Hackeada la empresa Indra, responsable de la tecnología informática de las elecciones del 21-D
Queridas colegas y simpatizantes del hacktivismo y la (in)seguridad informática:
¡Esta vez sí que os hemos dejado con el culo torcido! Y es que hemos penetrado en el sistema mega-giga-tera-peta-hexa seguro de Microsoft. O no, ¡esperad! Que ya hace un tiempo fue comprometida su plataforma ofimática Office 365, algo que dio mucho que hablar. Y hace tan sólo un año, su plataforma cloud conocida como Azure. ¡¡La misma que ha vuelto a sufrir una vulnerabilidad en junio de este mismo año y a la que ahora hemos accedido nosotras!!
Concretamente, hemos penetrado en una cuenta de Indra Company que se encontraba en la nube de Microsoft. Y efectivamente, hemos permanecido 20 días dentro con derechos de administradoras: analizándola, configurando y desconfigurándola, utilizando sus redes corporativas y aplicaciones, generando algún que otro VPS... Si este es el panorama en Microsoft, para qué vamos a entrar a hablar de la seguridad informática del país en general. Absolutamente nefasta. Por eso nos entretenemos llevando a cabo tantas auditorías gratuitas :-D Como no nos cansaremos nunca de repetir y denunciar: la seguridad es el unicornio rosa del entorno binario.
En 2014, Indra contrató la plataforma de servidores en la nube de la gigante empresa de Bill Gates para aumentar la capacidad de gestión de sus servicios convirtiéndose en uno de sus socios más importantes. Y hoy, aunque con cautela, reconoce que uno de sus espacios virtuales en la nube ha sido comprometido.
La multinacional tecnológica española encargada de la comunicación del recuento de votos en tantas convocatorias electorales, tanto aquí como en otros países, pertenece al índice del IBEX 35 desde 1999, seis años después de su privatización con Felipe González al frente del gobierno de España. Su función en esta materia, una vez contabilizadas las papeletas de forma manual delante de interventores y apoderados de los distintos partidos tras el cierre de los colegios electorales, y elaboradas y comunicadas las actas, consiste en digitalizar los resultados. Por este motivo es tan importante la revisión de los resultados comunicados, actas en manos, por una comisión independiente.
Por este, y porque según los resultados de las investigaciones alrededor de la operación Lezo llevadas a cabo por la Guardia Civil Indra ha desviado 600.000 euros públicos al PP, el partido actualmente al mando del gobierno central. ¿Qué fiabilidad puede tener una de las principales responsables de la financiación ilegal de la organización criminal al mando del Estado español? ¿No le basta al PP con controlar la libertad de expresión y de pensamiento por medio de mordazas que tienen que hacerse también cargo de los resultados electorales ¿Y luego pretenden hablar de dictaduras y golpes de estado? ¿Con qué autoridad? ¿Con qué credibilidad?
Indra es, además, la principal contratista de la industria armamentística nacional y un nido de puertas giratorias del que pueden destacarse, entre otros, los casos de Pablo González Romero, primogénito de Felipe González; Josep Pujol Ferrusola, hijo de Jordi Pujol; y Pablo Gonźalez, hermano de Ignacio Gonźalez. Pero mejor que le echéis un ojo vosotras mismas al informe publicado por La Marea sobre este asunto.
¿Pero dónde hemos penetrado exactamente?
En iParticipa. Buceando en los servidores y aplicaciones de Indra conectados a la Red (que no todos lo están) nos llamó la atención el concepto de Cloud que se explica en la plataforma iParticipa (más información aquí y aquí), un proyecto en desarrollo que utilizaba Azure de Microsoft como centro de operaciones, diseño y programación de la idea.
Azure e iParticipa eran, además, dos escenarios con los que poder jugar al “Red Team” y darle un poco de caña a la gente de los “Blue Team” de respuesta inmediata ante ataques cibernéticos (guiño guiño) de los que tanto gusta alardear hoy a la señá Cospe y a Mariano. Nos armamos de paciencia y unas cajas de Coronas, y abordamos una auditoría a la corruptísima empresa del IBEX35. Y todo esto, por medio de un nuevo fichaje que, como la anterior becaria ascendida a redactora que escribe estas líneas, apunta maneras ;-)
¿Y por qué iParticipa?
La explicación sencilla es porque en una búsqueda somera detectamos una “vinculación” entre elecciones (electoral processes) e iParticipa, y porque era una plataforma concebida para ofrecer a organismos, administraciones y empresas (gobiernos incluidos) un modelo de innovación con el concepto Cloud. Y además era la menos obvia, ya que parecía algo un poco dejado (y por lo tanto, con menos vigiliancia). Nuestra intención de origen era demostar que la seguridad de los sistemas de Indra adolece de los mismos defectos que otros, y que todos pueden ser vulnerados.
Que todo estuviera en un servicio externo cuyo proveedor era el imperio Gates nos complicaba un poco la acción a emprender debido al sistema de logueo. No era sencillo, pero existían vectores que poder explotar...
¡Al lío!
Un scaneo simple muestra algunos dominios interesantes:
https://azure.microsoft.com/en-us/status/
http://track.azure.com/
http://portal.azure.com/
https://azureplatform.azurewebsites.net/en-us/
http://azureinteractives.azurewebsites.net/
https://passwordreset.microsoftonline.com
La alerta temprana del CERTSI sobre Active Directory de Azure en junio de 2017 aquí explicada, constituía también otro vector a tener en cuenta. ¿Habría updateado Indra a la versión que corregía la CVE-2017-8613?
Una búsqueda con los términos “Powered by Indra” también nos dio orientación sobre los trabajos realizados hasta la fecha (Nota: después de tomar conciencia de nuestra entrada en iParticipa, Indra ha eliminado la mayoría de aplicaciones y conexiones a la plataforma, siendo sólo posible a la hora de publicar esto localizar algunas en la caché de Google).
The Harvester daba información sobre usuarios. Sabemos que Microsoft proporciona un dominio "onmicrosoft.com" en el formato [email protected] cuando se realiza una suscripción a sus aplicaciones online debido a la arquitectura de Share Point Online, luego vamos a tener una cuenta similar a:
iparticipa@<grupo_de_usuarios>.onmicrosoft.com
o
<usuario>@indra.es
Indra:
onmicrosoft:
El usuario random de la empresa "consultado" (y que vamos a mantener en nuestras alcantarillas) “respondió” facilitando el grupo de usuarios de Azure en la "casa" de iParticipa y que corresponde a indraadmin. La política de contraseñas de Azure venía a decirnos que tenía que ser alguna con 3-4 juegos de caracteres y mayor de 8:
#Ip4t1c1p4
@iPart1cipazure
4zur3@1p4rt1C1pA
...etc.
Ganado el acceso, quedaba explorar qué teníamos de valor en el pisito okupado.
1 - Vimos que no estaba muy actualizada y con errores graves de seguridad:
2 - Que teníamos acceso a la consola interna de Azure:
3 - Encontramos y descargamos los usuarios de Office 365:
4 - Gestionamos el almacenamiento en Azure:
Entonces, para que quede claro: ¿qué podíamos hacer?
Podíamos configurar servidores virtuales (MV/VPS) en diferentes sistemas operativos y utilizarlos como base para lanzar mailbombing, subir malware, webs para phising, etc.
En un princpio decidimos montar unas cuantas máquinas virtuales pensando que los administradores globales de Indra (grupo indraadmin) estarían pendientes de los logs y nos echarían pronto de allí. Probamos con nombres aleatorios y con distintas opciones: consola interna, ssh, ftp... y comenzamos a dar pistas en redes sociales jugando con la vigencia de los mensajes.
Al final montamos un VPS/MV con una distribución de Kali Linux con la que podíamos hacer pentesting desde IPs “confiables” y que utilizamos para testear distintos objetivos (entre ellos algunas de las auditorias realizadas esa quincena larga como la del caso Nagore). Por poder, hubiéramos podido hasta hacer diabluras que estarían firmadas por Microsoft e Indra... ¡Nosotras y a saber quiénes más!
Otra cosa que también resulta sencilla es utilizar la “seguridad” que ofrece la marca Azure de Microsoft para poner en un dominio azurwebsite una web clonada que simulara el logueo en cualquier aplicación conocida; un perfecto phishing en un host nada menos que de Microsoft. Por ejemplo, generando un acceso web de Apple, con su misma estética, solicitando login y contraseña. Y es que en la url aparece “azurewebsites.net”, lo que da confianza a la usuaria aunque lo que vaya delante no lo entienda o no sepa lo que es. Con esto se pueden conseguir todo tipo de datos como tarjetas de crédito, números de cuentas bancarias, usuarios y contraseñas de otras aplicaciones, números de teléfonos, etc. Por ejemplo se podría crear http://paypalscurity.azurewebsites.net, que con unas mínimas diferencias en el inicio de la url llevaría a la confusión de las receptoras del enlace desde una máquina confiable y segura a todas luces. ¿No se os ocurren otras posibilidades...?
http://movistar . azurewebsites.net/ http://bankia-seguridad . azurewebsites.net/ http://netflix-accounts . azurewebsites.net/ https://bbva-control . azurewebsites.net/ http://verifiedbyvisa-security . azurewebsites.net/
Ejemplo de acceso web de Apple:
Pero nuestras acciones nunca se basan en el engaño y utilización de técnicas para dañar a usuarias de Internet, así que en lugar de esas web montamos estas otras más inocentes:
Y no, no es un montaje: es un WordPress en la nube de Indra :-P
Concretando...
Indra no se percató de nuestra presencia en su Azure hasta que no recibió el oportuno soplo desde Twitter con el que contábamos, algo intencionado para demostrar ya de paso que la red social está más pinchada que el brazo de un yonki: hicimos comentarios por DMs sobre el tema, y esperamos a ver cómo se ponía en marcha la maquinaria en menos de un periquete. ¿El resultado? Tirar abajo toda su plataforma de iParticipa que entre otros desarrollos lucían así (y hoy ya no es accesible).
Esta “solución” era casi tan innecesaria como algunas de las obviedades de su comunicado, como por ejemplo la de que “la máquina virtual afectada no daba servicio a ningún cliente”. ¡Pues claro que no, imbéciles! La máquina la montamos NOSOTRAS y sólo nos lo daba a NOSOTRAS, que podíamos usarla como nos viniera en gana y así lo hicimos. Pero quienes nos conocéis, ya sabéis que casi nunca dañamos nada salvo la fama y el honor de quienes ya no lo tienen :-P
El vector de ataque más débil, siempre siempre, es el ser humano. La ingeniería social, el phishing, las contraseñas deducibles o por qué no, los abusos laborales o la precariedad ;-) son las principales minas de accesos virtuales que se convierten en las peores vulnerabilidades de los sistemas. Esto es algo que tendrían que tener en cuenta los analistas de inteligencia, pero suelen demostrarnos que precisamente de inteligencia tienen, más bien, la justita.
