Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

11>18
abr

⚡TL;DR

4Chan, quizás uno de los foros más polémicos de la web, fue hackeado el martes de la semana pasada. El imageboard, que tuvo un rol clave durante la campaña que llevó a la primera presidencia de Donald Trump en los Estados Unidos, sigue caído hasta el momento de la publicación de esta entrada, con cuatro días sin funcionar.

Más allá de las cuestiones técnicas que llevaron al hackeo, hablé con Juan Ruocco, periodista e investigador, para entender un poco más del lugar histórico y actual que ocupa 4Chan en la cultura de internet. En conjunto con su libro, recomiendo -fuera de la agenda de este newsletter- Get Me Roger Stone, que explica gran parte de la cultura Trump y el vínculo con 4Chan.

A nivel regional, apareció a la venta una serie de accesos remotos (AnyDesk) de Argentina a industrias de medios y casinos, en Chile un grupo de ransomware atacó a una empresa que ofrece servicios de transporte y, en Bolivia, LockBit anunció a la Empresa Nacional de Electricidad (ENDE) como víctima.

En el mundo de las Big Tech, Amazon, Meta, Alphabet, Netflix, Apple y Microsoft fueron acusadas de evadir 278 mil millones de dólares en impuestos durante 10 años, mientras se retomó el juicio antimonopolio contra Meta. Pero la noticia de peso fue que Google perdió un juicio por su dominancia en la publicidad online, en el segundo gran revés desde el año pasado.

La perlita de la semana: CheckPoint Research analizó en profundidad una campaña de APT29 (Cozy Bear) que apunta a diplomáticos europeos y es la continuidad de otra que usaba un backdoor llamado -atención- “Wine Loader”, ahora bautizado “Grape Loader”. Usaron esta imagen para ilustrar el reporte de seguridad que, creo, ameritaba compartirla:

En esta edición:

• 🥷 Hackean 4Chan: sigue inactivo y un grupo rival se atribuye el ataque

• 👨‍⚖️ Arrancó el juicio antimonopolio contra Meta; Google pierde su segunda gran batalla legal

• 🚦 Hackean semáforos en ciudades de Silicon Valley para burlarse de Zuckerberg y Musk

• 📑 El contrato de CISA con MITRE sigue en pie, pero con futuro incierto

• 📲 Android se va a reiniciar solo luego de estar 3 días bloqueado

• 🧴 Advierten sobre una ola de ataques de password spraying

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #136

Hackean 4Chan: sigue inactivo y un grupo rival se atribuye el ataque

El foro anónimo 4chan, repositorio de imágenes, memes y trolls, fue hackeado durante el martes: el sitio arrojó error durante varias horas, se tornó inaccesible y además comenzaron a aparecer capturas de pantalla con filtraciones del código fuente y el back-end. Ya lleva cuatro días caído.

Qué pasó. Diversos usuarios empezaron a reportar que el sitio se encontraba inaccesible. Entre la información filtrada estaría el código fuente del sitio, además de paneles de administración y herramientas de mantenimiento.

Cómo fue el hackeo. Al parecer, algunos foros permitían subir archivos PDF, pero el sitio nunca comprobaba si el archivo PDF era un archivo PDF real. Una vez subido el archivo PDF, se pasaba a una versión de Ghostscript de 2012 que generaba un thumbnail. El atacante encontró un exploit en el que subir un PDF con los comandos PostScript correctos podía darle acceso a una shell.

Circula la versión de que desde 2016 el sitio no actualizaba el código PHP, lo que es importante porque, a través de las tools del lenguaje, se podría acceder a direcciones de IP para identificar usuarios, algo sensible para el anonimato bajo el cual operan sus usuarios.

Motivación. El ataque podría responder a una pelea con otro imageboard, Soyjak[.]party, que se atribuyó el ataque y además aseguró haber entrado a los sistemas desde hace más de un año.

4Chan. Dark News habló con Juan Ruocco, periodista e investigador, autor del libro ¿La democracia en peligro? y uno de los fundadores del sitio cuatroveintiuno.com, quien analizó el fenómeno 4Chan y sus notas distintivas:

4Chan es un imageboard, un foro cuyo contenido está organizado en posteos de imágenes y sobre eso se construyen los threads. Tiene un feed algorítmico, donde los principales posts -es decir, los que tienen mucha interacción- son los que se mantienen en la página. Los otros se archivan y después se borran: es un contenido dinámico y no navegable en el tiempo.

Un detalle no menor: el concepto moderno de “meme”, tal como lo conocemos en internet, es de 4Chan.

El segundo rasgo distintivo de 4Chan es que el término “meme” de internet nace, diría, en la plataforma. Después se convirtieron en parte de la cultura y el folklore de internet. De ahí su principal atractivo e importancia en la comunidad.

A pesar de ser chico en comparación a otras plataformas, el sitio ha funcionado como un laboratorio de campañas virales y hasta movimientos políticos: QAnon, por ejemplo, se originó en 4Chan.

El momento más relevante del sitio en la esfera pública norteamericana fue la campaña política que llevó a la primera presidencia de Donald Trump:

El tercer punto importante fue el rol que tuvo en que Trump ganara las elecciones presidenciales de 2016. Todo lo que estaba alrededor de Pepe the Frog, que fue tomado por el comando de campaña de Donald Trump (Steve Bannon), fue identificado como una comunidad muy importante, con capacidad de generar mucha disrupción en lo que eran las campañas tradicionales. Con ese combo, 4Chan se coronó como el gran sitio de internet de 2004 a 2016. Luego empezó un leve y lento declive, hasta hoy, que podemos decretar casi la muerte del sitio.

En 2014, 4Chan también había sido hackeado.

Arrancó el juicio antimonopolio contra Meta; Google pierde su segunda gran batalla legal

El juicio en el que se acusa a Meta de mantener un “monopolio ilegal de redes sociales” comenzó esta semana, más de cuatro años después de que la Comisión Federal de Comercio (FTC) de los Estados Unidos presentara el caso.

Qué dice la FTC. Durante el juicio, la FTC intentó demostrar que Meta domina el mercado de redes sociales personales, definido como “aplicaciones diseñadas para conectar a amigos y familiares”. El argumento es que la compra de Instagram y WhatsApp, junto con restricciones para desarrolladores de terceros, habían ahogado a la competencia.

Qué dice Zuckerberg. El problema para la FTC es que, en la actualidad, Meta es mucho más que un ecosistema de redes sociales: Mark Zuckerberg, CEO de Meta, declaró que las plataformas de la empresa evolucionaron hacia espacios de descubrimiento y entretenimiento más amplios, alejándose del enfoque exclusivo en conexiones personales.​

Idas y vueltas. El caso experimentó tantos desafíos legales desde 2020 hasta la fecha que, cuando empezó, la compañía tenía otro nombre: Facebook. En octubre de 2021, la empresa matriz cambió de nombre a Meta.

Duración. El juicio podría durar ocho semanas, se espera que sea favorable para Meta, a pesar de que hay reportes de un acuerdo sobre la mesa (sugerido por Trump).

Google. Por otro lado, un tribunal federal de EE.UU. falló este jueves que el dominio de Google en el mercado de la publicidad digital y las tecnologías publicitarias viola las leyes antimonopolio de ese país.

Es el segundo revés judicial significativo para Google en temas de competencia: el año pasado, otro tribunal determinó que la empresa también abusó de su posición dominante en el mercado de las búsquedas online. Ambos fallos apuntan al núcleo del modelo de negocios de la compañía.

Hackean semáforos en ciudades de Silicon Valley para burlarse de Zuckerberg y Musk

El sistema de asistencia de cruces peatonales que se usa en varias ciudades de Silicon Valley fue hackeado a modo de burla del creador de Facebook, Mark Zuckerberg, y Elon Musk, fundador de Tesla y SpaceX -además de dueño de Twitter-.

Qué pasó. Los botones, que al ser pulsados dan indicaciones en audio para peatones con limitaciones en la visión, empezaron a reproducir mensajes irónicos con sus voces, clonadas por inteligencia artificial:

Dark News contactó a Dan Borgogno, investigador de ciberseguridad, y analista de dispositivos:

Estos dispositivos (Polara's Accessible Pedestrian Signals, APS), le permiten a un operador hacer modificaciones: cambiar lenguajes, sonidos, volumen, comportamiento, actualización de firmware, conectividad bluetooth y acceso a una librería de audio con sonidos precargados.

A los sistemas internos de estos botones se puede acceder por una app:

Todo esto se hace a través de una aplicación (Polara Field Service), la cual estuvo disponible en las plataformas de google y apple hasta hace un tiempo. Incluso la marca provee, también, un video para los operadores donde les indica cómo conectarse al dispositivo, manipularlo y configurarlo. Lo curioso es que en este video se puede apreciar dos contraseñas por defecto: 1234 y DEFAULT1 para la red wifi relacionada al dispositivo.

Los hackeos ocurrieron en Menlo Park (sede de Meta, propietaria de Facebook), Palo Alto y Redwood City, ciudades del Estado de California del Silicon Valley, corazón de las tecnológicas norteamericanas. Las empresas de Musk tienen sus sedes en otro estado: la ciudad de Austin, Texas. Cerró Borgogno:

Muchos de estos botones, ya sea por una mala configuración o por descuido del operador, mantienen estas contraseñas por defecto o alguna contraseña muy débil y fácil de adivinar. Esto dejó una puerta abierta para que cualquier persona se conecte a través de la app, acceda al dispositivo y suban el sonido que mas les guste, en este caso un audio generado por Inteligencia Artificial.

El contrato de CISA con MITRE sigue en pie, pero con futuro incierto

El gobierno de EE.UU. renovó el contrato con MITRE por 11 meses, luego de que se venciera el acuerdo entre la autoridad de ciberseguridad (CISA) y la organización

Qué es MITRE. Se trata de una organización sin fines de lucro que gestiona el programa CVE (Common Vulnerabilities and Exposures), un sistema global que identifica y cataloga vulnerabilidades de seguridad en software y hardware.

Vencimiento y renovación. La renovación temporal se cerró un día antes del vencimiento oficial del contrato, valuado en 57,8 millones de dólares. CISA evitó así una interrupción abrupta de los servicios, aunque aún no está claro qué ocurrirá después de esta prórroga.

Por qué importa. El CVE es una pieza clave de la gestión de vulnerabilidades a nivel mundial. Desde proveedores de ciberseguridad hasta gobiernos y operadores de infraestructura crítica dependen de esta base de datos para identificar y rastrear fallas en software y hardware.

MITRE había advertido que, de no renovarse el contrato, no se asignarían nuevos CVE y el sitio web oficial podría eventualmente dejar de estar disponible. Los registros históricos quedarían alojados solo en GitHub.

Miembros del directorio CVE anunciaron la creación de la CVE Foundation, una organización para garantizar la continuidad del programa.

Android se va a reiniciar solo luego de estar 3 días bloqueado

Android, el sistema operativo móvil de Google, se reiniciará automáticamente si permanece bloqueado durante tres días.

El update. La empresa actualizó esta semana los servicios de Google Play, un componente central de Android que maneja funciones clave del sistema operativo y de las apps.

Qué significa. Cuando un dispositivo Android está apagado o no fue desbloqueado desde el último encendido, se encuentra en lo que se conoce como estado Before First Unlock. En ese estado, los datos permanecen cifrados y es más difícil acceder a ellos sin la clave del usuario.

Una vez que el teléfono se desbloquea, entra en el estado After First Unlock, en el que parte de la información ya está desencriptada y disponible para el sistema. Ese momento es aprovechado por herramientas forenses que buscan vulnerabilidades o intentan forzar el PIN para acceder al contenido.

El reinicio automático a los tres días busca devolver el dispositivo a ese primer estado de cifrado completo, agregando una capa de seguridad extra si alguien intenta acceder al equipo sin el consentimiento del dueño.

Por qué. La medida apunta a aumentar la protección de los datos guardados en el teléfono frente a intentos de extracción no autorizados, como los que pueden realizar fuerzas de seguridad con herramientas de análisis forense (Cellebrite, Magnet Forensics, etc.).

Advierten sobre una ola de ataques de password spraying

Rapid7 advirtió sobre una ola de ataques de fuerza bruta contra organizaciones en todo el mundo que explotan la falta de MFA o malas configuraciones para comprometer cuentas mediante password spraying.

Regiones. Del millón de intentos que toman como muestra, el 70% se originaron en Brasil, seguido por Venezuela (3%), Turquía (3%), Rusia (2%), México (2%) y Argentina (2%).

MFA. Según el reporte, no tener factor múltiple de autenticación sigue siendo una preocupación crítica: en 2023, el 39% de los incidentes que detectaron ellos fueron por falta de doble factor (o uno débil). En 2024, el acceso remoto sin MFA representó el 56% de los incidentes como vector de acceso inicial.

“Rapid7 espera que este tipo de ataques rápidos y de fuerza bruta sean cada vez más frecuentes a medida que se generalice la autenticación en la nube”, asegura el informe.

🔓 Breaches y hacks

• Dan a conocer cómo breachearon una dependencia del Tesoro de EE.UU.: password spraying

• Hacktivistas rusos apuntan a las elecciones de Finlandia

• Hackean el sitio de BreachForums con un defacement con el logo del FBI

🔒 Ransomware

• Un grupo cibercriminal ataca un centro de diálisis en EE.UU

• Detectan una nueva cepa de ransomware: NanoCrypt

• Ikea pierde 20 millones de euro en Europa del Este por un ransomware

💣 Exploits y malware

• TROX Stealer, nuevo Malware as a Service (MaaS)

• Descubren una serie de aplicaciones maliciosas de Android que se hacen pasar por WhatsApp para infectar

• Análisis de Gorilla, un troyano bancario basado en Kotlin para Android

🔍 Threat intel y vulnerabilidades

• Varias vulnerabilidades en wallets web se pueden usar para robar fondos

• Explican cómo abusar accesos de AWS con CodeBuild y GitHub

• Reportes: Kaspersky, Zscaler, Cyfirma, ANY.RUN, Flashpoint, BeyondTrust.

🛠️ Tools y updates

• Windows lanza oficialmente Recall, la función que “graba” todo lo que hace el usuario

• Apache lanza una actualización de seguridad para Roller

• Microsoft advierte sobre crashes con blue screen luego del update de abril

📋 Privacidad y regulaciones

• Japón: acusan a Google de monopolio

• Mozilla advierte que la división de Google podría afectar a su buscador

• Meta va a usar, finalmente, datos de sus usuarios europeos para entrenar sus modelos de IA

Share