Una de las posibles causas que se
apuntaban desde The Guardian sobre el hackeo Masivo de Yahoo, era el uso de cookies falsificadas, pero tal
y como se recoge en Ars Technica esto podría ser sólo la punta del iceberg. Un
agente especial de la oficina del FBI de Silicon Valley llamado Malcolm Palmore
apunta a que se trató de un caso de spear phishing. Por ahora parece que esta
forma de ingeniería social es la causa más plausible.
Pero, ¿qué es el spear phising
exactamente? Para que nos entendamos, el phishing tradicional ataca a un amplio
abanico de objetivos intentando robar sus datos. Con el spear phishing se ataca
a un grupo u organización determinado, intentando conseguir los datos de uno de
sus integrantes para acceder a su infraestructura.
Así fue el hack según el FBI
- Gracias a usar un ataque dirigido, los cuatro
acusados consiguieron acceso directo a las redes internas de Yahoo. Una
vez dentro, se cree que Alexsey Belan (que ya estaba en la lista de los
crackers más buscados del mundo, tal y como dijimos ayer) realizó labores
de reconocimiento por las redes del gigante de Internet.
- Durante esta misión de exploración, descubrió dos
activos importantes para la empresa, según el FBI: por un lado la base de
datos de usuarios de Yahoo (UDB) y una herramienta administrativa llamada
Account Management Tool. Los contenidos de la UDB ofrecieron a Belan y a
los dos agentes de la FSB información que podían usar para localizar
determinadas cuentas de su interes. Con la segunda herramienta se podía
alterar cualquier cuenta objetivo, incluyendo el cambio de contraseña.
- Después, los acusados descubrieron una herramienta que
les permitía falsifcar cookies para conseguir acceso a las cuentas sin
cambiar sus contraseñas, lo que conecta directamente con lo que adelantaba
The Guardian ayer. Al parecer, los registros de la UDB para cada usuario
contenían un número criptográfico asociado con su cuenta, que se podía
usar para generar las cookies emitidas después de la autenticación.
- El uso de las cookies falsificadas se realizó en dos
fases: primero en la propia red interna de Yahoo, y después en sistemas
que ellos controlaban. A través de esta técnica, tanto Alexsey Belan como
los agentes del FSB habrían podido crear cookies específicas para acceder
a cuentas objetivo.
EN CUANTO BELAN PUDO COPIAR PARTE DE LOS DATOS DE LA UDB
A SU ORDENADOR, EL GRUPO PUDO GENERAR COOKIES FALSAS SIN ENTRAR EN LA RED DE
YAHOO
Según se recoge en el domcumento de
acusación contra los cuatro individuos, Belan copió parte de los datos de la
UDB a su propio ordenador entre noviembre y diciembre de 2014 a través de FTP.
Desde ese momento, el grupo pudo generar cookies de forma externa, sin entrar
en la red de la empresa.
Sin embargo, el plan tenía un fallo.
Dado que los números criptográficos cambiaban cuando los usuarios cambiaban sus
contraseñas, las cookies creadas externamente fallaban con las nuevas claves
que las cuentas objetivo usaron cuando la UDB se robó. Esas cookies que no
funcionaron quedaron en los registros de los sistemas de Yahoo, lo que podría
haber conducido a detener el ataque.
La manera en la que se usaron las
cookies falsificadas fue documentada por uno de los cuatro acusados. En un
correo electrónico enviado en julio de 2015, Dmitry Dokuchaev enviaba a Igor
Sushchin (los dos agentes de la FSB implicados) una captura de pantalla de su
ordenador, en la que aparecía un addon para Firefox llamado Advanced Cookie
Manager.
Junto a esta captura había
instrucciones sobre cómo insertar una de estas cookies en una cuenta de Yahoo.
Tal y como adelantó The Guardian ayer, en total se vieron afectadas más de
6.500 cuentas.
Aunque ya conocemos más detalles que
habrían permitido llevar a cabo el hack, hay cosas que Malcolm Palmore no ha
querido revelar al medio, como por ejemplo quién descubrió el ataque (si fueron
ellos o Yahoo), o cuánto duró la intrusión hasta que fue cortada.
Fuente: Ars Technica