Informe Inteligencia Digital     

Marzo2013

 

MONITORIZACIÓNACTIVA#OPSINTERNET

 

2  

Índice 

Contenido

Introducción ............................................................................. Error! Bookmark not defined. 

Antecedentes .......................................................................................................................... 3 

OPDESAHUCIOS (ANONYMOUS VENDETTA) .......................................................................... 5 

AYUNTAMIENTO DE LEDRADA ............................................................................................ 5 

INMOBILIARIA DE LA ROSA ................................................................................................. 8 

PARTIDO POPULAR DE SAN JUAN (SEVILLA) ..................................................................... 10 

PARTIDO POPULAR DE NOBLEJAS (TOLEDO) .................................................................... 12 

OTROS ATAQUES............................................................................................................... 13 

UGT BANKIA .................................................................................................................. 13 

IZQUIERDA UNIDA ÁLORA  (Andalucía) ........................................................................ 15 

OPERACIÓN GAMEZ MORON ............................................................................................... 16 

Conclusiones del informe Marzo 2013 ................................................................................. 20 

    

 

3  

AntecedentesDurante  los últimos años  se ha hecho eco en  los medios de  comunicación  como 

blogs,  Twitter,  prensa,  e  incluso  en  televisión,  de  un  grupo  de  hacktivistas  llamado Anonymous. Se conocen como un grupo de Hackers y/o activistas en la red orientados a  inutilizar  servidores Web  impidiendo  el  acceso  al  resto del público durante  varias horas o días a modo de protesta civil. Según proclama Anonymous en su manifiesto, este grupo carece de una cúpula de mando, de  tal  forma que cualquier persona del mundo puede  liderar una acción hacktivista contra un determinado objetivo político, social  o  empresarial,  denominado  “operación”,  y  serán  los  internautas  de  todo  el mundo los que, de forma completamente voluntaria, apoyen la causa y se unan en un ataque  a  gran  escala  contra  un  determinado  servicio  en  la  red,  y  en  este  punto  es donde reside la fuerza, y a su vez el peligro, de Anonymous. 

 Se  atribuye  el  nacimiento  de  Anonymous  en  la  denominada  “Deep  Web”  o 

“Internet  Oculta”  a  la  cual  no  es  posible  acceder  mediante  las  conexiones  y navegadores  convencionales.  Esta  “Internet  Oculta”  proporciona  un  nivel  de anonimato  elevado,  la  cual  realiza  las  conexiones mediante  nodos  de  red  cifrados repartidos  por  todo  el  mundo  e  intercambiados  cada  pocos  minutos  para  hacer prácticamente  imposible el rastreo de una comunicación. De esta  forma son capaces de  crear  redes  de  comunicación  como  IRCs  o  foros  ocultos    e  invisibles  en  la  red normal para establecer las bases y la organización de una determinada “operación”. 

 Aunque en ocasiones  se ha  tildado a Anonymous como un grupo desorganizado, 

existe una metodología a  seguir para generar una operación  sobre una  institución o empresa  (objetivo),  de  este modo  se  estructura  cada  una  de  las  operaciones  por separado  y  se  garantiza  que  los  internautas  que  quieran  colaborar  con  una determinada causa puedan hacerlo sin  interferir en otras. Por  lo general,  los pasos a seguir para crear e intervenir sobre una operación son: 

 

Publicación  de  forma  anónima  (normalmente  utilizando  páginas  como “anonpaste.com”)  de  un  documento  explicativo  en  el  cual  se muestre  el motivo  de  la  operación.  En  este  documento  se  expondrán  los  medios mediante los cuales poder seguir la operación (twitter, facebook, IRC, etc.) y agregarse  como  afiliado  a  la  misma.  En  ocasiones  también  pueden agregarse objetivos a atacar desde ese mismo documento. 

Si el objetivo a atacar no ha sido definido se establece una comunicación en los  medios  dados  para  determinar  los  objetivos  y  las  metodologías  de ataque  a  seguir.  En  este  punto  pueden  intervenir  varios  grupos  de hacktivistas no afiliados a Anonymous los cuales podrán realizar ataques de forma independiente, de este modo un mismo objetivo puede sufrir varios tipos de ataques como “Deface” (Modificación de la página de inicio de un servidor Web  la cual se sustituye por una página reivindicativa), “Digging” (extracción de datos y su posterior publicación en medios públicos), “DdoS” (Distributed Denial of Service,  inundar el  servidor con miles de peticiones inutilizando el servicio temporalmente), etc. 

 

4  

Para  la  realización  de  ataques  orientados  a  DDoS  se  establece  una metodología y una herramienta especifica a utilizar. Por defecto, como ha ocurrido  durante  los  últimos  años,  se  suele  utilizar  una  herramienta automatizada  de  ataque  llamada  “L.O.I.C”  (Low Orbit  Ion  Canon),  la  cual ofrece al  internauta que desee colaborar con una determinada operación una  forma  sencilla  y  sin  necesidad  de  conocimientos  informáticos  de hacerlo. Simplemente deberá  seguir  los pasos de descarga e  instalación y especificar en la herramienta un servidor y un canal de IRC desde el cual, el operador del canal, dará comienzo a la operación mediante la colaboración de todos estos equipos conectados al mismo.  

 En  este  documento  se  exponen  las  principales  operaciones  de Anonymous,  y  el 

seguimiento de  las mismas, ocurridas en el ámbito Español durante el mes de Marzo de 2013, se mencionan aquellas que han representado una amenaza para empresas o instituciones  

   

 

5  

OPDESAHUCIOS(ANONYMOUSVENDETTA)

  

Lejos  de  ir  a  menos,  la  operación  “OpDesahucios”  ha  aumentado considerablemente las actuaciones y las metodologías de actuación durante el mes de Marzo  de  2013.  Durante  este mes  se  ha  producido  una  nueva  oleada  de  ataques contra  instituciones públicas y partidos políticos modificando por completo  la página principal de la Web (Deface) y llegando a inutilizar durante varias horas (DDoS) algunos de estos sitios relacionados con la ideología de la operación. 

 Esta nueva oleada de ataques atiende a nuevos grupos de Hackers afiliados a  la 

causa de Anonymous. La metodología de ataque consiste, en esta ocasión, en realizar ataques  de  diversos  tipos  contra  cualquier  página  o  servicio  relacionado  con determinado  partido  político  (Partido  Popular,  PSOE,  etc),  empresa  (normalmente inmobiliarias),  o  instituciones  públicas  sin  ser  anunciado  previamente  y  los  cuales mantengan una relación con la causa de la operación. Una vez se consigue vulnerar un servidor o denegar el servicio mediante alguna técnica de Hacking, es reportado a  la comunidad  y  expuesto  en  varios  medios  de  comunicación  y  redes  sociales  como Twitter, Facebook o Pastebin. De esta  forma, el peligro de ser víctima de un ataque incrementa  notablemente  al  carecer  de  una  lista  de  objetivos  predefinidos  por  la comunidad. 

 Prueba de  la efectividad del grupo Anonymous y  las nuevas tendencias de ataque 

son  las  siguientes  entradas  en  las  que  se muestran  los  ataques más  significativos contra instituciones y partidos políticos ocurridos durante el mes de Marzo. 

 

AYUNTAMIENTODELEDRADA 

Una de las primeras páginas Web en ser afectadas por esta iniciativa es la referente al ayuntamiento de Ledrada. En la prensa se publicaba hace unos años la noticia sobre la  deuda municipal  del  Ayuntamiento  del  cual  se  presentaba  como  alcalde  “Carlos Parra”, afiliado del Partido Popular. 

 El día 7 de Marzo se observa movimiento en la red social Twitter donde se publica 

un Twitt mediante la cuenta de @AnonymousUVE en la que se observa la reclamación de los hechos del “Deface” realizado en la página Web del ayuntamiento de Ledrada. 

 

6  

 Figura 1. Twitter de miembro de Anonymous reivindicando el ataque 

 

En  el  mensaje  se  puede  observar  cómo  se  informa  al  grupo  #OPdesahucios añadiendo  el  “Hashtag”  (Grupo  o  conversación  de  Twitter)  de  la  operación  en  el cuerpo del mensaje, mediante el cual invita a los internautas y afiliados a la operación a que visiten la página para observar el “Deface” realizado. Se puede acceder mediante la dirección aytoledrada.com  

 

  

  

 

7  

En  la  página  modificada  se  puede  observar  un  mensaje  reivindicativo  de  la operación en la cual se muestra el vídeo de la operación “OPdesahucios” y el siguiente manifiesto: 

 

HACKED Anonymous somos todos y ninguno 

 Estamos aquí y en todas partes 

Seguridad Franqueada, no habrá descanso!! ANONYMOUS OPDESAHUCIOS 2013 EL DESPERTAR DE LAS CONCIENCIAS 

“Desde las calles y las redes, vamos a demostraros que vuestro juego se ha terminado, desde Anonymous os enseñaremos, que no se pueden violar los derechos de un pueblo, y esperar la paz. Felicidades. Ahora tendréis un enemigo con un millón de 

caras”  

ANONYMOUS VENDETTA #STOPDESAHUCIOS #OPDESAHUCIOS 

 Además  de  la  acción  de  “Deface”  también  se  observan  constantes  caídas  del 

servicio Web,  causadas  por  un  ataque  de  denegación  de  servicio  (DoS),  haciendo imposible  la  correcta  visualización  del  contenido  de  la Web.  Estos  ataques  pueden atender  a  diferentes  grupos  de  Hackers  o  al  mismo  usuario/grupo  que  realizó  el “Deface”, multiplicando así el daño realizado al servidor objetivo del ataque. 

  

A  día  2  de  Abril  de  2013,  casi  un mes más  tarde  del  ataque,  el  servidor  del Ayuntamiento  de  Ledrada  sigue  sin  funcionamiento  debido  a  la  restauración  del servicio  por  parte  de  los  técnicos  del  ayuntamiento,  se  entiende  que  alguno  de  los ataques  recibidos  eliminó  por  completo  la  estructura  interna  del  servidor  Web dejándolo  inutilizable y obligando a rehacer  la página Web de nuevo si no se dispone de un Backup de la misma. 

    

 

8  

INMOBILIARIADELAROSA 

Al día siguiente de  los acontecimientos ocurridos en  la Web del Ayuntamiento de Ledrada  se  observa movimiento  en  las  redes  sociales  que  indican  un  nuevo  ataque contra  la  página Web  de  una  inmobiliaria  de  Valencia  (Inmobiliaria  de  la  Rosa).  El mensaje se encuentra en la red social ‘Facebook’ tras seguir un Twitter del miembro de Anonymous que reivindicaba  los ataques del día anterior a  la Web del Ayuntamiento de  Ledrada.  En  el mensaje  se  puede  leer  el  siguiente  texto,  firmado  por  el mismo grupo de Hacktivistas del ataque anterior (Anonymous Vendetta): 

 

#STOPdesahucios #OPdesahucios #STOPsuicidios  Hacked‐Defaced  Ayer le toco a la página del Ayuntamiento de Ledrada Salamanca http://www.aytoledrada.com  Hoy culpamos también a  los grupos  inmobiliarios por especuladores, en este caso es de la comunidad Valenciana http://inmobiliariadelarosa.com/  Anonymous Vendetta 

 

  Visitando la página Web de la inmobiliaria citada se encuentra el mismo logo utilizado en 

el ataque anterior, por  lo que se confirma que se trata del mismo grupo de Hacktivistas que realizaron  el  ataque  a  la página del Ayuntamiento de  Ledrada; Anonymous Vendetta.  En  la página  también  se  encuentra  el  logo  de  Anonymous  en  la  parte  inferior  y  un  vídeo  de OpDesahucios enlazado a Youtube. 

 

 

9  

 Adicionalmente  al  “Deface”  de  la  página Web  también  se  observa,  como  en  el 

ataque  anterior,  una  extrema  lentitud  en  el  servicio Web  y  constantes  caídas  del mismo,  síntoma  de  un  ataque  de  denegación  de  servicio  (DoS)  o  denegación  de servicio distribuido (DDoS). 

  

   

 

10  

PARTIDOPOPULARDESANJUAN(SEVILLA) 

Días más tarde de los anteriores se observa de nuevo movimiento en la red social Twitter en  la que se muestra un mensaje  reivindicando un nuevo “Deface” contra  la página del Partido Popular de San Juan de Aznalfarache (Sevilla). En el texto se muestra el  mensaje:  “Hacked  Defaced  Partido  Popular  San  Juan  de  Aznalfarache,  Sevilla ppsanjuan.com” 

 

  De  la misma manera  que  el  ataque  anterior,  este  es  difundido  anunciando  los 

canales de #STOPdesahucios y #OPdesahucios para una mayor redifusión del ataque y asociando la actuación a la operación de Anonymous. Visitando la página Web objetivo del ataque se encuentra un mensaje  idéntico al anterior, por  lo que se  identifica con un ataque perteneciente al mismo grupo de Hackers, “Anonymous Vendetta” 

 

 

11  

  Repitiendo  los sucesos de  los ataques anteriores, el servidor Web del Partido Popular de 

San Juan también se encuentra  inaccesible durante varios momentos prolongados del día,  lo cual hace ver que está  siendo  sometido a algún  tipo de ataque de DDoS. Esto establece un “Modus operandi” del grupo de Hacktivistas “Anonymous Vendetta” siguiendo las pautas de; Realizar  un  “Deface”  de  la  página  y  posteriormente  realizar  un  ataque  de  “Dos”  o  “DDoS” contra el servidor, dejando el servicio completamente inutilizable. 

 

         

 

12  

PARTIDOPOPULARDENOBLEJAS(TOLEDO) 

No  tarda  en  aparecer  una  nueva  entrada  del  grupo  Anonymous  Vendetta asociando un nuevo ataque, en esta ocasión a  la página Web del Partido Popular de Noblejas.  El  mensaje  es  publicado  mediante  un  Tweet  en  la  cuenta  del  grupo Hacktivista. El mensaje:   Continua Hackeada desde ayer  la página del Partido Popular de Noblejas, Toledo ppnoblejas.com 

 El  enlace  a  la  página Web  del  partido  popular muestra  una  nueva  pantalla  de 

“Deface” aunque el texto y el vídeo sigue siendo el mismo que el utilizado en ataques anteriores.  El  ataque  sigue  siendo  reivindicado  por  el  grupo  de  Hacktivistas “Anonymous Vendetta” 

  

Siguiendo el “modus operandi” de las operaciones anteriores, el servicio Web se ve afectada por un ataque de denegación de servicio, pero en esta ocasión el ataque es más  potente  al  permanecer  caído  durante más  ocasiones  y  durante  periodos más largos.  Este  nuevo  nivel  de  ataque  de DoS  puede  hacer  pensar  que  los  hacktivistas miembros  del  grupo  de  Anonymous  Vendetta  están  mejorando  sus  técnicas  con respecto a este tipo de ataques. 

 

13  

 

  

OTROSATAQUES 

Varios ataques más se sucedieron durante el trascurso del mes de Febrero de 2013 causando la anulación completa del servicio ocasionadas por el mismo tipo de ataques que  los  expuestos  en  los  puntos  anteriores.  Los  servicios Web  afectados  con más relevancia son: 

 

UGTBANKIA Avistado a  las 2 horas del acontecimiento en  la red social Twitter. Se mostraba el 

siguiente mensaje del grupo Anonymous Vendetta en el cual se  informa del “Deface” al servicio Web del sindicato UGT de Bankia. En el mensaje podía  leerse el siguiente texto: 

 

@AnonSpain #StopDesahucios #OpDesahucios ¿Dónde están los sindicatos? O es que están a favor de Bankia. Hacked. Ugtbankia.net   

Nuevamente  se  alza  el  grupo  de  hacktivistas  “Anonymous  Vendetta”  o “Anonymous V” como responsable de la acción e informa al resto de grupos asociados a la operación  para que la noticia sea difundida por el canal. 

 

14  

 Visitando  la Web del  sindicato de UGT de Bankia nos encontramos nuevamente 

con el mensaje reivindicativo del grupo y la página de “Deface” utilizada en las últimas actuaciones. 

 

  

 

15  

IZQUIERDAUNIDAÁLORA(Andalucía) 

Un nuevo ataque se produce contra el partido político  Izquieda Únida atentando contra el servidor que hospeda la página Web del partido en Álora (Andalucia). En esta ocasión  la página Web que se aloja en el servidor cambia el estilo pero mantiene  los mismos mensajes y vídeo de Youtube en relación con la operación “OpDesahucios”. El grupo que reclama la autoría de los hechos continua siendo “Anonymous Vendetta”.  

   

   

                

 

16  

OPERACIÓNGAMEZMORONSe  detecta  en  las  redes  sociales  el  lanzamiento  de  una  operación  denominada 

“OpGámezMorón”  en  la  que  se  especifica  como  objetivo  uno  de  los  centros 

dependientes  de  la  Consejería  de  Bienestar  Social  y  Sanidad  de  Melilla debido a una  serie de malas acciones ocurridas en el centro de discapacitados “Fco. Gámez Morón”. Puede visitarse la página de la reivindicación en: 

http://www.anonpaste.me/anonpaste2/index.php?e41672d77f097863#bmGAASHjqSgVJSrupUDSnwfjE3Gn2QkXZVf2csFBM8w 

 También  se  crea  un  canal  en  Facebook  en  el  cual  se  irán  mostrando  los 

procedimientos a seguir para colaborar en el ataque al centro. También se enseñará a los  internautas  como  colaborar  con  la  operación  y  el  uso  de  herramientas  que  se utilizarán para realizar el ataque. El mensaje que se muestra es el siguiente: 

 

Anonymous España presenta #OpGámezMorón  Saludos mundo, somos Anonymous. Esta vez hemos sido testigos de unos hechos que lamentablemente llevan prolongándose demasiado tiempo en el Centro De Atención a Discapacitados Fco. Gámez Morón de Melilla, centro dependiente de la Consejería De Bienestar Social y Sanidad de Melilla cuya máxima responsable es la Consejera de Bienestar Social María Antonia Garbín y gestionado por la empresa Eulen Servicios Sociosanitarios. Sucesos que llevan produciéndose durante mucho ...tiempo y por los que nadie toma responsabilidades. Agresiones, abusos sexuales, violaciones, falta de atención a usuarios, irregularidades en la contratación de personal (familiares o personas afines al gobierno de la ciudad), ocultación y manipulación de información por parte 

 

17  

de la empresa, amenazas a quien exponga datos de los hechos, etc... Tales hechos son imperdonables y pedimos se esclarezcan de inmediato. Basta de ocultar los sucesos, basta de hacer caso omiso a denuncias interpuestas por familiares de usuarios, basta de eludir responsabilidades, basta de cebarse siempre con los más desprotegidos, basta de maltratos, humillaciones y vejaciones. Desde aquí condenamos tales actos de violencia, condenamos a los responsables y a quienes intentan ocultar la verdad. Señores de la dirección del centro, Señora consejera de Bienestar social y Sanidad, Señor Presidente del gobierno de Melilla, Estamos viendo todo lo que están haciendo y no nos gusta. Somos Anonymous Somos Legión  No Olvidamos No Perdonamos Esperadnos.  Información: http://www.anonpaste.me/anonpaste2/index.php?e41672d77f097863#bmGAASHjqSgVJSrupUDSnwfjE3Gn2QkXZVf2csFBM8w=  Vídeo: http://www.youtube.com/watch?v=mMjybN8Q7Ew  ENGLISH: http://www.anonpaste.me/anonpaste2/index.php?b39c821ed106d6f1#HKHVeDEGPxB7o4hGIw+OwG+6qyU/7MYetUtVM2WCqD0= 

 

 

El  canal  muestra  mensajes  aclaratorios  de  la  operación  y  un  comunicado  que enlaza a  la página citada anteriormente y un vídeo de respaldo en el cual se dará un mensaje explicando los casos más relevantes ocurridos motivo de la operación.  Como se puede observar en la siguiente imagen, el número de visitas del video ha superado los 1.500 visitantes, por lo que la operación puede haber ganado muchos afiliados a la causa,  lo que provocaría un  gran  ataque  con  su  correspondiente peligro. Enlace del vídeo:  http://www.youtube.com/watch?v=mMjybN8Q7Ew 

 

 

18  

En el canal comienzan a mostrarse vídeos de la utilización de las herramientas y el enlace de descarga de la misma. La herramienta utilizada para el ataque es HOIC (High Orbit  Ion  Canon),  la  cual  permite  realizar  ataques  de  DOS  (Deny  Of  Service)  o Denegación de Servicio a los objetivos establecidos.  

 

 Y  posteriormente  se  definen  los  horarios  del  ataque  para  los  diferentes  países 

mediante posts en los medios tanto de Facebook como en Twitter. 

 

19  

 

 El  último  paso  de  esta  operación  tendría  lugar  en  el  momento  en  que  se 

establezcan  los objetivos  a  atacar,  el  cual  tendría  lugar  a  las  23:00 horas del  19 de Marzo de 2013. El día indicado se sucedieron varias pequeñas paradas del servicio y un constante deterioro de  la  conexión activa del  servidor, pero en ningún momento  se volvió inestable por completo. 

 

 

 

20  

ConclusionesdelinformeMarzo2013 

Durante  el  mes  de  Marzo  se  ha  observado  el  establecimiento  de  un  “modus operandi” del grupo Hacktivista  ‘Anonymous Vendetta’ el cual ha sido participe de  la mayoría  de  los  ataques  a  instituciones  públicas  y  gubernamentales  del  mes.  Esta metodología de actuación sigue unas pautas especificas que consisten en la realización de un “Deface” del servicio Web seguido de un ataque de Denegación de Servicio (Dos / DDoS) multiplicando  la probabilidad de éxito del ataque. De esta  forma  se  intenta deteriorar  el  servicio  en  la medida  de  lo  posible  y  en  la mayoría  de  las  ocasiones, inutilizarlo por completo. 

                                    

 

21  

                           

 

     

AcercadeArborNetworks

Arbor Networks, Inc. es un proveedor líder de seguridad de red y soluciones de gestión

para la próxima generación de centros de datos y redes de transporte, incluyendo la gran mayoría de los proveedores mundiales de servicios de Internet y muchas de las redes empresariales más grandes en el uso hoy. Las reconocidas soluciones de seguridad de red y gestión ayudan a crecer y proteger las redes de los clientes, negocios y marcas. A través de sus relaciones privilegiadas con proveedores de servicios en todo el mundo y los operadores de redes globales, Arbor ofrece una inigualable visión y perspectiva sobre la seguridad en Internet y las tendencias del tráfico a través de Active Therat Level Analysis System (ATLAS). Lo que representa un esfuerzo de colaboración único con 100 operadores de red + en todo el mundo. ATLAS permite el intercambio de seguridad en tiempo real, tráfico y la información de enrutamiento necesaria para numerosas decisiones de negocios.

Para una visión técnica sobre las amenazas de seguridad más recientes y las tendencias

de tráfico de Internet, por favor visite nuestro sitio web www.arbornetworks.com y nuestro blog: www.asert.arbor.net