Cómo cayó Pompompurin, el admin del foro hacker más famoso del mundo
Breach Forums cerró tras su detención, hackearon a Linus Tech Tips, Gran Bretaña uso un scam para atrapar atacantes de DDoS, día mundial del backup.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
23>31
marzo
🤖 Así cayó “Pom”, uno de los administradores de Breach Forums
La semana pasada contamos en SecOps la caída de Pompompurin, uno de los administradores principales de Breach Forums. El sitio fue luego cerrado por otro de sus admin.
El viernes pasado, el FBI, fuerza que arrestó a Conor Fitzpatrick (20 años, Nueva York) hizo oficial la detención y publicó la información en el sitio del Departamento de Justicia. Y esto significa que se puede inferir cómo cayó Pom.
El análisis lo hizo Lorenzo Franceschi-Bicchierai en TechCrunch y permite ver que:
Agentes encubiertos se infiltraron en el foro y compraron cinco sets de datos con información personal
Obtuvieron las direcciones IP que utilizó Pompompurin para acceder a RaidForums, el predecesor de Breach Forums, que fue incautado por el FBI en abril de 2022. Nueve IPs estaban asociadas con Fitzpatrick, según su ISP Verizon
Un mail fue una de las claves de la caída de “Pom”, conorfitzpatrick02@gmail.com, y la evidencia vino del hacker mismo. En un posteo de Breach Forums, Pom escribió que faltaba incluir un correo antiguo de él, que sí figuraba en el sitio Have I Been Pwned. O sea: advirtió en un post que faltaba su propio mail filtrado
Pompompurin usó varias VPN para conectarse a su cuenta de Gmail
El FBI obtuvo registros de intercambios cripto en Purse.io entre las direcciones IP usadas para conectarse a su cuenta de gmail y de RaidForums
También se usó otra dirección IP de VPN para iniciar sesión en una cuenta de Zoom con su nick
El FBI siguió la ubicación GPS del teléfono de Fitzpatrick de Verizon, lo que permitió inferir que Pompompurin había iniciado sesión en Breach Forums desde su casa.
Queda sobre la mesa la pregunta en torno a qué pasará con toda la información de Breach Forums, actualmente dado de baja. Pompompurin dijo, sobre la posibilidad de la baja de Raid Forums, su sitio anterior:
“Realmente no me molesta. Si algún día me arrestan, tampoco me sorprendería, pero como dije, tengo una persona de confianza que tendrá acceso completo a todo lo necesario para relanzarlo sin mí”
🐛 Una vulnerabilidad permitía ver todo el historial ajeno de ChatGPT
OpenAI parcheó una vulnerabilidad que permitía acceder al historial de ChatGPT de otro usuario. El CEO y fundador de Shockwave, Gal Nagli, informó el problema y tuiteó un walkthrough para entender cómo funcionaba el acceso no autorizado:
El problema es que a pesar del parche, un atacante descubrió un método de omisión que podría usarse contra otra API de ChatGPT dando acceso a los títulos de conversaciones de usuarios.
OpenAI no les pagó a los investigadores porque no tiene un programa de bug bounty.
🧽 Hackean y borran todo el contenido de Linus Tech Tips
Linus Tech Tips, uno de los canales tech de YouTube más grandes del mundo, fue hackeado la semana pasada. La noticia la dio el propio host y figura principal del medio, Linus Gabriel Sebastian, en un paso a paso que explicó de qué manera lograron acceder a sus cuentas para borrar todo su contenido y subir videos sobre cripto.
Hay dos videos que vale la pena ver: el paso a paso que publicó Linus mismo, donde cuenta que básicamente fue un caso de phishing que les robó el session token, es decir, la cookie donde queda alojada la información de logueo y que todos tenemos en nuestros dispositivos (tanto móviles como fijos).
El segundo es uno más específico del canal de seguridad informática PC Security Channel, donde se ve de qué manera les depositaron una variante de RedLine, un conocido stealer que se llevó esa cookie para obtener acceso a todas sus cuentas.
TL;DR, siempre tener los accesos limitados para evitar el escalado de privilegios y nunca creer que no se puede caer en un caso de phishing, incluso en territorio experto.
🕵️♀️ Estados Unidos prohíbe el spyware en agencias federales de Gobierno
La Casa Blanca emitió una orden ejecutiva que prohíbe a las agencias del Gobierno federal utilizar productos comerciales de spyware que representen “un riesgo para la seguridad nacional”.
Esta nueva normativa, sin embargo, tiene letra chica: no aplica a todas las herramientas de cibervigilancia, ya que todavía “podrán usar spyware si el proveedor no se vinculó a ningún caso de abuso”.
En estos casos, se aplicará una etiqueta de "riesgo de seguridad nacional" a los proveedores de este tipo de software par que estén prohibidos en el país.
🔌 Cazador cazado: Gran Bretaña usó DDoS para atrapar ciberdelincuentes
La Agencia Nacional contra el Crimen del Reino Unido realizó una operación con ataques de denegación de servicio (DDoS) creando sitios falsos que pretendían ser para alquilar este tipo de ciberataques.
"Después de que los usuarios se registran, en lugar de darles acceso a las herramientas de ciberdelincuencia, los investigadores recopilan sus datos", explicaron en un comunicado oficial.
Los DDoS constituyen un tipo de ataque que satura la conexión de una red para impedir el acceso a usuarios legítimos.
🍏 Los AirTags de Apple son un arma para la DEA
La DEA -Administración para el Control de Drogas de EE.UU.- weaponizó los AirTags de Apple, dispositivos pensados para rastrear objetos como carteras, valijas y bolsos, para llevar a cabo tareas de vigilancia.
Se trata así del primer caso públicamente conocido en el que se usa como herramienta de espionaje. Aunque, como señala Forbes, "no está claro hasta qué punto el AirTag ayudó a la DEA a descubrir delitos", este dispositivo ya ha sido cuestionado por ser utilizado por ladrones y acosadores.
🔍 Amenaza norcoreana bajo la lupa: Grupo APT43
La firma de ciberseguridad Mandiant presentó un reporte detallado sobre APT43, un grupo de ciberespionaje vinculado a la Oficina General de Reconocimiento (RGB), el principal servicio de inteligencia exterior de Corea del Norte.
Mandiant asegura que el grupo se dedica a la recopilación de inteligencia estratégica en torno a cuestiones de política exterior y seguridad nuclear. Son muy activos y suelen centrarse en operaciones de spear-phishing (direccionado), robo de credenciales y minería cripto.
💧 Filtración de datos en Uruguay
Un usuario subió un set de información que “contendría 15.730 celulares, 15.000 emails y el volcado de 55 casillas con adjuntos sensibles”, según el analista de amenazas Mauro Eldritch (BCA LTD).
El caso sería grave porque incluiría cédulas de identidad de menores de Montevideo Portal, un sitio de noticias que también gestiona medios de pago, facturación electrónica y es ISP.
💾 Hoy es el día internacional del backup: cómo es la regla 3-2-1
Los “día de” son cuestiones más bien comerciales, pero a veces ayudan a recordar cuestiones importantes: hoy le toca al backup. SecOps habló con Kingston para saber el porqué de la fecha y es un poco rara la explicación:
“La elección de esta fecha no es algo aleatorio. Al día siguiente, 1 de abril, se celebra en varios países el llamado April Fools Day, o día de los inocentes. Y que todo sea una broma es lo primero que pensamos cuando nuestros dispositivos fallan”
Como sea, hagan backups de la información qué es irremplazable: la que lleva horas de trabajo, las fotos, videos, ppts, xls, docs, los save files de los juegos. Acá Nico Wolovick explicó la regla 3-2-1, que sale de este libro:
“Al menos 3 copias de los datos, almacenados en 2 tipos diferentes de medios de almacenamiento, y 1 copia debe mantenerse fuera del sitio”
¿Suena exagerado? ESET relevó que un 63% de usuarios de más de 10 países de América Latina perdió su información para siempre.
🔗 Más info
Red Canary publicó su reporte 2023 de amenazas
Nueva vulnerabilidad en AWS
CL0P^ Ransomware renueva su sitio y advierte estafas