Generalmente los delincuentes se basan en técnicas de ingeniería social
para engañar a su víctima, pero si atacante puede obtener acceso a un
ISP para instalar tecnologías de
espionaje a nivel del operador,
entonces no se necesita nada más. La
"inyección de red" permite la explotación de cualquier objetivo porque la red es controlada por el atacante.
En el
informe de Citizen Lab se analiza
hardware CS-2000 de CloudShield Technologies, un
"prototipo para la inyección de red y vigilancia específica", que más tarde se transformó en los
"equipos de inyección de red utilizados Hacking Team y FinFisher". Citizen Lab realizó el seguimiento de FinFisher en 25 países diferentes y
Hacking Team en otros 60 países.
"Un número indeterminado de computadoras alrededor del mundo han sido
infectadas con troyanos por los servicios de seguridad del gobierno". Un
informe adicional del Washington Post reveló
que el hardware de CloudShield podría inyectar un sistema objetivo con
254 troyanos y podría intentar infectar el objetivo hasta 65.000 veces.
Eso fue hace cinco años atrás y sólo se trataba de un prototipo. Eso es escalofriante y para reflexionar sobre las capacidades de hoy.
Citizen Lab informó que el dispositivo de
inyección de red Hacking Team
"incluye
una regla por lo que cuando un objetivo carga la página web de
http://login.live.com (no cifrada), se despliega un exploit
INJECT-HTML-JAVA. Este payload avisa al usuario de una actualización de
Java e instala un agente. Además es posible utilizar un exploit para la instalación silenciosa de un Remote Control System (RCS)"..
Otro ataque de inyección de red usado por Hacking Team
"puede comprometer a YouTube (sin cifrar) y cuando el visitante hace clic en el botón de reproducción, inyecta código malicioso en la secuencia de vídeo".
Tanto Google como Microsoft fueron advertidos previamente acerca de las
vulnerabilidades y clasificaron estos ataques como hipotéticos pero
luego de conocidos, ambos se apresuraron a parchear dichas
vulnerabilidades. Después que de Citizen Lab advirtió Google acerca de
los dispositivos que se usan para vulnerar a los usuarios de YouTube, el
22 de julio de 2014, Google dijo que estaba
"acelerando dos cambios". Por su parte Microsoft, uego de ser informado el 6 de agosto, dijo que la empresa
"está forzando automáticamente a todos sus usuarios a utilizar https://login.live.com".
Los usuarios pueden utilizar una extensión como
HTTPS Everywhere
para recibir todo el video y su correo sobre HTTPS. Además, YouTube
ahora está implementando TLS sobre toda la conexión de sus usuarios.
Se podría esperar que este tipo de inyección de red sea desplegado por
la NSA, pero esta capacidad de ataque se vende en el mercado comercial.
Vendedores FinFisher indican que la empresa trabaja con
VUPEN
y que la explotación se realiza sobre el tráfico de red sin cifrar,
contando con el hecho de que los sitios web más populares no cifran todo
su tráfico.
Fuente:
NetworkWorld
