El pasado 6 de Julio del 2020 el sitio Condusef (  Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros ) se encontro bajo aun ataque en el cual el grupo hacktivista  Anonymous Mexico se audjudica el ataque. Para lo cual el equipo de TPX se dio a la tarea de añadir al sistema de monitoreo, con el fin de llevar un seguimiento a las publicaciones del atacante.

El sistema de monitoreo mantubo una constante busqueda dentro de redes sociales, en los cuales se encuentren los siguientes patrones Condusef, Anonymous, Data leak, México, Hack,Gob…

El primer acto detectado por el sistema fuerón publicaciónes realizas en la plataforma twitter delas cuales las mas destacadas fuerón identificadas a las 3:00 pm

.Holis @CondusefMX
(capaz que ni cuenta se habían dado) pic.twitter.com/rloLWxB7Wb

— Leo García (@leogarciamx) July 6, 2020

 

Así la @CondusefMX en estos momentos tras disminuir la seguridad por su mal llamada “austeridá” 👇🏻 pic.twitter.com/YmepGRiOfS

— Arturo Carral (@arturinik) July 6, 2020

Buscando al atacante

Al pasar de las horas nuestro sistema detectó un match con el 80% de coincidencia detectando el perfil @an0n_mexico, el cual daba por hecho ser el autor del ataque al sitio Condusef, este perfil generaba múltiples publicaciones y amenazas donde menciona instituciones de gobierno y al Banco de México. El dia 9 de Julio se detectó el siguiente tag #OPBanxico Donde el atacante se otorga el crédito de haber tumbado los sistemas de lo que sería Banxico esto duró un lapso de 30 minutos, de lo cual el banco de México al pasar unas horas emite un comunicado donde se expone que esto fue un ataque denominado DDOS.

Los ataques DDOS en sus siglas en inglés distributed denial of service o en español ataques distribuidos de denegación de servicio, donde múltiples dispositivos lanzar una gran cantidad de peticiones a un servicio, con el objetivo de saturar la red y bloquear los servicios a los usuarios.

 

 

En el paso del tiempo no se volvió a saber sobre el delincuente cibernético @an0n_mexico, sin embargo el sistema de monitoreo se mantuvo en caso de un segundo ataque, dado esto tras un par de meses se capturó un nuevo perfil que coincide con el anterior.

#OPMorelos Estamos preparando una ola de datos.
A #GobiernodeMexico nunca le ha importado la seguridad…
Los datos del pueblo están comprometidos y ellos siempre negarán la intrusión como @CondusefMX pic.twitter.com/2eD8IQEWaC

— An0n _Mx (@An0nMex) August 3, 2020

Dentro de esto se mantuvo el seguimiento al perfil donde el día 3 de Agosto  el atacante creo un hilo atacando a #OPMorelos realizando una mención a Condusef, donde menciona:

@CondusefMX No hay tiempo que no llegue ni plazo que no se cumpla, Tic toc Tic toc. Es hora de publicar los datos.

— An0n _Mx (@An0nMex) August 3, 2020

Ante esto comó actuaron las autoridades

Cuando el ataque que realizó @an0n_mexico 3 de Julio las autoridades dieron de baja el sitio de Condusef y el Director Óscar Rosado Jiménez confirmó el ataque y negó que esto afectará a la institución.

“La página web de la Condusef fue atacada y empezaron a salir una serie de mensajes ajenos a la entidad. Ya realizamos un análisis forense y lo único que se nos cambiaron fue el archivo index.html, lo cual habla de que no hay información alguna en absoluto comprometida” – Óscar Rosado Jiménez

Confirmando fuga de información

El sistema de monitoreo al percatarse en una de las publicaciones el atacante tiene a la venta  la base de datos  a 0.2 BTC aproximadamente 42 mil pesos mexicanos, genero una cuenta  tempral (falsa) y realizó el primer contacto mediante la red social twitter solicitando una muestra para corroborar que era la base de datos real, tras la realización de esto el atacante exige un correo para contactar, dentro de este nos envía una estructura de una base de datos.

A todo esto al ser analizado se le responde al atacante, preguntando como podria confirmar la autenticidad de los datos, para lo cual el nos responde:

El atacante con motivo de demostrar la autenticidad, menciona la forma en que este realizó el ataque. Dentro de ello dice haber vulnerado mediante una versión  desactualizada, inluyendo el haber utilizado una falla de SQL injection por lo cual se podría confirmar que el atacante cuenta con las bases de datos que contiene el servidor de Condusef, no obstante  cita “aun en su poder un BackDoor o puerta trasera la cual le mantiene acceso”.

Tras el análisis existe una probabilidad del 95%  de que la información se legitima,dada esta información se espera que las autoridades confirmen dicha fuga de información con base a la información que fueron publicadas.

Ultimá actualización

Nuestro sistema estableció el último contacto, tras un par de días de enviar un correo pidiendo más información sobre la estructura de la base de datos el atacante nos respondió, con un esquema que demuestra esto podría ser legítimo, se logra apreciar tablas como “denuncias” y “fichas”.