Índice de contenidos
Introducción
La situación actual por la crisis del COVID19 parece haber dejado en el olvido otros desastres globales que no hace mucho eran protagonistas de actualidad. A finales del verano pasado la prensa internacional se hacía eco de los devastadores incendios en Australia o Brasil.
En el caso de Brasil a diferencia de Australia algunos diarios relacionaban directamente este incremento de incendios con el primer año de gobierno de Jair Bolsonaro.
Y no tardaron en nacer las primeras operaciones hacktivistas con identidades como Anonymous o viejas conocidas en Latinoamérica para denunciar la situación.
La #OpAmazonia o #OpAmazon fue una de las más activas. Algunos tweets también relacionaban estos incendios provocados con ganarle terreno a la selva amazónica para tener mayores pastos para la ganadería extensiva. Comentando las fuertes exportaciones que tiene Brasil de este producto con principales países del mundo.
Y pronto apareció la noticia de uno de los hackeos con mayor repercusión mediática de 2019. Un grupo de hackers habá robado las conversaciones de Telegram, el software de mensajería instantánea, utilizado por Jair Bolsonaro y su gabinete de gobierno. Entre ellos su ministro de Justicia Sergio Moro. Aunque el impacto llegó hasta más de 1.000 cuentas de Telegram.
Entre los diversos hackeos a administraciones públicas brasileñas durante las operaciones hacktivistas y el famoso hackeo de Telegram se destaparon dos escándalos: La relación del gobierno o el apoyo de la administración para los incendios provocados y una trama de corrupción judicial para encarcelar rivales políticos de la oposición como Lula da Silva.
Una de las reacciones por aquel entonces fue de algunos países nórdicos de Europa como Finlandia que propusieron a Europa prohibir la importación de carne de vacuno desde Brasil.
Si prestamos atención a cómo sucedió el hackeo de Telegram las propias noticias hablaban del compromiso a través del contestador automático.
La Kill Chain o fases de ataque
¿Cómo se puede podía hackear Telegram a través del contestador automático?. Pues Telegram después de la repercusión mediática de este compromiso corrigió la vulnerabilidad.
Hay una charla de Martin Vigo en la conferencia DefCon de 2018 llamada «Compromising online services by cracking voicemail systems» dónde ya describía esta técnica. En este caso ponía como ejemplo de servicios vulnerables los de Whatsapp, Telegram y Paypal. Algunos de ellos corrigieron el problema.
El proceso es muy sencillo:
- El atacante solicita instalarse la cuenta de Telegram o servicio vulnerable de la víctima cuando el teléfono de ésta no está disponible, no tiene cobertura o no puede atender la llamada.
- Por la noche mientras duerme.
- Durante un vuelo en avión.
- Etc.
- Al no poder entregar Telegram el código de validación 2FA (doble factor de autenticación) en el tercer envío lo envía al contestador automático.
- El atacante hackea el contestador automático y se hace con el código de verificación.
- Utiliza PIN por defecto (0000, 1111, 1234, etc.)
- Utiliza un programa para hacer fuerza bruta.
En la presentación de Defcon también se mostraron algunos casos prácticos con pruebas de concepto que realizaban el proceso de fuerza bruta al contestador automático para adivinar el PIN de acceso.
Capacidad en Europa
En aquel entonces otra noticia de ámbito nacional español hacía saltar las alarmas. Albert Rivera líder por aquel entonces del partido político Ciudadanos denunciaba ante la Guardia Civil el compromiso de su cuenta de Whatsapp. Así como otros intentos de hackeo anteriores a otros integrantes del partido.
En este caso no se encontró relación con lo sucedido en Brasil. A Albert Rivera le hicieron un ataque de phishing tradicional, sin comprometer su contestador automático. Simplemente le llamaron por teléfono haciéndose pasar por la teleoperadora o el servicio de Whatsapp y lo engañaron para que él mismo les facilitara el código de verificación 2FA.
No obstante esto también era un indicador de que hay actividad maliciosa de este tipo en el ámbito español. ¿Pero sería posible llevar acabo el compromiso por la vía del contestador automático en España o Europa?. En la presentación de DefCon se había hecho un estudio con las principales operadoras americanas. Pero no había información sobre los Movistar, Orange o Vodafone que operan en España.
AT&T, T-Mobile o Verizon en América si que eran vulnerables a ataques de fuerza bruta contra sus contestadores automáticos o utilizaban contraseñas por defecto o comunes. En Europa es distinto y Movistar, Orange o Vodafone, cada uno de una forma diferente, pero no permiten acceder a tu contestador automático a no ser que llames desde tu propio número de teléfono. O en algunos casos está deshabilitado por defecto. Pero investigando un poco sí descubrí una manera para saltar esta restricción. Spoofeando o haciéndote pasar por el teléfono de la víctima tanto para intentar adivinar el PIN del contestador automático o activarlo previamente.
VoIP y centralita asterisk para falsificar el número de la víctima
Para hacerse pasar por el teléfono de la víctima se puede utilizar una solución de VoIP montando una centralita con Asterik casera. La gente de Rapid7 escribieron una guía en su blog para realizar este cometido. Por lo que técnicamente un cibercriminal o un hacktivista en Europa también tendría capacidad para realizar acciones similares a las sucedidas en Brasil.
Servicios ya no vulnerables
Por último indicar que tanto Telegram como Whatsapp u otros servicios afectados fueron corrigiendo estas vulnerabilidades conforme fueron apareciendo casos de tanta repercusión mediática.