El código fuente de GTA V desata el caos y revelan detalles del exploit más sofisticado contra iPhone: "Operation Triangulation"
Rockstar Games sigue enfrentando hackeos posiblemente conectados a Lapsus$, Ubisoft investiga un breach, se conocieron detalles de "Operation Triangulation" y más cripto drainers.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
22>29
dic
⚡ TL;DR
Y un día terminó 2023. Cerca de cerrar el año, este envío podría haber sido un repaso por los hackeos, data breaches y filtraciones más relevantes, pero ese compilado salió como especial la semana pasada (se puede ver en este enlace). Toca revisar con qué despedimos diciembre, un mes que tuvo uno de los casos más resonantes del año, el del hackeo a la Universidad de Buenos Aires (que se recuperó, con parches, bastante rápido).
En el plano local, aparecieron presuntos documentos del Ministerio de Salud de Jujuy y se detectó un defacing en el sitio de Vialidad de la Provincia de Buenos Aires. No se dieron a conocer detecciones de ransomware. Además, el sitio oficial de la Verificación Técnica Vehicular (VTV) tuvo que advertir sobre una enorme cantidad de casos de phishing con un aviso en su home. E, incluso, según advirtió un usuario en Twitter (X), con enlaces patrocinados de Google.
A nivel regional, apareció un actor de amenazas que vende en Telegram lo que serían accesos a “Cencosud Scotiabank” de Chile, donde también se detectó una nueva campaña del troyano bancario Mekotio que apunta al Servicio de Impuestos Interno (SII). También se identificó un sitio falso de Mercado Libre que apunta al robo de información financiera en México, un mercado muy jugoso para los atacantes.
Las noticias pesadas se posicionaron a nivel global: el 24 de diciembre, poco antes de navidad, aparecieron versiones de la filtración del código fuente de GTA V, el segundo videojuego más vendido de la historia. Entre idas y vueltas, desmentidas y pedidos de bajas de links de Take Two Interactive -propietaria de Rockstar-, distintas versiones sobre juegos no lanzados inundaron redes y foros de discusión.
Por otro lado, aparecieron novedades sobre Operation Triangulation, una campaña que explota una serie de zero-days en dispositivos Apple mediante la cual desplegó spyware en miembros de Kaspersky. El caso desató una serie de acusaciones entre el servicio de inteligencia ruso (FSB), Apple y la NSA. Hablé con Fabio Assolini, cabeza de research de Kaspersky Latinoamérica, para conocer los detalles de la investigación.
Por último, este miércoles publiqué el primer reporte de transparencia de Dark News, una suerte de estado de la cuestión de esta publicación junto a la explicación de la financiación del proyecto.
Hasta 2024.
Leer este correo te va a llevar 11 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
👾 Filtran lo que sería el código del GTA V
Durante nochebuena, el pasado lunes, comenzaron a circular versiones sobre una filtración del código fuente de GTA V, el exitoso videojuego propiedad de Rockstar Games. Debido a esto, información sobre GTA online, DLCs potencialmente cancelados, y hasta GTA 6 y Bully 2, dos entregas aún no lanzadas, inundaron las redes sociales y los foros.
El primer archivo comenzó a circular en Discord de modding para Xbox 360, un archivo de 4 GB de código fuente. También advertían sobre 200 GB que incluían assets y modelos 3D.
Más allá de las distintas versiones en torno a qué archivos se filtraron o no, Take Two Interactive, dueña de Rockstar Games (empresa que desarrolla GTA y Red Dead Redemption) estuvo operando y presionando para dar de baja los links que hacían referencia a este presunto código fuente de GTA V.
El grupo de researchers VX-Underground habló con el leaker, quien dijo que tenía acceso al código desde agosto de este año. Diversos analistas y medios especializados aseguraron que no pudieron comprobar la legitimidad del código filtrado, más allá de que pareciera real.
La filtración ocurre a poco más de un año de que un hacker de Lapsus$ filtrara 90 vídeos de gameplay de GTA 6 y amenazara con hacer público su código fuente, así como el de GTA V. Arion Kurtaj, de 18 años, fue condenado la semana pasada a pasar toda su vida en un hospital psiquiátrico.
Los enlaces para descargar el presunto código fuente se compartieron en numerosos canales, Discord, un sitio de la dark web y un canal de Telegram que los hackers utilizaron anteriormente para filtrar datos robados de Rockstar Games.
En una publicación en un canal de filtraciones de Grand Theft Auto en Telegram, el propietario del canal conocido como "Phil" publicó enlaces que pertenecerían al código fuente robado, e incluso subió una captura de pantalla de una de las carpetas.
Lo interesante es que el hacker que subió todo hizo una referencia a Kurtaj, también autor de la filtración de Uber de este año. “#FreeArionKurtaj. Él empezó todo esto y se aseguró de que la filtración se hiciera pública. Siento un inmenso respeto por él. Te extraño, colega”, escribió.
GTA V es el segundo videojuego más vendido del mundo, detrás de Minecraft. La filtración del código presupondría una pieza clave en la escena del “modding”, esto es, la modificación de elementos del juego, autorizados o no por su propietario.
Pero también podría tener un impacto en la comunidad online, uno de los activos más fuertes que tiene Rockstar Games, en tanto aglutina a una enorme cantidad de usuarios desde hace 10 años y se actualiza de manera constante.
Muchas discusiones esta semana tuvieron que ver con el impacto que tendría entre los “cheaters” en PC, ya que las consolas tienen sistemas “anticheat” que prevendrían modificaciones para tomar ventaja en el modo en línea.
▶ Kaspersky da más detalles de Operation Triangulation
Operation Triangulation es una campaña de software espía dirigida a dispositivos iPhone de Apple que utiliza una serie de cuatro vulnerabilidades zero day. Fue descubierta en junio de este año y consiste en una serie de vulnerabilidades encadenadas para crear un exploit “zero-click”, es decir, sin intervención del usuario, que se inician con el envío de un archivo adjunto en el servicio de iMessage.
La concatenación de estas cuatro vulnerabilidades permite a los atacantes esacalar privilegios y realizar ejecución remota de código. Esto fue expuesto por Kaspersky hace unos meses e, incluso, presentado en Ekoparty, en Argentina.
La novedad es que, según expusieron en el Chaos Communication Congress (CCC), uno de estos exploits desarrolló un ataque que no estaba documentado en los chips de Apple y el servicio de inteligencia ruso (FSB) apuntó a que la NSA obtuvo la cooperación de Apple para tener esta información y lanzar el ataque contra Kaspersky.
Pero para entender qué sucedió esta semana es necesario dividir al problema en cuanto a lo que se sabe de la infección por un lado, y qué tienen que ver Apple, el FSB y la NSA en todo esto.
Fabio Assolini, analista de Kaspersky, explicó a Dark News de qué se trata esta operación.
Operation Triangulation es una campaña de APT móvil previamente desconocida dirigida a dispositivos iOS. Los objetivos se infectan mediante exploits de clic cero a través de la plataforma iMessage, y el malware se ejecuta con privilegios root, obteniendo un control total sobre el dispositivo y los datos del usuario.
El funcionamiento de esta campaña se desencadena a través de 4 vulnerabilidades. Siguió el especialista:
Los expertos de Kaspersky ampliaron detalles sobre el implante de spyware utilizado durante los ataques. Apodado TriangleDB, el implante otorga a los atacantes capacidades de vigilancia encubierta. Funciona únicamente en la memoria, lo que garantiza que toda la evidencia del implante se borra al reiniciar el dispositivo. El implante se implementa al aprovechar de 4 vulnerabilidades zero day, todas con el reto de adquirir privilegios de root en el dispositivo iOS objetivo.
Una de las claves es, precisamente, que funcione sobre la memoria del dispositivo. Por esta razón, en su charla de Ekoparty, Assolini recordó la importancia de reiniciar los dispositivos, algo que el usuario promedio casi nunca hace en un teléfono móvil. Cerró el researcher:
En consecuencia, si la víctima reinicia su dispositivo, el atacante debe volver a infectarlo enviando otro iMessage que contiene un archivo malicioso, iniciando así todo el proceso de explotación una vez más. Si no se reinicia, el implante se desinstalará automáticamente después de 30 días, a menos que los atacantes extiendan este período. Al operar como un complejo spyware, TriangleDB realiza una amplia gama de funciones de monitoreo y recopilación de datos.
Kaspersky viene diseccionando desde mediados de año este ataque y acaba de publicar una actualización, debido a la complejidad técnica que presenta poder comprender el tipo de exploit presente en chips de Apple y, sobre todo, cómo entenderlo: si están explicados en algún lugar o se infieren con ingeniería inversa.
"Hemos descubierto y reportado más de treinta zero-days in-the-wild en productos de Adobe, Apple, Google y Microsoft, pero esta es definitivamente la cadena de ataques más sofisticada que hemos visto”, explicaron los investigadores en el reporte.
Este miércoles los investigadores Boris Larin, Leonid Bezvershenko y Georgy Kucherin expusieron en el 37avo CCC más información sobre los exploits y las vulnerabilidades usadas en este ataque, paso a paso. Los detalles técnicos del attack chain se pueden ver en este enlace.
La conclusión del estudio es uno de los aspectos más interesantes y revela la interna entre dos servicios de inteligencia, la NSA de EE.UU. y el FSB ruso, con una big tech en el medio, Apple:
La seguridad del hardware suele basarse en la "seguridad a través de la oscuridad" y es mucho más difícil de someter a ingeniería inversa que el software, pero se trata de un enfoque erróneo: tarde o temprano todos los secretos se revelan. Los sistemas que se basan en la "seguridad a través de la oscuridad" nunca pueden ser realmente seguros.
🌀 Ubisoft investiga un breach
Estas dos semanas pusieron a las empresas de videojuegos entre los titulares de medios especializados en ciberseguridad. Ubisoft, creadora de Assassin’s Creed, Far Cry y Rainbow Six Siege, investiga una posible filtración después de que aparecieran imágenes del motor de desarrollo de la compañía, según declaró la compañía francesa a Bleeping Computer.
"Somos conscientes de un supuesto incidente de seguridad de datos y actualmente estamos investigando. No tenemos más para compartir en este momento", aseguraron al medio especializado.
Fue también VX-Underground el sitio que aportó más información. Según el grupo, un atacante comprometió a la compañía a través de un acceso no autorizado durante 48 horas, hasta que un administrador lo echó de la red.
El actor de amenazas afirmó que obtuvo acceso al servidor Ubisoft SharePoint, Microsoft Teams, Confluence y el panel MongoDB Atlas, desde donde pudo compartir capturas de pantalla de su acceso a algunos de estos servicios.
En 2020, Ubisoft sufrió un ataque de ransomware del grupo Egregor, ya desarticulado, que llegó a publicar partes del código fuente del videojuego de la compañía Watch Dogs.
🪙 Crecen los ataques de phishing a plataformas cripto
Check Point Research detectó un crecimiento en las técnicas de phishing para robar activos de plataformas de criptomonedas (exchanges y wallets). “Estas amenazas son únicas en su tipo, ya que se dirigen a una amplia gama de redes blockchain, desde Ethereum y Binance Smart Chain hasta Polygon, Avalanche y casi otras 20 redes mediante el uso de una técnica de drenaje de wallets criptográficas”, explican, o “crypto-draining”.
Uno de los actores más identificados fue "Angel Drainer", un notorio grupo de phishing involucrado en ciberataques apuntados a criptomonedas. “Este grupo ha sido vinculado a diversas actividades maliciosas, incluido el vaciado de wallets de criptomonedas mediante sofisticados esquemas de phishing”, explicaron desde la compañía de ciberseguridad israelí.
En cuanto al modelo de negocio, explica Check Point:
Estos drainers cobran un porcentaje del monto robado a los ciberdelincuentes a cambio de proporcionar scripts de saqueo de wallets y otros servicios. La persistencia de este tipo de entidades de estafa como servicio (scam-as-a-service) plantea desafíos importantes para el mercado de las criptomonedas y enfatiza la importancia de medidas de seguridad sólidas para proteger a los usuarios y sus activos.
A pesar del cierre de grupos como Inferno Drainer, que se llevó un botín de 80 millones de dólares en criptomonedas, otros grupos como Angel Drainer continúan sus operaciones.
En su posteo, Check Point explica las TTPs, que son “bastante sencillas” en cuanto a que no difieren de las técnicas de phishing más conocidas.
Los servicios para ataques contratados a terceros marcaron una tendencia en 2023, según explicaron expertos de ESET este año en el Foro de Latinoamérica, del cual participó Dark News.
🔗 Más info
Google Chrome arregla tres zero day
El malware Chameleon de Android puede bypassear seguridad biométrica
Mint Mobile reporta un breach de seguridad
Nissan Australia apareció listada en el sitio de Akira Ransomware
El grupo ucraniano BlackJack destruye la infraestructura de un proveedor de agua ruso
Identifican 15 grupos que están trabajando con Irán y Hamás en contra de Israel
LockBit ataca a una red de hospitales alemana e interrumpe los sistemas de tres clínicas
El parlamento de Albania se vio interrumpido por un ciberataque