Contacto
Scroll Down

> #GobHacked: Panorama general de sitios gubernamentales hackeados en Mexico._

“Crónica de una constante brecha de seguridad”

Durante la investigación y el análisis en los sitios de las instituciones gubernamentales se han encontrado más de 10,000 “dominios/subdominios” que han sido indexados por google, así como más de  6,000 defaces archivados en zone-h desde el año 2016.

Los ataques públicos son llevados  acabo por “defacers“,  estos se encargan de dejar un mensaje  o firma en la pagina la cual atacan, por lo general son mensajes de activismo o firmas  con el “nick” del atacante.


— talvez te interese: #g0bHacked Puebla.gob.mx Articulo escrito en el año 2017 —

Muchos de estos ataques no son necesariamente con fines malignos, a los “Defacers” les gusta darse a notar, como los activistas “anonymous” para dejar un mensaje o una huella y ser reconocidos por la comunidad.

Lo preocupante es que, existen diferentes tipos de atacantes los cuales aprovechan este tipo de sitios vulnerables. Existen atacantes que usan sitios gubernamentales para lucrar de diferentes formas, desde el uso de la IP  del servidor de gobierno para envio de emails, botnets, así como lo más común durante el año 2018 la minería (criptomonedas), hasta esparcir malware o ransomware.


Sitios Indexados (archivados)

La búsqueda de estos sitios no es complicada y es una búsqueda publica, no se realizo mediante una herramienta que comprometa la integridad de los sitios mencionados.

Google es un motor de búsqueda impresionante, el cual indexa la mayoría de los sitios públicos y una vez indexado en google esta puede ser consultada :

La búsqueda se realiza de esta forma: site:gob.mx intext:hacked

 Zone-H, es un sitio donde los “defacers” tienen un perfil y van archivando los sitios que han hackeado, así mismo este sitio permite una búsqueda de los sitios hackeados:

Puedes consultar la búsqueda en el siguiente enlace: zone-h.org/a..

Sitios hackeados durante el año 2020.

La lista de sitios gubernamentales (México) que se notificaron de la fecha 01 de enero al 14 de abril del presente año  en Zone-H es alarmante y deja un claro panorama de la situación de la ciberseguridad.

Fecha
Defacer
Dominio
Evidencia
2020/04/04 mr.anderson difcuencame.gob.mx Ver
2020/03/30 Simsimi cienciasagricolas.inifap.gob.m… Ver
2020/03/26 PYS404 datanl.gob.mx/galau.htm Ver
2020/03/25 -1 armonizacion.lerdo.gob.mx/l.php Ver
2020/03/25 -1 avion.lerdo.gob.mx/l.php Ver
2020/03/25 -1 incidencias.lerdo.gob.mx/l.php Ver
2020/03/25 -1 ldop.lerdo.gob.mx/l.php Ver
2020/03/25 -1 licencias.lerdo.gob.mx/l.php Ver
2020/03/25 -1 obra.lerdo.gob.mx/l.php Ver
2020/03/25 -1 oecologico.lerdo.gob.mx/l.php Ver
2020/03/25 -1 pruebas.lerdo.gob.mx/l.php Ver
2020/03/25 -1 pruebax.lerdo.gob.mx/l.php Ver
2020/03/25 -1 saf.lerdo.gob.mx/l.php Ver
2020/03/25 -1 siop.lerdo.gob.mx/l.php Ver
2020/03/25 -1 transparencia.lerdo.gob.mx/l.php Ver
2020/03/25 -1 turismo.lerdo.gob.mx/l.php Ver
2020/03/13 ErrOr SquaD ccytet.gob.mx/BD.txt Ver
2020/03/05 IndoXploit aquixtlapuebla.gob.mx Ver
2020/03/03 MR.Donut’s www.buenavista.gob.mx/ohayou.php Ver
2020/02/29 Royal Battler BD cansahcab.gob.mx/Fighter.html Ver
2020/02/06 AnsBix8 hospitalcivil.gob.mx/xc.htm Ver
2020/02/06 AnsBix8 www.comudeleon.gob.mx/2k.htm Ver
2020/02/01 Paraná Cyber Mafia sisi.gob.mx Ver
2020/02/01 Paraná Cyber Mafia infomex.gob.mx Ver
2020/01/28 Inocent pensionissste.gob.mx/portal Ver
2020/01/23 Xpordi seguropopularpuebla.gob.mx//im… Ver
2020/01/10 -1 lerdo.gob.mx/l.php Ver
2020/01/03 0x1998 www.rioblanco.gob.mx/krd.html Ver

Algunos de los sitios durante la búsqueda en zone-h dan a resaltar sitios “importantes de color rojo” cómo :

  • PensiónISSSTE  (El Fondo Nacional de Pensiones de los Trabajadores al Servicio del Estado (PENSIONISSSTE),)
  • Infomex (Plataforma Nacional de Transparencia Gobierno Federal)
  • SISI (Plataforma Nacional de Transparencia Gobierno Federal)

Estos sitios fueron vulnerados y el atacante pudo realizar la modificación de la pagina principal (index),  esto es muy común cuando el atacante tiene control del servidor o malas configuraciones de seguridad,

El deface del INFOMEX/SISI ambos apuntan a ser el mismo servidor, el “atacante” deja un mensaje donde muestra los usuarios del servidor, y la versión del kernel así como la arquitectura, estos comandos son ejecutados desde una “terminal” por lo que quiere decir que el atacante pudo haber tenido control total de este servidor:

Este atacante deja el correo para su contacto, al parecer es un email del “grupo de defacers”.

+++

El deface del PENSIONISSSTE, podemos observar que este fue notificado cómo hackeado dos veces uno en el año 2018, y otra al inicio del año 2020, en ambos eventos el atacante logro modificar el index principal del porta:

Fecha
Defacer
Dominio
OS
Evidencia
2020/01/28 Inocent pensionissste.gob.mx/portal Linux Ver
2018/11/01 Pr0w4r www.pensionissste.gob.mx/porta… Linux Ver

El defacement (desfiguramiento) más reciente, podemos observar el sitio web del atacante “Inocent.cool“, para su contacto:

Se realizo una búsqueda publica de la información de este servidor y se encontraron mas de 20 vulnerabilidades que pueden llegar a ser explotadas. ( Las vulnerabilidades están implícitas en función del software y la versión que dan públicamente, no se hizo uso de algún software de escaneo  y es información publica)

Se ha enviado un email a los atacantes para preguntar si han hecho publica la metodología del “cómo hackearon” el portal, el cual uno de ellos demostró que tiene aún el acceso al servidor vendiendo por 100 USD la metodología de acceso, el cual no fue comprado (fecha del mail 10 Abril 2020).

El mismo atacante revelo otro de sus deface a finales del año 2018:

appsiam.economia.gob.mx/siamweb/ Linux Evidencia

Al parecer el atacante tiene objetivos gubernamentales no solo en México.

+++

Dominios de gobierno con deface activos.

Durante la búsqueda de sitios se han localizado sitios con “deface” activos, es decir aún siguen los mensajes del atacante y estos no se han borrado, esto se localizo gracias el indexado de google:

Dominios con un deface activo.
http://www.desi.economia.gob.mx/oic/index2.cfm
http://sistemapeg.inmujeres.gob.mx/
http://saludchiapas.gob.mx/z.htm
http://www.elmante.gob.mx/
http://autorizacion.olinala.gob.mx/
http://www.ecovehiculos.gob.mx/referencias2.php?referencia_id=208
https://transparencia.chiapadecorzo.gob.mx/new-trans-sapam/
http://leyes-tsjtlaxcala.gob.mx/muestraLey.php?id=119
https://www.cholula.gob.mx/sala-de-prensa/boletines/item/659-con-exito-realiza-san-pedro-cholula-1ra-eco-feria
https://imac.durangocapital.gob.mx/tag/la-historia-de-la-revolucion-en-durango/
http://datanl.gob.mx/galau.htm

Esto da paso a los ciberdelincuentes para obtener acceso a los servidores, teniendo en cuenta que estos ya fueron vulnerados y existe una falla de seguridad que puede ser explotadas para algún fin ilegal.

¿Qué obtienen los ciberdelincuentes de esto ?

Dentro de este ecosistema de “atacantes” la recompensa suele ser muy variada, tienen diferentes perspectivas según el mensaje, pueden ser catalogados como hacktivistas o personas que buscan reconocimiento de la comunidad, así como llamar la atención de el gobierno dañando el contenido del sitio, en algunos casos los delincuentes cibernéticos buscan infectar el equipo y tener una ganancia, vender las bases de datos, convertirlo en un servidor esclavo y ponerlo a minar criptomonedas o uno de los ataques más populares esparcir ransomware para secuestrar el equipo y pedir una recompensa por la recuperación de los datos.

Los atacantes podrían subir algún tipo de archivos malicioso en de los cuales, los usuarios de finales, pueden descargar y comprometer su información, debido al ser una pagina de gobierno esta tiene una credibilidad y el usuario puede ser comprometido.

En la mayoría de los casos que hemos detectado, las instituciones eliminan el daño pero no parchan la vulnerabilidad, mientras no les afecte, esto sucede ya que en la mayoría de las instituciones no existe una cultura de ciber seguridad (o un area en especifico), nadie se preocupa por los datos y privacidad de estos, mientras esto siga a si existirán robos de identidad, ataques de ransomware como se ha estado dando a notar en los últimos años.

Durante la realización este articulo, no se hizo uso de software de escaneo o penetración, todos los resultados son públicos y se encuentran en buscadores como google, shodan.

Colaboración: Rafael Bucio ~ @Bucio

Contacto
Close