El 27 de octubre de 2020 aproximadamente a las 4:50 pm hora de la montaña, el sitio web de la campaña de Donald Trump, www.donaldjtrump.com, fue desfigurado. Los atacantes dejaron un mensaje afirmando que tenían información comprometedora sobre el presidente Trump.

La página falsa contenía dos ID de billetera de criptomonedas que animaban a los visitantes a “votar” enviando criptomonedas a las billeteras, lo que indica que si la primera billetera recibiera más dinero que la segunda billetera, los atacantes liberarían esta información comprometedora.

Si bien el sitio se vio comprometido, los visitantes fueron recibidos con lo siguiente:

Análisis técnico

El sitio web de la campaña hizo uso del CMS Expression Engine, un CMS comercial con pocas vulnerabilidades conocidas. El sitio utilizó Cloudflare como una red de distribución de contenido (CDN).

Dado que el sitio estaba protegido por Cloudflare, los atacantes no habrían podido acceder al sitio a través de FTP o SSH a menos que conocieran la IP de origen, es decir, la IP del servidor que aloja el sitio. Cuando un sitio usa Cloudflare, los servidores de Cloudflare son a los que acceden los visitantes del sitio, en lugar del servidor de ‘origen’ que realmente contiene el contenido y cualquier aplicación web. Cloudflare intenta ocultar la dirección IP del servidor de origen, lo que dificulta el acceso a ese servidor a menos que pueda descubrir la dirección IP.

La página de desfiguración en sí mostraba dos billeteras XMR (Monero). Monero es una criptomoneda popular entre los actores de amenazas porque utiliza un libro de contabilidad público ofuscado. Esto significa que, aunque las transacciones se registran, actualmente no se pueden rastrear. Esto hace que sea imposible para los forasteros descubrir quién envió dinero a cada billetera o las cantidades involucradas.

Los atacantes también dejaron una clave pública de Pretty Good Privacy (PGP) en la página de desfiguración. Se puede utilizar una clave pública PGP para verificar los mensajes firmados y asegurarse de que el remitente del mensaje sea la misma persona que publicó la clave pública. Si los atacantes decidieran más tarde divulgar información, podrían demostrar que eran los mismos actores de amenazas que desfiguraron el sitio firmando información divulgada con su clave privada.

Solo la información firmada con su clave privada sería verificable utilizando la clave pública publicada. En este caso, la clave pública parece corresponder a una dirección de correo electrónico inexistente, hack@planet.gov . No obstante, hemos proporcionado la clave PGP para la posteridad:

Vectores de intrusión potenciales (IV)

Hay varios posibles vectores de intrusión o mecanismos que los atacantes podrían haber utilizado para acceder y desfigurar el sitio web de la campaña de Trump. Describimos varias posibilidades a continuación, pero para ser claros, sin evidencia forense para verificar estas teorías, no podemos saber definitivamente cómo se vio comprometido el sitio.

En cada caso, las credenciales comprometidas son, con mucho, el vector de intrusión más probable. Un investigador holandés afirmó recientemente haber accedido a la cuenta de Twitter de Trump con la contraseña “maga2020!”. La cuenta de Twitter de Trump también fue pirateada en 2016 cuando una violación de datos reveló que estaba usando la contraseña «yourefired».

IV: Credenciales comprometidas utilizadas para iniciar sesión en Expression Engine – Alta probabilidad

Expression Engine, como la mayoría de los sistemas de gestión de contenido, proporciona un panel administrativo para publicar contenido. De forma predeterminada, se encuentra en /admin.php. En donaldjtrump.com, sin embargo, el inicio de sesión de administrador se ha reubicado en una ubicación diferente, un ejemplo de seguridad a través de la oscuridad.

El Archivo de Internet indica que la última vez que se pudo acceder a la página de administración en la ubicación predeterminada fue en junio de 2015. Incluso en esta ubicación oculta, si un atacante hubiera podido acceder al panel administrativo, habría podido alterar cualquier contenido del sitio, aunque no habrían tenido acceso a ninguna información confidencial.

Las páginas de «Política de privacidad» y «Términos y condiciones» muestran un error de «404 página no encontrada» horas después de que se haya restaurado el sitio. Esto indica que algo cambió en el propio sistema de gestión de contenido, en lugar de en la configuración de Cloudflare. Por lo tanto, creemos que el CMS comprometido es, por lo tanto, una probabilidad más alta que Cloudflare, que describimos a continuación.

IV: Credenciales comprometidas utilizadas para iniciar sesión en Cloudflare – Probabilidad media

Si un atacante pudo iniciar sesión en la cuenta de Cloudflare de la campaña, podría haber apuntado el dominio a una dirección IP bajo su control, reemplazando efectivamente el contenido del sitio con el contenido de su propia cuenta de alojamiento. Esto también podría explicar cómo la campaña pudo «restaurar» el contenido original del sitio tan rápidamente.

Simplemente apuntar el dominio a la dirección IP correcta habría revertido la alteración. El hecho de que algunas páginas del sitio, como la «Política de privacidad» y los «Términos de servicio» sigan mostrando errores 404 en el momento de nuestra publicación, indica que este es un vector de intrusión menos probable.

IV: Credenciales comprometidas o ingeniería social utilizadas para cambiar los servidores de nombres de dominio en el registrador – Baja probabilidad

Esto funcionaría utilizando un mecanismo similar al compromiso de Cloudflare. Si un atacante pudo iniciar sesión en la cuenta donde se registró el dominio donaldjtrump.com, o mediante ingeniería social para ingresar a la cuenta en el registrador del dominio, es posible que haya podido desviarlo de los servidores de nombres de Cloudflare y de los servidores de nombres bajo su control. .

El hecho de que algunas páginas del sitio sigan mostrando errores 404 indica que esta es una posibilidad menos probable. Además, los cambios de servidor de nombres suelen tardar lo suficiente en propagarse, por lo que es probable que la página desfigurada aún sea visible desde algunas ubicaciones.

IV: servidor de origen pirateado a través de FTP o SSH – Baja probabilidad

Este es el escenario menos probable, ya que los atacantes necesitarían conocer la dirección IP de origen del sitio, así como las credenciales FTP o SSH para la cuenta de alojamiento del sitio, para poder conectarse directamente al sitio sin ser bloqueados por Cloudflare.

IV: Vulnerabilidad de la aplicación web: baja probabilidad

Si bien es posible que se haya explotado una vulnerabilidad en Expression Engine, Expression Engine ha tenido pocas vulnerabilidades conocidas y las posibilidades de que una vulnerabilidad de día 0 en este CMS permanezca desconocida durante mucho tiempo son bajas. Además, se requeriría una vulnerabilidad o una cadena de explotación para permitir la escalada de privilegios o la ejecución remota de código para que el atacante desfigurara el sitio de esta manera.

Fuente: Wordfence