Posibles ciberataques a instituciones militares del Estado Peruano

Posibles ciberataques a instituciones militares del Estado Peruano

El 19 de septiembre de 2022, el grupo de hacker denominado “Guacamaya Roja”, publicó un comunicado en el sitio web “hxxps://enlacehacktivista.org/comunicado_guacamaya4.txt” donde señala que han hackeado los sistemas militares y policiales de México, Perú, Salvador, Chile y Colombia. En el caso de Chile, revelan que han hackeado los correos electrónicos del Estado Mayor Conjunto de las Fuerzas Armadas de Chile (EMCO), y que han filtrado aproximadamente 400.000 correos electrónicos de esta entidad. EMCO es el órgano asesor del Ministerio de Defensa de Chile, relacionados con la preparación y empleo de las Fuerzas Armadas, entre otras materias.
La capacidad de la información filtrada es de aproximadamente 350 GB (Gigabytes) y contendría información relacionada a documentos de carácter reservado y de inteligencia militar de los últimos cinco años.
El grupo de hackers indicó que este ciberataque es parte de una operación denominada “Fuerzas  Represivas” y que no solo afectó a Chile, sino que también impactó a la Secretaría de la Defensa Nacional de México, el Comando General de las Fuerzas Militares de Colombia, la Fuerza Armada y la Policía Nacional Civil de El Salvador, el Ejército del Perú (EP) y el Comando Conjunto de las Fuerzas Armadas del Perú (CCFFAA).

Detalles:
El grupo de hacker denominado «Guacamaya Roja», es el grupo de hackers conocido por el acceso a los sistemas de comunicación de la Compañía Guatemalteca de Níquel (CGN) y Pronico, donde filtro información que evidencia las estrategias que usó el Proyecto Minero Fénix para ocultar la contaminación, el espionaje contra líderes comunitarios y periodistas, la compra de voluntades y el
vínculo económico y político que existía entre la empresa minera y las instancias del Estado guatemalteco.
La organización “DDoSecrets (Distributed Denial of Secrets)” y la plataforma “EnlaceHacktivista”, afirman tener en su poder 10 TB (terabytes) de correos electrónicos filtrados por el grupo Guacamaya, que incluye una serie de documentos de organismos militares y policiales de varios países de la región
(El Salvador, Colombia, Perú, México y Chile). Entre los documentos filtrados se encontrarían 400 mil correos del Estado Mayor Conjunto (EMCO) de las Fuerzas Armadas de Chile. Cabe señalar que “DDoSecrets” es conocida por la filtración de documentos policiales estadounidenses “BlueLeaks” en el 2020 y por haber publicado información del gobierno ruso.
La operación “Fuerzas Represivas”, se habría llevado a cabo mediante la explotación de una  vulnerabilidad activa denominada “ProxyShell”, que afecta a los servidores Exchange de Microsoft (en sus versiones 2013, 2016 y 2019) la cual permitiría, por medio de un conjunto de vulnerabilidades de seguridad existentes en el servidor de correo, ejecutar un código remoto y falsificar las solicitudes de acceso por el lado del servidor. Cabe indicar que esta vulnerabilidad era conocida desde el año 2021. Microsoft publicó las respectivas actualizaciones de seguridad en abril y mayo del mismo año.
De acuerdo a la vulnerabilidad detectada en 2021, los actores de amenaza omitieron la necesidad de autenticación debido a un error de emisión de la funcionalidad de seguridad de Microsoft Exchange. De ese modo obtuvieron privilegios que les permitieron ejecutar comandos de manera remota con lo que pudieron generar una descarga masiva de las casillas de emails.
En el caso de Perú, según la publicación web “hxxps://enlacehacktivista.org/index.php?title=Fuerzas_Represivas”, el CCFFAA y el EP podrían haber sido afectados por este ciberataque. Los cibercriminales afirman haber obtenido 35GB de información del dominio “@ccffaa.mil.pe” y 70GB del dominio “@ejercito.mil.pe”, pero a la fecha dicha información no ha sido expuesta en ningún sitio web.
Al respecto, el Equipo de Trabajo de Seguridad Digital de la DINI, viene realizando  las actividades necesarias de colección de información a fin de detectar oportunamente estos ciberataques y/o filtrados de información.
Cabe señalar que la materialización de un posible ciberataque podría permitir a un actor de amenaza la exfiltración de datos, la inoperatividad del servicio, la perdida de datos, entre otras acciones maliciosas; la misma que afectaría la imagen institucional de la entidad, la confidencialidad, la integridad y la disponibilidad de sus activos digitales.

3. Recomendaciones:
Se recomienda maximizar las actividades y medidas de ciberseguridad contempladas en sus directivas internas sobre incidentes de seguridad informática, con el fin de prevenir algún incidente de seguridad que podría afectar los activos críticos digitales de su institución y/o entidad.
Asimismo, los responsables de Tecnologías de la Información y la Comunicación, administradores de servidores y el área de seguridad de la información de las instituciones y entidades públicas o privadas, deben monitorear permanentemente las nuevas vulnerabilidades que podrían afectar sus activos digitales.
Se deben instalar los parches y actualizaciones de seguridad recomendados por los proveedores, crear y
actualizar las reglas en la información sobre seguridad y gestión de eventos (SIEM), generar un monitoreo activo (WAF, FIREWALL, IPS, IDS, etc.), además de actualizar las firmas en relación con la detección de amenazas.
Por último, se debe de informar a este equipo de trabajo DINI sobre indicadores de compromiso (IoC),
Técnicas, Tácticas y Procedimientos (TTP) que puedan detectar en sus sistemas.

 

Fuente: https://cdn.www.gob.pe/uploads/document/file/3689146/Alerta%20integrada%20de%20seguridad%20digital%20N%C2%B0%20260-2022-CNSD.pdf.pdf?v=1663991491


Deja un comentario


Contacto

  • Calle de la Prosa 136, San Borja Lima
  • (01) 225 1313
  • usuarios@osiptel.gob.pe
  • www.osiptel.gob.pe