Atacan a más de 60 universidades y agencias gubernamentales a través de SQL inyección

Un ciberdelincuente vinculado a la penetración de noviembre del 2016 a la Comisión de Asistencia Electoral de Estados Unidos y a la subsecuente venta de bases de datos ha atacado a más de 60 agencias gubernamentales y universidades aprovechando el mismo método de ataque: SQL inyección.

De acuerdo a un informe de Recorded Future, cuyos investigadores exploran la web oscura para obtener información sobre amenazas, el atacante utiliza una herramienta propiedad de SQLi para acceder a las bases de datos objetivos y luego vende el acceso a otros ciberdelincuentes.

La firma ha apodado al atacante de habla rusa “Rasputin”, y ha estado siguiendo sus fechorías desde hace un tiempo.

Entre sus últimos ataques están:

  • Dos docenas de universidades estadounidenses (incluyendo Virginia Tech, la Universidad Cornell, el Instituto de Tecnología Rochester y la Universidad Purdue),
  • Diez universidades del Reino Unido (Cambridge, Oxford, Edinburgh, entre otras), y
  • Una amplia variedad de instituciones gubernamentales de los Estados Unidos a nivel municipal, estatal y federal (incluyendo el Departamento de Educación del Estado de Oklahoma, la Oficina del Director Financiero del Distrito de Columbia y el Departamento de Vivienda y Desarrollo Urbano de los Estados Unidos).

“Las bases de datos de América del Norte y Europa Occidental contienen información sobre clientes o usuarios que históricamente se valoran con un alta prima en el mercado negro de la economía. La demanda del comprador generalmente se centra en el acceso a la base de datos estadounidense, canadiense o británica” señaló Levi Gundert, vicepresidente de Threat Intelligence.

60 universidades y agencias gubernamentales a través de SQL inyección

“Las ganancias financieras motivan a actores como Rasputin, que tienen habilidades técnicas para crear sus propias herramientas para superar a la competencia en la identificación y explotación de bases de datos vulnerables”.

Todas las instituciones antes mencionadas han sido notificadas de la situación, esperando que hayan actuado para bloquear el acceso no autorizado a sus activos.

Como Gundert señaló, el problema (vulnerabilidades SQLi) y la solución (implementación de mejores prácticas de codificación) son bien conocidos. Pero las soluciones pueden requerir costosos proyectos para mejorar o reemplazar los sistemas vulnerables, y las empresas y las organizaciones a menudo no tienen o no están dispuestos a gastar dinero en resolver ese problema en particular.

“Hasta que las organizaciones tengan un incentivo (zanahorias o palos) para auditar adecuadamente el código interno y del proveedor antes de su uso, este problema continuará en el futuro previsible”, dice.

“La sensibilización de los desarrolladores vale la pena y OWASP continúa realizando un valioso servicio comunitario a través de la educación, pero la erradicación de las vulnerabilidades SQLi probablemente requerirá de severas sanciones por la inacción”.

Su idea de una zanahoria es “un programa opt-in para la reducción parcial de impuestos corporativos” para aquellas compañías que emplean auditorías regulares de código y otras prácticas mejores. Y para aquellos que responden más al palo, las multas y/o la perdida de demandas podrían hacer el truco.

Fuente: HelpnetSecurity