookie Manager.

Junto a esta captura había instrucciones sobre cómo insertar una de estas cookies en una cuenta de Yahoo. Tal y como adelantó The Guardian ayer, en total se vieron afectadas más de 6.500 cuentas.

Aunque ya conocemos más detalles que habrían permitido llevar a cabo el hack, hay cosas que Malcolm Palmore no ha querido revelar al medio, como por ejemplo quién descubrió el ataque (si fueron ellos o Yahoo), o cuánto duró la intrusión hasta que fue cortada.

Vía | Ars Technica
En Genbeta | Quién es quién entre los agentes acusados por EE.UU. por el hackeo masivo de Yahoo

Comentarios cerrados
Inicio