Cómo los piratas informáticos iraníes robaron información de votantes de los sitios electorales estatales

FBI: Cómo los piratas informáticos iraníes robaron información sobre los votantes de los sitios de elecciones estatales

DHS CISA y el FBI compartieron hoy más información sobre cómo un grupo de piratas informáticos patrocinado por el estado iraní pudo recopilar información de registro de votantes de los sitios web estatales de EE. UU., Incluidos los sitios de votación.

Los datos recopilados se utilizaron posteriormente en correos electrónicos falsos de intimidación de votantes de Proud Boys dirigidos a votantes demócratas que intentaban que votaran por el presidente Trump.

"Una evaluación adicional por parte del CISA y el FBI identificó que el objetivo de los sitios web de elecciones estatales de EE. UU. Fue un esfuerzo deliberado para influir e interferir en las elecciones presidenciales de EE. UU. 2020", dice un aviso conjunto publicado hoy.

Los intentos de descargar información de los votantes de los sitios web electorales tuvieron lugar entre el 29 de septiembre y el 17 de octubre de 2020, según el aviso.

Actividades nocivas de la APT iraní
Actividades nocivas de la APT iraní (FBI / CISA)

"Esto incluye intentar explotar vulnerabilidades conocidas, cruce de directorios, inyección de SQL (lenguaje de consulta estructurado), cargas de shell web y explotación de fallas únicas en sitios web", explican el FBI y el CISA.

El aviso proporciona detalles técnicos relacionados con el DNI John Ratcliffe confirmación En una conferencia de prensa, los piratas informáticos iraníes respaldados por el estado nacional recopilaron información de registro de votantes que se utilizó en los correos electrónicos de amenazas falsas de Proud Boys.

Índice()

    Sitios electorales analizados para detectar vulnerabilidades

    Los actores de APT iraníes utilizaron por primera vez el escáner de vulnerabilidades de Acunetix para detectar agujeros de seguridad que afectaban a sitios específicos que luego les permitieron explotar servidores inseguros.

    Sus ataques les permitieron descargar con éxito datos de registro de votantes de al menos un estado de EE. UU. Aprovechando las configuraciones incorrectas y las vulnerabilidades de los sitios de votación.

    Para hacer esto, utilizaron scripts diseñados para usar "la herramienta cURL para desplazarse por los registros de votantes" para desplazarse automáticamente por las bases de datos y descargarlas usando el

    "Tras la revisión de los registros de acceso al servidor web, los analistas de CISA, en coordinación con el FBI, encontraron casos de agentes de usuario de cURL y FDM que enviaban solicitudes GET a un recurso web asociado con datos de registro de votantes". la noticia Él dice.

    "La sospecha de actividad programada envió varios cientos de miles de consultas repitiendo los valores de identificación del votante y recuperando los resultados con diversos grados de éxito".

    Los piratas informáticos iraníes utilizaron NordVPN

    Como declaró el FBI en una alerta flash emitida ayer, muchas de las direcciones IP utilizadas por los piratas informáticos iraníes en la campaña de correo electrónico falsa de Proud Boys provienen del servicio NordVPN y también podrían coincidir con otros proveedores de VPN, incluidos CDN77, HQSERV y M247.

    "Si bien esto crea la posibilidad de falsos positivos, cualquier actividad por debajo de ella podría justificar una mayor investigación", dijo el FBI.

    Durante la investigación, el FBI también encontró evidencia que indica que el actor de la APT investigó la siguiente información durante sus esfuerzos por buscar y explotar sitios electorales estatales:

    • La hazaña de YOURLS
    • Omitir el firewall de aplicaciones web ModSecurity
    • Detección de firewall de aplicaciones web
    • Herramienta SQLmap

    El FBI y CISA también proporcionan las siguientes medidas generales de mitigación para bloquear futuros ataques:

    • Mantenga las aplicaciones y los sistemas actualizados y parcheados
    • Escanee aplicaciones web en busca de inyección SQL y otras vulnerabilidades web comunes
    • Implementar un firewall de aplicaciones web
    • Implementar técnicas para protegerse de los shells web
    • Utilice la autenticación multifactor para las cuentas de administrador
    • Resuelva los riesgos críticos de seguridad de las aplicaciones web

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir