Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
▼
abril
(Total:
123
)
- Reino Unido prohíbe vender dispositivos inteligent...
- Infostealers: malware que roba información
- Vulnerabilidades Zero-Day en firewalls Cisco ASA
- Volkswagen hackeada: roban 19.000 documentos del s...
- Vulnerabilidad grave en GNU C Library (glibc) de 2...
- TikTok dejará de pagar a sus usuarios para evitar ...
- Windows 11 empieza a mostrar anuncios en el menú d...
- El malware RedLine Stealer abusa de repos de Githu...
- ¿Qué es el eSIM swapping?
- Ransomware en México
- Crean un perro robot con lanzallamas
- PartedMagic, Rescatux, SystemRescueCD, distros Lin...
- TikTok podrá clonar tu voz con inteligencia artifi...
- Ex director de ciber política de la Casa Blanca ta...
- Nuevo Chromecast 4K con Google TV
- Europa abre una investigación contra TikTok por su...
- El senado de Estados Unidos vota contra TikTok, so...
- El fabricante de tu móvil estará obligado a arregl...
- Procesadores de Intel Core i9 13-14th pierden hast...
- Vulnerabilidad crítica en VirtualBox para Windows
- Estados Unidos ha librado una batalla aérea simula...
- La Policía Europea (Europol) quiere eliminar el ci...
- Bruselas amenaza con suspender la nueva versión de...
- La Audiencia Nacional de España niega a EEUU una e...
- Desarrollan en Japón inteligencia artificial que p...
- ¿Cómo se cuelan las aplicaciones maliciosas en la ...
- Telefónica cierra todas sus centrales de cobre y E...
- Configurar correo electrónico aún más seguro con A...
- Samsung aumenta la jornada laboral a 6 días para “...
- LaLiga pide imputar a directivos de Apple, Google ...
- Windows 11 le daría la espalda a Intel y AMD con s...
- Desmantelada la plataforma de phishing LabHost
- Microsoft Office 2016 y 2019 sin soporte a partir ...
- Blackmagic Camera, la app para Android para grabar...
- Apple permite instalar aplicaciones para iOS como ...
- Filtrados casi 6 millones de archivos con fotos de...
- Versión con malware de Notepad++
- PuTTY corrige una vulnerabilida en el uso de clave...
- 54 mil millones de cookies robadas
- Cómo detectar la autenticidad de fotografías y vídeos
- CISA presenta su sistema de análisis de malware
- Un ciberataque deja al descubierto los datos perso...
- La única persona que se conecta a Steam en la Antá...
- DiskMantler: así es «el destructor de discos duros...
- ¿Qué es el PPPoE (Protocolo Punto a Punto over Eth...
- ¿Qué es POE? ¿Cuáles son las diferencias entre POE...
- IPsec Passthrough y VPN Passthrough
- La gran pregunta del mundo del gaming: ¿Los juegos...
- Cómo cambiar el puerto por defecto 3389 de RDP
- Inteligencia artificial Grok usa protocolo Torrent...
- Cómo instalar programas o reinstalar Windows con W...
- Intel descataloga por sorpresa los chips Core de 1...
- El fabricante de accesorios Targus interrumpe sus ...
- Filtran base con datos personales de 5.1 millones ...
- Hollywood carga contra la piratería y propone una ...
- Google Fotos revela que el Borrador Mágico será un...
- Empleado de Microsoft expone un servidor sin contr...
- Cómo configurar un proxy o VPN para Telegram
- Sierra Space quiere entregar suministros bélicos d...
- El PSG reconoce un ciberataque contra su sistema d...
- Descubiertas varias vulnerabilidades de seguridad ...
- P4x: el hacker justiciero que tumbó internet en Co...
- Amazon consigue cerrar un canal de Telegram que pr...
- Elon Musk cree que la IA superará a la inteligenci...
- Ciberdelincuentes chinos usan la IA generativa par...
- Estos son todos los datos que recopila ChatGPT cad...
- Ofrecen 30 millones de dólares por encontrar explo...
- Se busca director para la Agencia Española de Supe...
- Find My Device de Android permite "Encontrar mi di...
- Google resenta Axion, su primer procesador basado ...
- A la venta por 10.000$ base de datos con de 39,8 m...
- Despedido el CEO de la productora de 'Got Talent' ...
- Spotify presenta AI Playlist: crea listas de repro...
- Elon Musk contra un juez de Brasil por el bloqueo ...
- OpenAI usó videos robados de YouTube para entrenar...
- Apple firma con Shutterstock un acuerdo de entre 2...
- MTA-STS: Strict Transport Security
- Si coges el metro en San Francisco, es gracias a u...
- La app de control parental KidSecurity expone dato...
- Stability AI en crisis tras incumplir pagos a prov...
- Tu número de móvil podría valer 14.000 euros: así ...
- Vulnerabilidad crítica de Magento permite robar da...
- Los atacantes que hackearon el Consorcio Regional ...
- Cómo se forjó el backdoor en xz (librería Linux)
- Cómo saber cuándo pasará el coche de Google Street...
- Dos hermanos se han hecho millonarios desarrolland...
- El Gobierno de España encarga a IBM crear un model...
- Google tiene la solución al gran problema del JPEG...
- Twitter regala verificaciones azules a cuentas que...
- La trampa de los cursos para aprender a programar ...
- Android 15 permitirá tener un espacio privado para...
- Google limitará los bloqueadores de anuncios en Ch...
- Microsoft bloqueará las actualizaciones de Windows...
- YouTube lanza una advertencia a OpenAI: usar sus v...
- Patente busca inyectar anuncios por HDMI cuando ju...
- Apple, cerca de sufrir escasez de chips por culpa ...
- La Guardia Civil detiene a un pasajero que extravi...
- Un estado alemán se aleja de Microsoft y usará Lin...
- Todo lo que necesitas saber sobre las VLANs en redes
- Documentos judiciales revelan que Facebook permiti...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
El misterio sobre Jia Tan, todo lo que se sabe sobre la puerta trasera XZ en Linux
Los ataques a la cadena de suministro de software es una técnica de ataque informático cada vez más común que oculta código malicioso en un programa legítimo ampliamente utilizado y puede adoptar muchas formas.
Este ha sido uno de los más sonados ataques de cadena de suministro (supply chain attack) de los últimos tiempos. Se trata del backdoor añadido en la utilidad de compresión XZ dentro de libzma (CVE-2024-3094). Al principio se pensaba que era un bypass de autenticación de SSH pero análisis posteriores en mayor profundidad demostraron que se trataba de un serio backdoor que permite ejecución remota de comandos o RCE.
El actor "Jia Tan" comenzó a contribuir de forma normal en el proyecto de código abierto a finales de 2021 para ganarse la confianza, hasta que le hicieron mantenedor en septiembre de 2022. Una vez que podía hacer commits con libertad consiguió que en febrero se publicaran las versiones 5.6.0 y 5.6.1 de XZ con su puerta trasera. Por suerte, Andres Freund - un ingeniero de M$ - no tardó en descubrirlo y el 28 de marzo lo notificó de forma privada a Debian y distros@openwall. RedHat asignó el CVE CVE-2024-3094 y Debian hizo un rollback de urgencia 5.6.1+really5.4.5-1.
El atacante empleó una técnica de doble codificación para ocultar el script. En primer lugar, lo comprimió utilizando el algoritmo xz y, posteriormente, lo cifró con una variante del cifrado RC4 implementada en Awk. En el proceso de build se ejecuta la macro m4 que desofusca el script malicioso que añade un fichero .o con el binario del backdoor que se incluirá en el proceso de compilación/linkado.
El backdoor se puede activar conectándose con un certificado SSH con un payload en el valor N de la clave de firma de CA. Este payload debe estar cifrado y firmado con la clave ED448 del atacante.
Los delincuentes informáticos pueden penetrar un servidor de actualización para dejar su malware, o incluso ingresar a la red donde se desarrolló el software para corromperlo desde el código fuente. O, en el caso de un atacante de la cadena de suministro de software como el reciente backdoor en XY Utils, donde los atacante pasaron dos años "ofreciendo ayuda cortésmente".
La puerta trasera en XZ Utils
Durante el fin de semana pasado, la comunidad de ciberseguridad y software de código abierto quedó impactada por la noticia de que una versión experimental relativamente nueva de XZ Utils (una utilidad de compresión integrada en muchas distribuciones populares de Linux) contenía una puerta trasera que habría permitido a los delincuentes informáticos, en posesión de un clave privada específica, conectarse al sistema de puerta trasera y ejecutar sus propios comandos como administrador.
Sólo un trabajo de detective casual llevado a cabo por un solitario ingeniero de Microsoft, Andrés Freund, que había detectado un extraño retraso en la ejecución del protocolo de conexión remota SSH en una versión de la variante de Linux Debian, captó el truco de espionaje antes de que terminara en muchos millones de sistemas en todo el mundo.
Esa puerta trasera de XZ Utils, ahora está claro, fue insertada nada menos que por el principal mantenedor del código de XZ Utils, un desarrollador que se hacía llamar "Jia Tan". A raíz del descubrimiento de la puerta trasera, un misterio se filtra en el mundo de la tecnología: ¿quién es Jia Tan y para quién trabajó realmente él o ella (o muy probablemente ellos)?
Jia Tan aprovechó el enfoque de codificación colaborativo del software de código abierto mediante el cual cualquiera puede sugerir cambios a un programa en repositorios de código como GitHub, donde otros programadores revisan los cambios antes de integrarlos en el software. Un vistazo a la historia documentada de Jia Tan en el mundo de la programación de código abierto revela que aparecieron por primera vez en noviembre de 2021 con el nombre de usuario de GitHub JiaT75, luego hicieron contribuciones a otros proyectos de código abierto usando el nombre Jia Tan, o a veces Jia Cheong Tan, durante más de un año antes de comenzar a enviar cambios a XZ Utils.
En enero de 2023, el código de Jia Tan se estaba integrando en XZ Utils. Durante el próximo año, tomarían en gran medida el control del proyecto de manos de su mantenedor original, Lasse Collin, un cambio impulsado en parte por correos electrónicos molestos enviados a Collin por un puñado de usuarios quejándose de actualizaciones lentas. No está claro si esos usuarios fueron cómplices involuntarios o si realmente trabajaron con Jia Tan para persuadir a Collin de que renunciara al control. Finalmente, Jia Tan agregó su puerta trasera sigilosa a una versión de XZ Utils en febrero de este año.
Ese enfoque inhumanamente paciente, junto con las características técnicas y la sofisticación de la propia puerta trasera, ha llevado a muchos en el mundo de la ciberseguridad a creer que Jia Tan debe, de hecho, ser un identificador operado por atacantes informáticos patrocinados por el Estado (y muy buenos).
"Esta operación de varios años fue muy astuta y la puerta trasera implantada es increíblemente engañosa", dice Costin Raiu, quien hasta el año pasado se desempeñó como investigador principal y jefe del equipo de investigación y análisis global de la firma rusa de ciberseguridad Kaspersky. "Yo diría que se trata de un grupo respaldado por un Estado-nación, uno con objetivos a largo plazo en mente y que permite invertir en la infiltración de varios años en proyectos de código abierto".
En cuanto a qué nación, Raiu nombra a los sospechosos habituales: China, Rusia y Corea del Norte. Dice que todavía es demasiado pronto para conocer al verdadero culpable. "Una cosa está clara. Esto fue más astuto que todos los ataques anteriores a la cadena de suministro de software que he visto".
¿Quién es Jia Tan? Un programador muy privado y muy ocupado
A medida que ha aumentado el escrutinio en torno a Jia Tan desde la revelación de la puerta trasera de XZ Utils el viernes pasado, los investigadores han notado que la persona tiene una seguridad operativa notablemente buena. El reportero de seguridad independiente Brian Krebs escribe que no pudo encontrar ningún rastro cero de la dirección de correo electrónico de Jia Tan fuera de los mensajes que enviaron a otros contribuyentes de código abierto, incluso después de rastrear las bases de datos violadas. Jia Tan también parece haber enrutado todas sus comunicaciones a través de una VPN con una dirección IP de Singapur.
La falta de cualquier otra presencia en línea vinculada a Jia Tan apunta a que la cuenta es una "persona inventada con un solo propósito" e indica cuánta sofisticación, paciencia y pensamiento se puso en el desarrollo de la puerta trasera, dice Will Thomas, instructor de SANS Institute, una empresa de formación en ciberseguridad. La personalidad de Jia Tan ha desaparecido desde que se descubrió la puerta trasera. La cuenta de GitHub de Jia Tan ha sido suspendida,
De hecho, las únicas huellas reales que Jia Tan parece haber dejado atrás fueron sus contribuciones a la comunidad de desarrollo de código abierto, donde fueron un colaborador prolífico: de manera inquietante, el primer cambio de código de Jia Tan fue a la biblioteca de compresión "libarchive", otro componente muy ampliamente utilizado. Ese primer cambio intercambió una función con una alternativa menos segura, potencialmente intentando otro cambio de código malicioso, señala el desarrollador Evan Boehs en su detallada cronología de Jia Tan, aunque el problema ya se solucionó.
En total, Jia Tan realizó 6.000 cambios de código en al menos siete proyectos entre 2021 y febrero de 2024, según Michael Scott, cofundador de la empresa de ciberseguridad NetRise, que anteriormente trabajó en el grupo de guerra cibernética del Cuerpo de Marines bajo el Comando Cibernético de EE.UU.
Determinar todos los efectos ramificados de esos cambios es casi imposible, afirma Scott. Debido a que esos cambios, conocidos como "confirmaciones", a menudo se agrupan en colecciones en un proceso conocido como "aplastamiento de confirmaciones", no siempre es evidente qué cambios exactos realizó Jia Tan. Y la dificultad de rastrear cuál de las muchas versiones de una biblioteca como libarchive terminó en qué software agrega otra capa de ofuscación. "Va a ser un poco complicado tirar de este hilo y tratar de descubrir dónde terminaron todas estas cosas", dice Scott.
Scott señala que, durante todo este tiempo, Jia Tan también estuvo enviando correos electrónicos a otros contribuyentes, escribiendo en un tono "muy conciso, muy seco", pero no hostil, que Scott compara con el resultado de ChatGPT. Jordi Mas, un desarrollador que contribuyó a XZ Utils y había enviado "comentarios" por correo electrónico de Jia Tan, dice en retrospectiva que la cuenta fue a niveles adicionales para generar confianza en la persona.
En última instancia, Scott sostiene que esos tres años de cambios de código y correos electrónicos corteses probablemente no se dedicaron a sabotear múltiples proyectos de software, sino a construir una historia de credibilidad en preparación para el sabotaje de XZ Utils específicamente, y potencialmente de otros proyectos en el futuro. "Simplemente nunca llegó a ese paso porque tuvimos suerte y encontramos sus cosas. Así que eso ya está quemado y tendrá que volver al punto de partida".
Tics técnicos y zonas horarias
A pesar de la personalidad de Jia Tan como un solo individuo, su preparación de años es un sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, argumenta Raiu. También lo son las características técnicas del código malicioso XZ Utils que agregó Jia Tan.
Raiu señala que, a primera vista, el código realmente parece una herramienta de compresión. "Está escrito de una manera muy subversiva", dice. También es una puerta trasera "pasiva", dice Raiu, por lo que no llegaría a un servidor de comando y control que podría ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte a la máquina de destino a través de SSH y se autentique con una clave privada, una generada con una función criptográfica particularmente potente conocida como ED448.
El cuidadoso diseño de la puerta trasera podría ser obra de hackers estadounidenses, señala Raiu, pero sugiere que eso es poco probable, ya que Estados Unidos normalmente no sabotearía proyectos de código abierto y, si lo hiciera, la Agencia de Seguridad Nacional probablemente usaría un sistema criptográfico resistente a los cuánticos. La función ED448 no es. Eso deja a los grupos no estadounidenses con un historial de ataques a la cadena de suministro, sugiere Raiu, como el China’s APT41, North Korea’s Lazarus Group, y Russia’s APT29.
A primera vista, Jia Tan ciertamente parece del este de Asia, o debería parecerlo. La zona horaria de los compromisos de Jia Tan es UTC+8: esa es la zona horaria de China, y está a sólo una hora de la de Corea del Norte. Sin embargo, un análisis realizado por dos investigadores, Rhea Karty y Simon Henniger, sugiere que Jia Tan simplemente pudo haber cambiado la zona horaria de su computadora a UTC+8 antes de cada confirmación. De hecho, varias confirmaciones se realizaron con una computadora configurada en una zona horaria de Europa del Este o del Medio Oriente, tal vez cuando Jia Tan olvidó hacer el cambio.
"Otro indicio de que no son de China es el hecho de que trabajaron en días festivos chinos importantes", dicen Karty y Henniger, estudiantes del Dartmouth College y de la Universidad Técnica de Munich, respectivamente. Señalan que Jia Tan tampoco envió un nuevo código en Navidad o Año Nuevo. Boehs, el desarrollador, añade que gran parte del trabajo comienza a las 9am y termina a las 5pm para las zonas horarias de Europa del Este o Medio Oriente. "El rango de tiempo de los compromisos sugiere que este no fue un proyecto que hicieron fuera del trabajo", dice Boehs.
Aunque eso deja a países como Irán e Israel como posibilidades, la mayoría de las pistas conducen a Rusia, y específicamente al grupo de hackers APT29 de Rusia, sostiene Dave Aitel, ex hacker de la NSA y fundador de la empresa de ciberseguridad Immunity.
Aitel señala que APT29, que se cree que trabaja para la agencia de inteligencia extranjera de Rusia, conocida como SVR, tiene una reputación de atención técnica que pocos grupos de hackers tienen. APT29 también llevó a cabo el compromiso de Solar Winds, quizás el ataque a la cadena de suministro de software más hábilmente coordinado y eficaz de la historia. En comparación, esa operación coincide mucho más con el estilo de la puerta trasera de XZ Utils que con los ataques más crudos a la cadena de suministro de APT41 o Lazarus.
"Es muy posible que se trate de otra persona. Pero, si estás buscando los ataques a la cadena de suministro más sofisticados del planeta, esos serán nuestros queridos amigos en el SVR".
Los investigadores de seguridad coinciden, al menos, en que es poco probable que Jia Tan sea una persona real, o incluso una persona que trabaje sola. En cambio, parece claro que la persona era la encarnación en línea de una nueva táctica de una organización nueva y bien organizada, una táctica que casi funcionó. Eso significa que deberíamos esperar ver a Jia Tan regresar con otros nombres: contribuyentes aparentemente educados y entusiastas a proyectos de código abierto, que ocultan las intenciones secretas de un gobierno en sus compromisos de código.
Fuente: Wired
Vía:
https://blog.segu-info.com.ar/2024/04/la-puerta-trasera-xz-lo-que-se-sabe.html
https://www.hackplayers.com/2024/04/jugando-con-el-backdoor-de-xz-utils.html
1 comentarios :
tenía rato que no leía algo aquí!.
Gracias.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.