CIBERSEGURIDAD

Lizard Squad se vincula con el sitio web de Tesla Motors y el hack de Twitter

0 81 4 minutos de lectura


El sitio web de Tesla Motors fue «pirateado» el sábado, así como su cuenta oficial de Twitter. El sitio web teslamotors.com fue redirigido a un servidor alojado en Ámsterdam y en pocos minutos, la cuenta comenzó a enviar tweets prometiendo autos Tesla gratis. Más tarde, ese mismo día, se reveló que la cuenta de Twitter del fundador de Tesla, Elon Musk, estaba comprometida. De acuerdo a Dave Smith de Business Insider «Aunque las partes que reclaman la responsabilidad ofrecen nombres diferentes, parece ser un ataque coordinado a todas las propiedades sociales y en línea de Musk».
Andrew Hay, director de investigación de la OpenDNS El equipo de Security Labs ha presentado el proceso que utilizaron los atacantes para secuestrar la cuenta personal de Twitter de Elon Musk, así como el sitio web de Tesla Motors. Ofrece un análisis profundo de la infraestructura utilizada en el ataque.
1) Esto no fue un «truco», sino una serie de desfiguraciones relacionadas.
En primer lugar, nos gustaría comunicar que creemos que esto es un compromiso y no necesariamente un «truco». Este ataque (y usamos el término libremente) involucró la redirección del tráfico legítimo destinado a teslamotors.com a una dirección IP elegida por los atacantes.
A los visitantes del dominio se les presentó la siguiente página (capturada por David Maynor a través de su cuenta de Twitter)
tesla

Aproximadamente al mismo tiempo, la cuenta corporativa de Twitter de Tesla se vio comprometida. Una vez controlados por los atacantes, aparecieron varios tweets de la cuenta de Twitter @TeslaMotors y el nombre de la cuenta se cambió a «#RIPPRGANG». La cuenta también tuiteó el número para llamar para obtener un Tesla gratis. El número era el de un pequeño taller de reparación de computadoras en Illinois. La cuenta de Elon Musk también comenzó a tuitear mensajes sobre automóviles gratuitos y dónde se pueden recoger, en la misma dirección en Illinois.
2) El registrador de dominios puede haber sido diseñado socialmente para ceder el control del dominio teslamotors.com
Parece que se implicó muy poca sofisticación en esta desfiguración. Como tal, hubo una especulación inicial de un ataque de ingeniería social (SE) contra el registrador de dominios, pero fuentes cercanas a la investigación nos informan que el vector de ataque SE no fue explotado.
Un ataque de SE contra el registrador explicaría cómo los atacantes pudieron obtener acceso tanto a la cuenta corporativa de Twitter como a la cuenta del fundador Elon Musk. Al controlar el dominio y, por asociación, los registros MX (intercambio de correo), los atacantes podrían solicitar un restablecimiento de contraseña para las cuentas de Twitter.
Al controlar el registro MX, los restablecimientos de contraseña enviados por correo electrónico le habrían dado al atacante el control de las contraseñas de las cuentas sociales.
La declaración oficial de Tesla, como se le dijo a Thomas Fox-Brewster de Forbes, fue que
“Haciéndose pasar por un empleado de Tesla, alguien llamó al servicio de atención al cliente de AT&T y les pidió que reenviaran las llamadas a un número de teléfono ilegítimo. El impostor luego se puso en contacto con la empresa de registro de dominios que aloja teslamotors.com, Network Solutions. Usando el número reenviado, el impostor agregó una dirección de correo electrónico falsa a la cuenta de administrador del dominio Tesla. Luego, el impostor restableció la contraseña de la cuenta de administrador del dominio, enrutó la mayor parte del tráfico del sitio web a un sitio web falso y obtuvo acceso temporalmente a las cuentas de Twitter de Tesla y Elon «.
La red corporativa, los automóviles y la base de datos de clientes de Tesla no se vieron afectados y todo se ha restablecido a la normalidad, según el portavoz.
«Estamos trabajando con AT&T, Network Solutions y las autoridades federales para investigar más a fondo y tomar todas las acciones necesarias para asegurarnos de que esto nunca vuelva a suceder», agregó el portavoz.
Entonces, el registrador de dominios no era SEd, sino AT&T. Esta no es la primera vez que se engaña a AT&T para que redirija las llamadas a un número de teléfono ilegítimo.
3) DNS muestra una línea de tiempo de cambios durante el ataque
Los resultados investigados por OpenDNS para teslamotors.com, la dirección IP del dominio se cambió el 25 de abril de 205.234.27.220 a 4 direcciones IP adicionales que no son propiedad ni están controladas por Tesla.
4) Hasta ahora, nada indica que los visitantes estuvieran en riesgo de descargas de malware. El dominio teslamotors.com recibió un aumento en las visitas entre las 04:00 y las 07:00 UTC. El pico más significativo en el dominio ocurrió el 26 de abril a las 05:00 UTC. Esto probablemente se debió a que los atacantes publicitaron el «hack». El subsecuente frenesí de Internet por visitar el sitio se produjo y fue notado por más de unas pocas personas.
No hay indicios de que se haya eliminado ningún malware, ni se redirigió a los visitantes a otro sitio para descargar malware. Esto se puede verificar mediante el volcado HTML del sitio fraudulento en Pastebin: http://pastebin.com/j6kz0Kdk.
5) El Estado Islámico de Irak y Ash-Sham (ISIS) probablemente no estuvieron involucrados, pero ¿Lizard Squad pudo haberlo estado?
En un momento de la campaña, el sitio teslamotors.com fue redirigido a otro dominio que inspira miedo: isis.[.]acampar.
Ahora http://t.co/Y0Ab1JRkjM apunta a un dominio con ISIS en él. # tesla # hackpic.twitter.com / LHItCZcJbT
El dominio recién creado se registró en ENom y se alojó en DreamHost Web Hosting durante un breve período de tiempo.
Entonces, ¿fue este el trabajo de ISIS? En una palabra, poco probable. Es increíblemente poco probable que ISIS lo haga para Tesla como empresa. Es aún más improbable que dirijan su enojo a un pequeño taller de reparación de computadoras con sede en Illinois. Hay especulaciones en torno a la comunidad de investigación, así como al individuo objetivo, de que esta infracción fue obra de «Ryan» alias «zeekill» alias «Julius Kivimäki», un ciudadano finlandés con supuestos vínculos con Lizard Squad.
Recibiendo informes de que Julius Kivimaki hackeó las cuentas de Twitter y los sitios web de Tesla y Elon Musk por parte de Social engineering NetworkSolutions
– r000t (@rootworx) 26 de abril de 2015
OpenDNS no puede confirmar ni negar la atribución en este momento.
El uso de desfiguraciones inspiradas en el jihadista no es nuevo. Dado que muchas de estas alteraciones están destinadas a dirigir el tráfico al sitio secuestrado, infundir miedo y aumentar la publicación en los medios de comunicación populares, el uso de imágenes y mensajes controvertidos (aunque no relacionados) se está convirtiendo en un lugar común.
Como siempre, háganos saber si tiene información adicional o si le gustaría hablar con nosotros sobre nuestros hallazgos.
Ver más en: https://labs.opendns.com/2015/04/27/five-things-to-know-about-the-tesla-motors-compromise/#sthash.PbStdcJh.dpuf

Publicaciones relacionadas

Más de un tercio de todos los ataques de phishing se dirigen a clientes del sector financiero en el segundo trimestre de 2018

Ataque de ransomware en el consejo de Redcar

Cynerio honrado con el premio MedTech Breakthrough Award 2019

La banda de ransomware como servicio DarkSide crea un servidor para filtraciones de datos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar