Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/11/2014
Syrian Electronic Army ataca llocs de notícies de tot el món
En les últimes hores, els llocs de diversos mitjans de comunicació importants a nivell mundial van resultar compromesos en el context d’un massiu ciberatac de l’Exèrcit Electrònic Sirià (SIGA).
Segons llegim en WeLiveSecurity, entre els afectats hi ha The Independent, The Daily Telegraph, The Sunday Times, The Sun, PC World, Chicago Tribune, Forbes, Abc, NBC, Clarín i Olé.
Com de costum, les repercussions van arribar ràpidament a Twitter i la notícia va començar a difondre’s.
Ja que la llista d’afectats inclou Clarín i Olé, dos grans diaris d’Argentina, i el diari espanyol Abc, comprovem que no es va tractar d’un atac dirigit especialment a països anglosaxons. Ara bé, quin és el denominador comú entre les víctimes?
Segons reporta The Register, es van fer redireccions DNS a través de Gigya, una ferramenta que utilitzen tots estos mitjans. Es tracta d’una plataforma de gestió d’identitat de clients, que inclou productes per al registre personalitzat, loguet social, administració d’identitats i accés (IAM), l’emmagatzematge, el perfil i la integració amb servicis de màrqueting i plataformes de tercers.
En què consistia l’atac? Tal com descriu Clarín, quan els usuaris accedien als llocs compromesos apareixia la llegenda “You’ve been hacked by the Syrian Electronic Army (SIGA)” (“Has sigut piratejat per l’Exèrcit Electrònic Sirià”). Quan es feia clic sobre el missatge, s’accedia a una imatge amb el logo del SIGA.
Segons el matutí argentí, al Regne Unit les webs de The Independent, The Daily Telegraph, Evening Estandard, The Sun o The Sunday Times han sigut compromeses. Als Estats Units, algunes de les afectades han sigut Chicago Tribune, Forbes o CNBC, així com la lliga nacional d’hoquei nord-americà. Altres webs d’altres punts del món també han sigut víctimes de l’atac, com les d’Al-Jazeera i, a Espanya, Abc i El Correo.
Davant de l’alarma generada, Gigya va publicar un comunicat en el qual afirma:
“Aproximadament a les 06.45 AM EST identifiquem fallades esporàdiques en l’accés al nostre servici. Una investigació inicial ha revelat que va haver-hi una bretxa en el nostre registrador de dominis que va resultar en el registre WHOIS de gigya.com, modificat perquè apunte un servidor DNS diferent. Eixe servidor DNS s’havia configurat perquè el domini CDN de Gigya (cdn.gigya.com) apunte un servidor controlat pels pirates, on van servir un arxiu denominat “socialize.js” amb una alerta que diu que el lloc havia sigut piratejat per l’exèrcit sirià electrònic.
Per a ser absolutament clar: ni la plataforma de Gigya ni la informació de cap usuari, administrador o operació ha sigut compromesa i mai no va estar en risc de veure’s compromesa. Més aïna, l’atac només va servir altres arxius JavaScript en compte dels servits per Gigya.”
Finalment, el comunicat confirma que ja s’ha solucionat el problema, però que de la mateixa manera en algunes ocasions podria continuar havent-hi errors en les pròximes hores.
El SIGA ha estat darrere de diversos atacs en l’últim temps: al febrer, es va adjudicar un atac a eBay i PayPal per no proveir servicis a Síria, i al gener havia sigut el torn de la cadena CNN en Twitter i Facebook, i de Skype. A l’agost de 2013 va atemptar contra la web del The New York Times, i recordem també que com a exèrcit digital va tindre un paper en el conflicte amb els Estats Units.
L’Exèrcit Electrònic Sirià és un grup de pirates “informàtics supervisats” pel règim sirià d’Al-Assad, que a través d’atacs de correu brossa, pesca, defacement, programari maliciós i denegació de servici, es dirigixen principalment a grups polítics de l’oposició i llocs web occidentals, incloent-hi les organitzacions de notícies i grups de drets humans.