Lectura 4:00 min
Varios hackers ya habían infectado a la Sedena antes de Guacamaya
En el caso de la Sedena, el grupo de hacktivistas Guacamaya explotó una vulnerabilidad del servicio de correo electrónico Zimbra, a diferencia de los ataques en contra de otros ejércitos latinoamericanos, donde usó una vulnerabilidad de Microsoft Exchange conocida como ProxyShell.
El grupo de hacktivistas Guacamaya usó un ataque contra la Secretaría de la Defensa Nacional (Sedena) que se diferencia de los que empleó contra otros ejércitos e instituciones latinoamericanas. El grupo de hackers explotó una vulnerabilidad en el servicio de correo electrónico Zimbra con la que extrajo los 6 terabytes de información del ejército mexicano y se dio cuenta de que otros ciberatacantes ya habían intentado descargar archivos desde sus servidores.
En una publicación dentro del sitio Enlace Hacktivista, Guacamaya describió con detalle la forma en la que accedió a un servidor de la Sedena para robar miles de archivos y cómo otros hackers también descargaron información:
“Todas las demás filtraciones fueron descargadas con Proxyshell como se ve en el video, pero SEDENA fue con una vulnerabilidad antigua de Zimbra. Fue simplemente usar esto para explotar la vulnerabilidad y subir una webshell, y luego usar la webshell para descargar todos los correos de /opt/zimbra/store. Ya había muchas otras webshells allí, con fecha desde el 5 de Julio (la fecha puede ser fácilmente cambiado con touch -t pero también esta documentado que en Julio se empezó a explotar muchos servidores de Zimbra) y vimos que otros hackers también estuvieron descargando los correos a la vez”.
El grupo Guacamaya tardó alrededor de un mes desde que explotó la vulneración hasta que extrajo la información del servidor de la Sedena, de acuerdo con Hiram Camarillo, especialista en ciberseguridad de Seekurity, quien entabló comunicación con Guacamaya a través de Enlace Hacktivista.
Mientras que en un video publicado junto con sus declaraciones y un poema, donde revelaba la exfiltración de 6 terabytes de la Sedena, las hackers revelaban la forma en la que habían explotado el grupo de tres vulnerabilidades Proxyshell para piratear la información de ejércitos como el chileno o el colombiano; en el caso de la Sedena, Guacamaya explotó las vulnerabilidades CVE-2022-27925 y CVE-2022-37042 del sistema de correo electrónico Zimbra.
Mediante estas vulnerabilidades, de acuerdo con Camarillo, los hackers usaron una especie de programa espía, llamado webshell, que permite escribir código dentro del servidor infectado para acceder a la consola de comandos del mismo y desde ahí, comenzaron a descargar los archivos de la carpeta /opt/zimbra/store. Guacamaya se percató además de que otras webshells de otros hackers se encontraban dentro del servidor de la Sedena, al menos desde el 5 de julio de 2022.
Quiere decir que había varias personas dentro de ese servidor”, dijo Camarillo.
Las vulnerabilidades de Zimbra fueron actualizadas en abril de 2022, luego de que la compañía liberó los parches correspondientes. Zimbra gestiona dos versiones disponibles de su herramienta colaborativa de correo electrónico: una gratuita de código abierto cuyo soporte es brindado por la comunidad y otra comercial en la que ofrece el soporte de la empresa.
Para Camarillo, la instalación de Zimbra puede deberse a la reducción presupuestal que sufrieron las áreas de tecnologías de la información a comienzos del sexenio de Andrés Manuel López Obrador.
El pasado 29 de septiembre, el medio mexicano Latinus hizo públicos algunos de los documentos presuntamente extraídos por Guacamaya a la Sedena. El presidente mexicano Andrés Manuel López Obrador confirmó en su conferencia matutina el hackeo a la secretaría y aseguró que los culpables de este incidente debían tratarse de una agencia o un grupo del extranjero.
Desde entonces, diversos medios de comunicación y organizaciones de derechos humanos como Animal Político, El País y la Red en Defensa de los Derechos Digitales (R3D) han tenido acceso a la información robada por Guacamaya y han revelado vulneraciones a derechos humanos como la intervención de comunicaciones contra periodistas y el ocultamiento de delitos como el abuso sexual dentro del ejército mexicano.
El grupo de hackers también hizo públicos varios archivos que atribuye al robo realizado contra la Sedena en los que se evidencia el seguimiento que hace el ejército mexicano a líderes sociales en distintas comunidades del país y de noticias de medios de comunicación vinculadas a proyectos insignia del gobierno del presidente López Obrador como el Tren Maya.