Junts fem més Nació     FES-TE SUBSCRIPTOR

MOSSOS D'ESQUADRA

Així es va fer l'atac informàtic als Mossos d'Esquadra

Els responsables de la filtració publiquen un vídeo amb tots els procediments que es van utilitzar| Les imatges s'han donat a conèixer des del compte de Twitter @gammagroupPR

per Redacció, 19 de maig de 2016 a les 12:56 |
Aquesta informació es va publicar originalment el 19 de maig de 2016 i, per tant, la informació que hi apareix fa referència a la data especificada.
Aquest dijous al matí, el compte de Twitter @gammagroupPR ha publicat uns enllaços relacionats amb l'atac informàtic als Mossos d'Esquadra, que va acabar amb la filtració de les dades de més de 5.000 agents des del web del Sindicat de Mossos d'Esquadra (SME).

Entre d'altres, hi havia un vídeo, publicat a YouTube, que mostra tot el procés fet per tal d'accedir i robar les dades. Ahir, Mercè Molist, periodista especialitzada en ciberseguretat, ja va apuntar la relació entre el compte @gammagroupPR i el possible autor de l'atac. 


A continuació, fem una explicació tècnica del vídeo enviat per Twitter, on es pot veure com es va fer filtrar la informació del sindicat dels Mossos d'Esquadra. El vídeo original ha estat retirat per mostrar dades personals, però a la versió que es pot veure a continuació s'han eliminat les escenes on hi apareixien.



L'atacant primer protegeix la seva connexió i el programari, per tal de poder accedir l'adreça d'un campus virtual allotjat al web del sindicat. Un cop allà, es registra al campus virtual utilitzant una adreça de correu electrònic temporal i utilitza la plataforma dels cursos per buscar alguna pàgina on pugui haver-hi vulnerabilitats.

En una de les pàgines, l'atacant detecta un patró que es podria utilitzar per atacar el web i utilitza l'eina sqlmap per obtenir més informació del servidor. Amb les pistes que li aporta pot arribar a accedir al codi font dels arxius que formen el web, que normalment queda amagat.


A partir d'aquest moment, analitza el codi buscant les possibles vulnerabilitats fins que pot localitzar la informació relativa al campus i, després de buscar un usuari amb permís per accedir a la publicació d'arxius, troba un compte amb una contrasenya que, malgrat estar encriptada, és massa simple (1094) i pot detectar-la en qüestió de segons. Amb això i el DNI, també visible per l'atacant, ja pot accedir com a administrador del campus.

En aquest moment, amb accés a les dades dels usuaris inscrits, penja un arxiu com a informació d'un dels cursos, però que en realitat es tracta d'un codi que li permet executar comandes al servidor a distància. Això li serveix per a diversos objectius: primer es descarrega la base de dades sencera del web i, a més, injecta codi a les pàgines per tal de capturar els parells d'usuari i contrasenya que envien els usuaris que poden accedir.

Després d'esperar que hi hagi usuaris que ho utilitzin, ja té prou dades i descobreix que la contrasenya que fa servir l'administrador del web és la mateixa que la del compte de Twitter. 

Finalment, comprimeix tots els arxius de dades que s'ha desat i ubica la descàrrega en un directori del servidor accessible des d'Internet per baixar-s'ho.

 

Mostra el teu compromís amb NacióDigital.
Fes-te subscriptor per només 5,90€ al mes, perquè la informació de qualitat té un valor.

Fes-te subscriptor

 

Participació