Elecciones en EE.UU 2020: la amenaza iraní

Elecciones en EE.UU

Elecciones en EE.UU

Las elecciones en EE.UU dieron el motivo para este aviso conjunto de ciberseguridad fue coautor de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI).

CISA y el FBI están al tanto de un actor iraní de amenaza persistente avanzada (APT) que tiene como objetivo los sitios web de los estados de EE. UU. CISA y el FBI evaluar este actor es responsable de la difusión masiva de mensajes de correo electrónico intimidación a los votantes a los ciudadanos de Estados Unidos y la difusión de la desinformación relacionada con las elecciones de Estados Unidos en 2020.

A mediados de octubre 1  (Mensaje de referencia FBI FLASH ME-000138-TT , diseminada 29 de de octubre de , 2020). Una evaluación adicional realizada por CISA y el FBI ha identificado que el objetivo de los sitios web de elecciones estatales de EE. UU.

Fue un esfuerzo intencional para influir e interferir en las elecciones presidenciales de EE.

Haga clic aquí para obtener una versión en PDF de este informe.

  • 1.Esta desinformación (en adelante, “el video de propaganda”) se presentó en forma de un video que pretendía atribuir erróneamente la actividad a un actor nacional estadounidense e implica que las personas podrían emitir votos fraudulentos, incluso desde el extranjero. https://www.odni.gov/index.php/newsroom/press-releases/item/2162-dni-john-ratcliffe-s-remarks-at-press-conference-on-election-security.

Detalles técnicos

El análisis de CISA y el FBI indica que este actor escaneó sitios web estatales, para incluir sitios web de elecciones estatales, entre el 20 y el 28 de septiembre de 2020, con el escáner de vulnerabilidades Acunetix ( Active Scanning: Vulnerability Scanning [ T1595.002 ]). Acunetix es un escáner web legítimo y ampliamente utilizado, que ha sido utilizado por los actores de amenazas con fines nefastos.

Las organizaciones que no utilizan Acunetix con regularidad deben controlar sus registros para detectar cualquier actividad del programa que se origine en las direcciones IP proporcionadas en este aviso y considerarlo como un comportamiento de reconocimiento malicioso.

Además, CISA y el FBI observaron que este actor intentaba explotar sitios web para obtener copias de los datos de registro de votantes entre el 29 de septiembre y el 17 de octubre de 2020 (Aprovechar la aplicación públi-ca [ T1190 ]).

Esto incluye el intento de explotación de vulnerabilidades conocidas, cruce de directorios, inyección de lenguaje de consulta estructurado (SQL), cargas de shell web y aprovechamiento de fallas únicas en sitios web.

CISA y el FBI pueden confirmar que el actor obtuvo con éxito los datos de registro de votantes en al menos un estado.

El acceso a los datos del registro de votantes parecía involucrar el abuso de configuraciones incorrectas del sitio web y un proceso programado que utiliza la herramienta cURL para recorrer los registros de votantes.

Una revisión de los registros que se copiaron y obtuvieron revela que la información fue utilizada en el video de propaganda.

El análisis de CISA y del FBI de la actividad identificada contra los sitios web estatales, incluidos los sitios web electorales estatales, a los que se hace referencia en este producto no puede atribuirse por completo a este actor iraní de APT.

El análisis del FBI de la actividad del actor de APT iraní ha identificado como objetivos de la infraestructura de las elecciones estadounidenses (Infraestructura de compromi-so [ T1584 ]) dentro de un marco de tiempo similar, el uso de direcciones IP y rangos de IP, incluidos numerosos nodos de salida del servicio de red privada virtual (VPN), que se correlacionan a este actor de la APT de Irán ( Recopilar información sobre el anfitrión de la víctima [ T1592 )]) y otra información de investigación.

Reconocimiento

El FBI tiene información que indica que este actor radicado en Irán intentó acceder a documentos PDF de los sitios estatales de votantes mediante consultas avanzadas de código abierto ( Buscar dominios y sitios web abiertos [ T1593 ]). El actor demostró interés en los archivos PDF alojados en URL con las palabras “voto” o “votante” y “registro”.

El FBI identificó consultas de URL para sitios relacionados con elecciones

.

El FBI también tiene información que indica que el actor investigó la siguiente información en un supuesto intento de promover sus esfuerzos para investigar y explotar los sitios web de elecciones estatales.

  • Explotación de YOURLS
  • Eludir el firewall de aplicaciones web ModSecurity
  • Detección de firewalls de aplicaciones web
  • Herramienta SQLmap

Escaneo Acunetix

El análisis de CISA identificó el escaneo de múltiples entidades por la plataforma de escaneo de vulnerabilidades web de Acunetix entre el 20 y el 28 de septiembre de 2020 ( Escaneo activo: Escaneo de vulnerabilidades [ T1595.002 ]).

El actor usó el escáner para intentar la inyección de SQL en varios campos /registration/registration/detailscon los códigos de estado 404 o 500:

/registration/registration/details?addresscity=-1 or 3*2<(0+5+513-513) -- &addressstreet1=xxxxx&btnbeginregistration=begin voter registration&btnnextelectionworkerinfo=next&btnnextpersonalinfo=next&btnnextresdetails=next&btnnextvoterinformation=next&btnsubmit=submit&chkageverno=on&chkageveryes=on&chkcitizenno=on&chkcitizenyes=on&chkdisabledvoter=on&chkelectionworker=on&chkresprivate=1&chkstatecancel=on&dlnumber=1&dob=xxxx/x/x&email=sample@email.tst&firstname=xxxxx&gender=radio&hdnaddresscity=&hdngender=&last4ssn=xxxxx&lastname=xxxxxinjjeuee&mailaddresscountry=sample@xxx.xxx&mailaddressline1=sample@email.tst&mailaddressline2=sample@xxx.xxx&mailaddressline3=sample@xxx.xxx&mailaddressstate=aa&mailaddresszip=sample@xxxx.xxx&mailaddresszipex=sample@xxx.xxx&middlename=xxxxx&overseas=1&partycode=a&phoneno1=xxx-xxx-xxxx&phoneno2=xxx-xxx-xxxx&radio=consent&statecancelcity=xxxxxxx&statecancelcountry=usa&statecancelstate=XXaa&statecancelzip=xxxxx&statecancelzipext=xxxxx&suffixname=esq&txtmailaddresscity=sample@xxx.xxx

Peticiones

El actor utilizó las siguientes solicitudes asociadas con esta actividad de escaneo.

2020-09-26 13:12:56 x.x.x.x GET /x/x v[$acunetix]=1 443 - x.x.x.x Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 200 0 0 0

2020-09-26 13:13:19 X.X.x.x GET /x/x voterid[$acunetix]=1 443 - x.x.x.x Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 200 0 0 1375

2020-09-26 13:13:18 .X.x.x GET /x/x voterid=;print(md5(acunetix_wvs_security_test)); 443 - X.X.x.x 

Agentes de usuario observados

El CISA y el FBI han observado los siguientes agentes de usuario asociados con esta actividad de exploración.

Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 500 0 0 0 

Mozilla/5.0+(X11;+U;+Linux+x86_64;+en-US;+rv:1.9b4)+Gecko/2008031318+Firefox/3.0b4 

Mozilla/5.0+(X11;+U;+Linux+i686;+en-US;+rv:1.8.1.17)+Gecko/20080922+Ubuntu/7.10+(gutsy)+Firefox/2.0.0.17

Exfiltración

Obtención de datos de registro de votantes

Tras la revisión de los registros de acceso al servidor web, los analistas de CISA, en coordinación con el FBI, encontraron instancias de agentes de usuario de cURL y FDM que enviaban solicitudes GET a un recurso web asociado con datos de registro de votantes. La actividad ocurrió entre el 29 de septiembre y el 17 de octubre de 2020. La actividad con guión sospechosa envió varios cientos de miles de consultas iterando a través de los valores de identificación de votantes y obteniendo resultados con diferentes niveles de éxito [ Recopilar información de identidad de la víctima ( T1589 )]. Una muestra de los registros identificados por el FBI revela que coinciden con la información del video propagandístico mencionado anteriormente.
Peticiones

El actor utilizó las siguientes solicitudes.

2020-10-17 13:07:51 x.x.x.x GET /x/x voterid=XXXX1 443 - x.x.x.x curl/7.55.1 - 200 0 0 1406

2020-10-17 13:07:55 x.x.x.x GET /x/x voterid=XXXX2 443 - x.x.x.x curl/7.55.1 - 200 0 0 1390

2020-10-17 13:07:58 x.x.x.x GET /x/x voterid=XXXX3 443 - x.x.x.x curl/7.55.1 - 200 0 0 1625

2020-10-17 13:08:00 x.x.x.x GET /x/x voterid=XXXX4 443 - x.x.x.x curl/7.55.1 - 200 0 0 1390

Nota: incrementar los voterid valores encs_uri_query field

Agentes de usuario

CISA y el FBI han observado los siguientes agentes de usuario.

FDM+3.x

curl/7.55.1

Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 500 0 0 0
Mozilla/5.0+(X11;+U;+Linux+x86_64;+en-US;+rv:1.9b4)+Gecko/2008031318+Firefox/3.0b4

Consulte la figura 1 a continuación para ver una cronología de la actividad maliciosa del actor.

Figura 1: Descripción general de la actividad maliciosa

Mitigaciones

Detección

Escaneo Acunetix

Las organizaciones pueden identificar la actividad de escaneo de Acunetix utilizando las siguientes palabras clave mientras realizan análisis de registros.

  • $acunetix
  • acunetix_wvs_security_test

Indicadores de compromiso de los sistemas de las elecciones

Para obtener una copia descargable de los IOC, consulte AA20-304A.stix .

Descargo de responsabilidad: muchas de las direcciones IP que se incluyen a continuación probablemente correspondan a servicios VPN disponibles públicamente, que pueden ser utilizados por personas de todo el mundo. 

Aunque esto crea la posibilidad de falsos positivos, cualquier actividad enumerada debe justificar una mayor investigación. 

Es probable que el actor utilice varias direcciones IP y servicios VPN.

Las siguientes IP se han asociado con esta actividad de amanza a las elecciones

  • 102.129.239 [.] 185 (Escaneo Acunetix)
  • 143.244.38 [.] 60 (Acunetix Scanning y solicitudes cURL)
  • 45.139.49 [.] 228 (Escaneo Acunetix)
  • 156.146.54 [.] 90 (Escaneo Acunetix)
  • 109.202.111 [.] 236 (solicitudes de cURL)
  • 185.77.248 [.] 17 (solicitudes cURL)
  • 217.138.211 [.] 249 (solicitudes de cURL)
  • 217.146.82 [.] 207 (solicitudes cURL)
  • 37.235.103 [.] 85 (solicitudes de cURL)
  • 37.235.98 [.] 64 (solicitudes cURL)
  • 70.32.5 [.] 96 (solicitudes de cURL)
  • 70.32.6 [.] 20 (solicitudes cURL)
  • 70.32.6 [.] 8 (solicitudes cURL)
  • 70.32.6 [.] 97 (solicitudes de cURL)
  • 70.32.6 [.] 98 (solicitudes de cURL)
  • 77.243.191 [.] 21 (solicitudes cURL y enumeración / iteración FDM + 3.x (Free Download Manager v3))
  • 92.223.89 [.] 73 (solicitudes de cURL)

CISA y el FBI saben que este actor radicado en Irán ha utilizado los siguientes COI. Estas direcciones IP facilitaron la difusión masiva de mensajes de correo electrónico de intimidación de votantes el 20 de octubre de 2020.

  • 195.181.170 [.] 244 (Observado el 30 de septiembre y el 20 de octubre de 2020)
  • 102.129.239 [.] 185 (Observado el 30 de septiembre de 2020)
  • 104.206.13 [.] 27 (Observado el 30 de septiembre de 2020)
  • 154.16.93 [.] 125 (Observado el 30 de septiembre de 2020)
  • 185.191.207 [.] 169 (Observado el 30 de septiembre de 2020)
  • 185.191.207 [.] 52 (Observado el 30 de septiembre de 2020)
  • 194.127.172 [.] 98 (Observado el 30 de septiembre de 2020)
  • 194.35.233 [.] 83 (Observado el 30 de septiembre de 2020)
  • 198.147.23 [.] 147 (Observado el 30 de septiembre de 2020)
  • 198.16.66 [.] 139 (Observado el 30 de septiembre de 2020)
  • 212.102.45 [.] 3 (Observado el 30 de septiembre de 2020)
  • 212.102.45 [.] 58 (Observado el 30 de septiembre de 2020)
  • 31.168.98 [.] 73 (Observado el 30 de septiembre de 2020)
  • 37.120.204 [.] 156 (Observado el 30 de septiembre de 2020)
  • 5.160.253 [.] 50 (Observado el 30 de septiembre de 2020)
  • 5.253.204 [.] 74 (Observado el 30 de septiembre de 2020)
  • 64.44.81 [.] 68 (Observado el 30 de septiembre de 2020)
  • 84.17.45 [.] 218 (Observado el 30 de septiembre de 2020)
  • 89.187.182 [.] 106 (Observado el 30 de septiembre de 2020)
  • 89.187.182 [.] 111 (Observado el 30 de septiembre de 2020)
  • 89.34.98 [.] 114 (Observado el 30 de septiembre de 2020)
  • 89.44.201 [.] 211 (Observado el 30 de septiembre de 2020)

Recomendaciones

La siguiente lista proporciona estrategias recomendadas de mitigación de autoprotección contra las técnicas cibernéticas utilizadas por los actores de amenazas persistentes avanzadas:

  • Valide la entrada como método para desinfectar la entrada que no es de confianza enviada por los usuarios de la aplicación web.
  • La validación de la entrada puede reducir significativamente la probabilidad de una explotación exitosa al brindar protección contra fallas de seguridad en las aplicaciones web.
  • Los tipos de ataques posiblemente prevenidos incluyen inyección SQL, Cross Site Scripting (XSS) e inyección de comandos.
  • Audite su red para los sistemas que utilizan el Protocolo de escritorio remoto (RDP) y otros servicios conectados a Internet. Deshabilite los servicios innecesarios e instale los parches disponibles para los servicios en uso.
  • Los usuarios pueden necesitar trabajar con sus proveedores de tecnología para confirmar que los parches no afectarán los procesos del sistema de las elecciones.
  • Verifique todas las instancias de máquinas virtuales basadas en la nube con una IP pública y evite el uso de puertos RDP abiertos, a menos que exista una necesidad válida.
  • Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Habilite requisitos estrictos de contraseñas y políticas de bloqueo de cuentas para defenderse de los ataques de fuerza bruta.
  • Aplique la autenticación multifactor, cuando sea posible.
  • Mantenga una buena estrategia de copia de seguridad de la información haciendo una copia de seguridad de todos los datos críticos y la información de configuración del sistema en un dispositivo separado.
  • Almacene las copias de seguridad sin conexión, verifique su integridad y verifique el proceso de restauración.
  • Habilite el registro y asegúrese de que los mecanismos de registro capturen los inicios de sesión RDP. Mantenga registros durante un mínimo de 90 días y revíselos periódicamente para detectar intentos de intrusión.
  • Al crear máquinas virtuales basadas en la nube, siga las mejores prácticas del proveedor de la nube para el acceso remoto.
  • Asegúrese de que los terceros que requieren acceso RDP sigan las políticas internas de acceso remoto.
  • Minimice la exposición de la red para todos los dispositivos del sistema de control. Siempre que sea posible, los dispositivos críticos no deben tener habilitado RDP.
  • Regular y limitar las conexiones RDP externas a internas. Cuando se requiera acceso externo a recursos internos, utilice métodos seguros, como VPN. Sin embargo, reconocer que la seguridad de las VPN coincide con la seguridad de los dispositivos conectados.
  • Utilice las funciones de seguridad proporcionadas por las plataformas de redes sociales; use contraseñas seguras , cambie las contraseñas con frecuencia y use una contraseña diferente para cada cuenta de redes sociales.
  • Consulte el Consejo de CISA sobre las mejores prácticas para asegurar los sistemas electorales para obtener más información.

Mitigaciones generales

Mantenga las aplicaciones y los sistemas actualizados y parcheados

Aplique todas las actualizaciones y parches de software disponibles y automatice este proceso en la mayor medida posible (por ejemplo, utilizando un servicio de actualización proporcionado directamente por el proveedor).

La automatización de actualizaciones y parches es fundamental debido a la velocidad de los actores de amenazas para crear nuevas vulnerabilidades después del lanzamiento de un parche.

Estos exploits de “día N” pueden ser tan dañinos como los exploits de día cero.

Garantice la autenticidad e integridad de las actualizaciones de los proveedores mediante el uso de actualizaciones firmadas entregadas a través de enlaces protegidos.

Sin la aplicación rápida y completa de parches, los actores de amenazas pueden operar dentro del ciclo de parches de un defensor. 2

Además, use herramientas (por ejemplo, la herramienta OWASP Dependency-Check Project 3 ) para identificar las vulnerabilidades conocidas públicamente en bibliotecas de terceros de las que depende la aplicación.

Escanee aplicaciones web en busca de inyección SQL y otras vulnerabilidades web comunes

Implementar un plan para escanear servidores web públicos en busca de vulnerabilidades web comunes (por ejemplo, inyección SQL, scripting entre sitios) mediante el uso de un escáner de vulnerabilidad de aplicaciones web comerciales en combinación con un escáner de código fuente.

4 Corregir o parchear las vulnerabilidades una vez identificadas es especialmente crucial para las redes que albergan aplicaciones web más antiguas.

A medida que los sitios envejecen, se descubren y exponen más vulnerabilidades.

Implementar un firewall de aplicaciones web  

Implemente un firewall de aplicaciones web (WAF) para evitar ataques de entrada no válida y otros ataques destinados a la aplicación web.

Los WAF son dispositivos de prevención / detección / intrusión que inspeccionan cada solicitud web realizada hacia y desde la aplicación web para determinar si la solicitud es maliciosa.

Algunos WAF se instalan en el sistema host y otros son dispositivos dedicados que se encuentran frente a la aplicación web. Los WAF también debilitan la efectividad de las herramientas automatizadas de escaneo de vulnerabilidades web.

Implementar técnicas para protegerse contra shells web

Parche las vulnerabilidades de las aplicaciones web o corrija las debilidades de configuración que permitan ataques de shell web y siga las instrucciones para detectar y prevenir el malware de shell web.

5 Los actores cibernéticos maliciosos a menudo implementan shells web (software que puede permitir la administración remota) en el servidor web de la víctima, para vulnerar la sustentabilidad de las elecciones.

Los actores cibernéticos maliciosos pueden utilizar shells web para ejecutar comandos del sistema arbitrarios que se envían comúnmente a través de HTTP o HTTPS.

Los atacantes a menudo crean shells web agregando o modificando un archivo en una aplicación web existente.

Los shells web brindan a los atacantes acceso persistente a una red comprometida utilizando canales de comunicación disfrazados para mezclarse con el tráfico legítimo.

El malware de shell web es una amenaza generalizada a las elecciones y de larga data que continúa eludiendo muchas herramientas de seguridad.

Utilice la autenticación multifactor para cuentas de administrador

Priorice la protección para cuentas con privilegios elevados, acceso remoto o que se utilizan en activos de alto valor.

6 Utilice sistemas de autenticación físicos basados ​​en tokens para complementar factores basados ​​en el conocimiento, como contraseñas y números de identificación personal (PIN).

7 Las organizaciones deben abandonar la autenticación de factor único, como los sistemas basados ​​en contraseñas, que están sujetos a malas elecciones de usuario y son más susceptibles al robo de credenciales, falsificación y reutilización de contraseñas en múltiples sistemas.

Corrija los riesgos críticos de seguridad de las aplicaciones web

Primero, identifique y corrija los riesgos críticos de seguridad de las aplicaciones web de las elecciones. A continuación, pase a otras vulnerabilidades menos críticas. Siga las instrucciones disponibles para proteger las aplicaciones web de las elecciones.  10

¿Cómo responder al acceso no autorizado a los sistemas relacionados con las elecciones?

Implemente su plan de continuidad comercial y respuesta a incidentes de seguridad

Es posible que los profesionales de TI de su organización necesiten tiempo para aislar y eliminar las amenazas a sus sistemas y restaurar las operaciones normales. Mientras tanto, tome medidas para mantener las funciones esenciales de su organización de acuerdo con su plan de continuidad comercial.

Las organizaciones deben mantener y probar periódicamente los planes de respaldo, los planes de recuperación ante desastres y los procedimientos de continuidad del negocio.

Comuníquese con CISA o con la policía de inmediato

Para informar una intrusión y solicitar recursos de respuesta a incidentes o asistencia técnica, comuníquese con CISA ( Central@cisa.gov o 1-888-282-0870) o el FBI a través de una oficina local o la División Cibernética del FBI

( CyWatch@ic.fbi.gov o 1-855-292-3937).

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lea más

Foro de Gobernanza de Internet 2020 de la ONU

Riesgo: como administrar a 3ros en tiempos de COVID

NSA: suma 5 nuevos miembros al Cryptologic Hall of Honor 

Netskope ofrece acceso seguro Zero-Trust 2019

Ley de Seguridad Cibernética: vigencia en la Unión Europea 2019

90 / 100