Esta crónica trata de un leak que vio la luz a finales del año 2016:

Via Animal Político [ http://www.animalpolitico.com/2016/11/hackers-agencia-seguridad-espio/ ] y varios amigos me entero de un Leak adicional de “The Shadow Brokers” que supuestamente contiene dominios y nombres de servidores que han sido blanco de “Equation Group” La nota en la prensa habla de un hackeo a servidores de SEDESOL y SEGOB (departamento del interior), ambas dependencias del gobierno mexicano. Y a a Universidad Nacional Autónoma de México

Si bien un ataque a estas dependencias es una nota sumamente jugosa, el enfoque que le ha dado la prensa a dejado de lado a la universidad.

Al realizar una recolección de información encontré una nota adicional de Dinero en Imagen [ http://www.dineroenimagen.com/2016-11-01/79731 ] en la nota siguen haciendo mención de las 3 dependencias, y tenemos servidores involucrados del supuesto ataque:

• sedesol.sedesol.gob.mx
• segob.mx
• ns.unam.mx

Al revisar los nombres mencionados encontramos que si bien los dominios si pertenecen a las dependencias, con la excepción del dominio de la SEGOB (que es su dominio mas que el nombre de un servicio especifico), no existe ningún servicio asignado a los citados nombres.

Mención especial requiere el dominio de la UNAM, dado que el patrón del nombre es similar al utilizado en servidores de nombres se hizo una revisión de variantes comunes, detectando las siguientes:

• ns1.unam.mx
• ns2.unam.mx
• ns3.unam.mx
• ns4.unam.mx

Es necesario resaltar que los dos últimos son los encargados de administrar en si el dominio unam.mx

Dado los errores en la información periodística se procedió a hacer el analizis de las fuentes de mayor nivel, partiendo de una nota de Vice [ http://motherboard.vice.com/read/shadow-brokers-nsa-hackers-dump-more-files ] citada por Animal Político. En ella se encontró tanto referencias a la fuente principal como un conjunto de análisis de la información.

Dicho análisis conducido por Hacking Fantastic [ https://twitter.com/hackerfantastic ] hace una totalizacion de los dominios involucrados en la filtración resultando en 306 nombres de dominio y 352 direcciones ip [ https://twitter.com/hackerfantastic/status/793021277242060801 ], desafortunadamente en su post en pastebin no encontramos ninguna referencia a México. [ http://pastebin.com/RK73grmu ]

Cuando las fuentes secundarias parecían agotadas, Hiram Camarillo de Seekurity me proporciono un nuevo concentrado de información [ http://pastebin.com/SGC4uHgJ ]. Este contiene servidores infectados con APT (Advance Persistence Tread), es decir, con ataques destinados a durar. Por lo que se procedió a realizar un análisis mas detallado de cualquier servidor mexicano en esta lista. Detectan doce .

Uno supuestamente pertenece a la Universidad Nacional Autónoma de México. La cual cuenta con una de las mejores oficinas de control de incidentes de la región [ http://cert.unam.mx/ ]. Y el otro es mas misterioso aun. Ya que supuestamente pertenece a “Fondo de Información y Documentación para la Industria” sin que sea posible hallar mas información sobre el citado fondo.

Las direcciones mexicana involucradas en este análisis son:

• ns2.unam.mx
• mercurio.rtn.net.mx

Las cuales existen actualmente.

Dado el interesante vacío de información sobre el citado fondo y su dominio rtn.net.mx procedí a terminar con el análisis de la fuente primaria para posteriormente regresar con este asunto.

Realice un análisis de el leak oficial encontrando los siguientes dominios mexicanos.

Servidor	IP en el documento	IP Real	A quien pertenece la IP	Comentarios
sedesol.sedesol.gob.mx	148.233.6.164		La dirección en la filtración pertenece a la SEDESOL
segob.gob.mx	200.38.166.2	201.159.134.110	La dirección en la filtración pertenece a INFOTEC, la actual a Kio Networks
ciidet.rtn.net.mx	204.153.24.32	204.153.24.32	La dirección pertenece a INFOTEC
dns1.unam.mx*	132.248.204.1	132.248.204.1	Pertenece a la unam
dns2.unam.mx*	132.248.10.2	132.248.10.2	Pertenece a la UNAM	Supuesto APT, en el análisis obtenido través de seckurity la dirección ip esta mal (132.248.10.2) aunque también pertenece a la unam, En la evidencia se sugiere que tal vez “sea otro servidor”
docs.ccs.net.mx	200.36.53.150	No existe	La ip Pertenece a Uninet (filial de america movil)	Centro de Ciencias de Sinaloa
info.ccs.net.mx	200.36.53.160	No Existe	UNINET
mercurio.rtn.net.mx	204.153.24.14	204.153.24.14	Infotec	Supuesto APT
ns.rtn.net.mx	204.153.24.1	204.153.24.1	INFOTEC
ns.unam.mx	132.248.253.1		UNAM	La dirección no existe así, pero es el patrón correcto
www.pue.uia.mx	192.100.196.7		Universidad Iberoamericana, A.C.	Si bien el dominio no esta activo, la UIA si tuvo esa ip asignada a esa dirección en el pasado.

*Existe un error en la tabla, el cual es hasta cierto punto intencional, si bien los archivos hacen mención a dnsX.unam.mx las direcciones correctas son nsX.unam.mx, se ha decido tomar la dirección correcta, y no la literal.

El saldo del análisis? 3 universidades, 2 secretarias y una oscura dependencia supuestamente hackeada.

Es el momento de regresar a buscar quien es el misterioso dueño del dominio rtn.net.mx.

La suspicacia sobre falta de información sobre el dominio, su función, y propósito solo es superada por los destello de información que si existen. La primera referencia es encontrada en un archivo de Nic.mx sobre un conteo de dominios bajo el ccTLD .mx de febrero de 2000, en el cual la dirección ns.rtn.net.mx es la encargada de ser el “servidor principal de dominio” para 168 dominios, poniendo la dirección en el lugar numero 30, por cantidad de dominios.

La segunda referencia es un subsitio especializado del Instituto Mexicano de Propiedad Intelectual [ http://www.pymetec.gob.mx/s_interes_nac.php ] donde en su apartado de “sitios de interés nacional” dice que en el dominio rtn.net.mx se encuentra disponible un catalogo llamado “Sistema de Información sobre Servicios Tecnológicos”

Nuestra tercer referencia al dominio se encuentra en un subsitio de la embajada estadounidense en Mexico [ https://mx.usembassy.gov/es/nuestra-relacion/otros-organismos-y-agencias-en-mexico/centro-de-asistencia-tecnica-regional-rtac/ ] donde al mencionar a los miembros de una organización llamada Centro de Asistencia Técnica Regional (RTAC) que tiene una relación de colaboración con la embajada, nos informa que el dominio del proveedor de correo de la mayoría de los miembros es rtn.net.mx.

Siendo esa la ultima referencia útil al dominio. Sin embargo, algunos términos sugieren una relación con INFOTEC, Al contrastar esta información se obtuvo la siguiente información:

• El dominio esta registrado a nombre de Infotec.
• Todas las ip`s involucradas en el dominio pertenecen a Infotec.

Es por esto, y por que Infotec es el dueño de la IP involucrada en el supuesto hackeo a SEGOB se procedió a investigar a Infotec.

Según su sitio de internet Infotec nació en 1974 de la siguiente manera:

“Nos establecemos como fideicomiso público del Conacyt, dando servicios de información, documentación y biblioteca, compartiendo información sobre novedades para la modernización de la industria, destacando las patentes, diseño y prototipos en el denominado boletín mensual de noticias técnicas”.

Y desde 1980 administra la “Red Tecnológica Nacional” que se abrevia como RTN,

Al parecer el dominio rtn.net.mx es de hecho el dominio de ese proyecto. Por lo que supuestamente esta red se encuentra comprometida.

Esto no es cosa menor, dado que Infotec es el principal proveedor de Tecnologías de la Información del gobierno mexicano, en TODOS sus niveles.

Entre sus logros históricos esta el sistema Compranet, el sistema tecnológico del IMPI, la plataforma de gobierno municipales digitales, entre otras.

Por otro lado, la mayoría de secretarias federales tienen actualmente personal de INFOTEC asignado a la atención de sus servicios. Siendo destacable la secretaria de hacienda que mantiene multiples servidores en sus instalaciones en Aguascalientes.

 

Crónica por Jesus Christian Cruz Acono.

Escrito Por:

  Jesus Christian Cruz Acono..
  Colaboración para tpx Security
  Compermisos

.