Sitio web del gobierno ecuatoriano comprometido con ataque

Las actividades delictivas son moneda corriente en la actualidad; sin embargo, cuando el mismo afecta al sitio web de una entidad gubernamental toma mayor relevancia e impacto debido a su connotación, y deja en evidencia la importancia de mantener controles fuertes y concretos sobre los aspectos tendientes a fortalecer la seguridad del entorno de información.

Hace un tiempo alertamos sobre un ataque de phishing que alojaba los archivos fraudulentos en un sitio perteneciente a una entidad gubernamental de Colombia, de la cual alertamos a los responsables logrando erradicar la amenaza en tiempo y forma.

En esta oportunidad, una situación similar se dio lugar en un sitio gubernamental de Ecuador. Aprovechando una vulnerabilidad en el servidor donde se aloja el sitio web, él o los atacantes lograron subir archivos que le permiten acceder al sistema de forma remota. A continuación podemos ver una imagen con los archivos alojados por el atacante:

Carpeta index en servidor vulnerado

Los atacantes pertenecen a un grupo llamado Hacker-Newbie Crew que se dedica a realizar intrusiones no autorizadas explotando vulnerabilidades en los servidores y responsables de varios defacing (alteración de las páginas web).

Estos archivos maliciosos son alojados a través de un backdoor (puerta trasera) generalmente escrito en PHP mediante el cual obtienen control total sobre el sitio web y de esta forma pueden subir al servidor cualquier tipo de archivos. A continuación se aprecia la imagen de dicho archivo “a.php”:

Backdoor mediante el cual accede el atacante

ESET NOD32 detecta los archivos maliciosos como PHP/IRCBot.NAA, PHP/IRCBot.NAD y Perl/Shellbot.B. Sin embargo, es importante destacar la importancia de proteger los servidores de archivos, sean estos basados en plataformas Windows o GNU/Linux con soluciones de seguridad proactivas como ESET Gateway Security.

Además, periódicamente controlarlos para detectar en forma temprana este tipo de actividades, ya que al igual que en muchos otros casos de similar importancia, el sitio web es utilizado como puente para realizar otros ataques.

Jorge Mieres
Analista de Seguridad

Autor , ESET

Síguenos