El grupo que hackeó la SEDENA dice que no fueron los únicos en entrar a los servidores: había evidencia de que alguien más tenía acceso

El grupo Guacamaya, del que en días previos se reveló que había robado 6 TB de archivos a la Secretaría de Defensa Nacional (SEDENA) luego de realizar un ataque cibernético, ha dado a conocer algunos detalles adicionales sobre el hackeo.

Lo primero que el grupo señala en su blog, es que algunos de los documentos de la SEDENA se encuentran disponibles públicamente, pero también apuntan a que no son los únicos atacantes que ingresaron a los servidores de la Secretaría, puesto que encontraron evidencias de que alguien más tenía acceso desde principios de julio.

Tal y cómo lo detallamos en otra publicación, Guacamaya utilizó una vulnerabilidad ProxyShell, lo que permite ejecutar código en un servidor de forma remota para acceder a varias documentaciones, pero en el caso específico de la SEDENA, se aprovechó una antigua vulnerabilidad de Zimbra.

Aprovechando un problema ya documentado

Esta plataforma, según detalla Hiram Alejandro, CEO de Seekurity, es un software para correos electrónicos y de colaboración utilizado principalmente para leer y escribir mensajes, sincronizar contactos, así como calendarios y documentos.

Sin embargo, este programa tenía dos vulnerabilidades descubiertas en 2022, mismas que afectaban únicamente a la versión de pago del servicio, que permitían a un atacante ingresar por el puerto de administrador por defecto, obtener sus privilegios y escribir archivos en el servidor, permitiendo ejecutar comandos en sistemas sin parches.

El grupo menciona que explotando esta vulnerabilidad, y luego de subir una webshell, pudieron descargar todos los correos en el directorio deseado. Incluso señalan que  en el servidor de la SEDENA había otros scripts malintencionados, algunos con fecha del 5 de julio, además de que encontraron evidencia de que otros hackers también estuvieron descargando la documentación.

Por último, Guacamaya detalla que su intención es que más personas tuvieran acceso a la información, pero su difusión representa un riesgo para mucha gente si llega a manos equivocadas.

No obstante, el grupo está otorgando esta información sin cobrar por ella, siempre y cuando se les solicite directamente, pero antes se debe identificar plenamente a la persona que desea la documentación, explicar sus propósitos con los datos, además de dar detalles sobre cómo se difundiría, si esa es la intención.