MONITORIZACIÓN ACTIVA #OPS INTERNET · En esta segunda parte se muestra otro vídeo subido a la...
Transcript of MONITORIZACIÓN ACTIVA #OPS INTERNET · En esta segunda parte se muestra otro vídeo subido a la...
Informe Inteligencia Digital
Febrero2013
MONITORIZACIÓNACTIVA#OPSINTERNET
2
Índice
Contenido
Introducción ............................................................................................................................ 3
Antecedentes .......................................................................................................................... 3
ANONYMOUS ESPAÑA L.O.I.C ................................................................................................ 5
1ª OPERACIÓN DE INTERÉS: DETECTADA Y SEGUIDA. ............................................................ 8
#OPDESAHUCIOS ................................................................................................................ 8
FRANCISCO GONZÁLEZ RODRÍGUEZ. .................................................................................... 16
ALBERTO RUIZ‐GALLARDÓN JIMÉNEZ .................................................................................. 18
JOSÉ IGNACIO GOIRIGOLZARRI TELLAECHE .......................................................................... 20
2ª OPERACIÓN DE INTERÉS ................................................................................................... 22
OpGoya2013 ..................................................................................................................... 22
3ª OPERACIÓN DE INTERÉS: DETECTADA Y SEGUIDA ........................................................... 24
Ataque al Partido Popular ................................................................................................. 24
Conclusiones del informe Febrero 2013 ............................................................................... 29
3
Introducción
El informe describe los hallazgos del servicio de monitorización activa de acciones hostiles hacia instituciones o grandes cuentas en la red especialmente organizadas por la organización Anonymous en el ámbito de España.
AntecedentesDurante los últimos años se ha hecho eco en los medios de comunicación como
blogs, Twitter, prensa, e incluso en televisión, de un grupo de hacktivistas llamado Anonymous. Se conocen como un grupo de Hackers y/o activistas en la red orientados a inutilizar servidores Web impidiendo el acceso al resto del público durante varias horas o días a modo de protesta civil. Según proclama Anonymous en su manifiesto, este grupo carece de una cúpula de mando, de tal forma que cualquier persona del mundo puede liderar una acción hacktivista contra un determinado objetivo político, social o empresarial, denominado “operación”, y serán los internautas de todo el mundo los que, de forma completamente voluntaria, apoyen la causa y se unan en un ataque a gran escala contra un determinado servicio en la red, y en este punto es donde reside la fuerza, y a su vez el peligro, de Anonymous.
Se atribuye el nacimiento de Anonymous en la denominada “Deep Web” o
“Internet Oculta” a la cual no es posible acceder mediante las conexiones y navegadores convencionales. Esta “Internet Oculta” proporciona un nivel de anonimato elevado, la cual realiza las conexiones mediante nodos de red cifrados repartidos por todo el mundo e intercambiados cada pocos minutos para hacer prácticamente imposible el rastreo de una comunicación. De esta forma son capaces de crear redes de comunicación como IRCs o foros ocultos e invisibles en la red normal para establecer las bases y la organización de una determinada “operación”.
Aunque en ocasiones se ha tildado a Anonymous como un grupo desorganizado,
existe una metodología a seguir para generar una operación sobre una institución o empresa (objetivo), de este modo se estructura cada una de las operaciones por separado y se garantiza que los internautas que quieran colaborar con una determinada causa puedan hacerlo sin interferir en otras. Por lo general, los pasos a seguir para crear e intervenir sobre una operación son:
Publicación de forma anónima (normalmente utilizando páginas como “anonpaste.com”) de un documento explicativo en el cual se muestre el motivo de la operación. En este documento se expondrán los medios mediante los cuales poder seguir la operación (twitter, facebook, IRC, etc.) y agregarse como afiliado a la misma. En ocasiones también pueden agregarse objetivos a atacar desde ese mismo documento.
Si el objetivo a atacar no ha sido definido se establece una comunicación en los medios dados para determinar los objetivos y las metodologías de ataque a seguir. En este punto pueden intervenir varios grupos de
4
hacktivistas no afiliados a Anonymous los cuales podrán realizar ataques de forma independiente, de este modo un mismo objetivo puede sufrir varios tipos de ataques como “Deface” (Modificación de la página de inicio de un servidor Web la cual se sustituye por una página reivindicativa), “Digging” (extracción de datos y su posterior publicación en medios públicos), “DdoS” (Distributed Denial of Service, inundar el servidor con miles de peticiones inutilizando el servicio temporalmente), etc.
Para la realización de ataques orientados a DDoS se establece una metodología y una herramienta especifica a utilizar. Por defecto, como ha ocurrido durante los últimos años, se suele utilizar una herramienta automatizada de ataque llamada “L.O.I.C” (Low Orbit Ion Canon), la cual ofrece al internauta que desee colaborar con una determinada operación una forma sencilla y sin necesidad de conocimientos informáticos de hacerlo. Simplemente deberá seguir los pasos de descarga e instalación y especificar en la herramienta un servidor y un canal de IRC desde el cual, el operador del canal, dará comienzo a la operación mediante la colaboración de todos estos equipos conectados al mismo.
En este documento se exponen las principales operaciones de Anonymous, y el
seguimiento de las mismas, ocurridas en el ámbito Español durante el mes de Febrero 2013, se mencionan aquellas que han representado una amenaza para empresas o instituciones
5
ANONYMOUSESPAÑAL.O.I.C
Tras la aparición de la operación #OPDesahucios en Enero de 2013 comienza desde el mes de Febrero 2013 un movimiento en la red orientada a enseñar a los internautas afines a los movimientos de Anonymous a realizar ataques o a colaborar con las causas de las operaciones de una forma eficiente y sin ser detectados. El mayor movimiento se centra en un canal de Facebook abandonado hace algunos meses y recuperado a raíz de la aparición de las operaciones generadas por el grupo Anonymous.
Figura 1. Canal con alta colaboración recientemente.
Este perfil de Facebook agrega entradas casi diariamente en las cuales enseña a manejar algunas de las herramientas más importantes y más utilizadas en el ámbito de la seguridad informática con el fin de asegurar la privacidad de los integrantes de una operación.
Figura 2. Distribución de herramientas para uso de los posibles colaboradores.
6
En este caso se muestra el funcionamiento de la herramienta Foremost, la cual es utilizada a nivel profesional por equipos de Informática Forense. Mediante el uso de la misma se podría descubrir si un dato que se desea mantener oculto puede ser o no recuperado durante un proceso de auditoría forense.
En otras entradas se enseña a los internautas el significado de DDoS así como las
formas de realizarlo y como mantenerse seguro y anónimo en la red mientras se realizan los ataques. En la siguiente entrada se muestra el uso de un Proxy o VPN, herramientas necesarias y cuáles han sido probadas e incluso algunas herramientas que no necesitan conocimientos informáticos para realizar y colaborar con actuaciones de Anonymous.
7
Figura 3. Suministro de información variada a los seguidores para realización de ataques.
Y aplicaciones destinadas exclusivamente a la realización de este tipo de ataques
de denegación de la forma más simple.
Figura 4. Distribución de herramientas para usuarios novatos que desean contribuir.
De esta forma cualquier usuario de la red que desee colaborar con un proyecto
podrá aprender a manejar las herramientas de una forma sencilla, aumentando así la peligrosidad y la probabilidad de que una operación se desarrolle mediante un ataque de denegación de servicio a una institución pública o una empresa privada.
8
1ªOPERACIÓNDEINTERÉS:DETECTADAYSEGUIDA.
Comunicada como alerta temprana
#OPDESAHUCIOS
La operación OpDesahucios, creada a finales del mes de Enero de 2013, tiene como objetivo protestar contra los desahucios ocurridos en España durante el último año, culpando para ello a los principales bancos, cajas de ahorro españolas y al gobierno.
En twitter se comienza a ver actividad de Anonymous anunciando una nueva
operación contra las entidades bancarias y los desahucios provocados en los últimos meses. El Tweet tiene como encabezado “#OpDesahucios – Fase 1: Iniciada” y enlaza con un video en Youtube en el cual se explican los motivos de esta operación. Video de Youtube: ( http://youtu.be/PMLN4N06amI )
9
Figura 5. Operación en fase de inicio.
A raíz de estos vídeos en Youtube se agregan a la operación otro grupo anterior llamado #StopDesahucios que no estaba vinculado con Anonymous, los cuales llevaban tiempo realizando manifestaciones y quedadas en las principales sucursales de España.
Se comienza a visualizar los mensajes de Anonymous al gobierno de España e
instituciones de gobierno y la fusión de ambos grupos mediante mensajes en la red de Twitter. En el mensaje inferior ya se puede ver como ambos grupos publican en conjunto con el mensaje: “Comunicado Anonymous #OpDesahucios ‐ #StopDesahucios. Saludos Pueblo De España 512... ese es el número medio de desahucios diarios sucedidos en el pasado año..”
10
Figura 6. Unificación de los dos grupos.
En la red social Twitter se comienza a emitir mensajes de apoyo y se pide
colaboración para la causa. No tardan en aparecer seguidores del movimiento y se comienzan a ver los twets generados con mensajes del movimiento como: "... psicópatas de traje y corbata; homicidas de despacho, serán juzgados y el pueblo será su verdugo... " http://www.lacasademitia.es/articulo/socie... #OpDesahucios”
11
Figura 7. Marcaje a BBVA.
Y algunas imágenes de otros bancos bajo posible objetivo en la operación :
Figura 8. Marcaje a CATALUNYA CAIXA.
También se comienza la creación de páginas Web con contenido de la operación en
las cuales se intenta concienciar a la población y los internautas para que acepten la operación y se unan a la causa. En varias web también se ofrece ayuda a los
12
damnificados de los desahucios, acercando la operación a la gente y ganando así más usuarios.
Utilizan la página “http://pastehtml.com” como medio de difusión por la
privacidad y el anonimato que ofrecen este tipo de sitios. Dos de las páginas oficiales creadas por este movimiento son:
‐ http://pastehtml.com/view/cq3zcywny.html
‐ http://pastehtml.com/view/cqii5re5x.html
Figura 8. Sitios Web levantados para dar visibilidad y apoyo a la operación.
13
La operación se consolida en el momento en el que se crean los medios oficiales mediante los cuales los seguidores pueden establecer comunicación en un medio concreto. En esta ocasión se crea un canal de Twitter llamado @OpDesahucios. En muy poco tiempo la noticia se mueve en el grupo social y se llega a más de 200 seguidores en un solo día. El mensaje que ofrece este canal en su cabecera es: “En cada desahucio, Anonymous estará ahí. Esperadnos. #OpDesahucios”
Figura 9. Se genera canal en twitter para la operación.
En este canal se pueden encontrar mensajes que reivindican actuaciones o
informan del estado y los acontecimientos ocurridos debido a la operación.
Figura 10. Mensajes lanzados en la cuenta de twitter.
Surge también el canal en Facebook para conseguir llegar a la mayor cantidad de
gente posible en la red. Para ello se crea el usuario OpDesahucios y comienza la difusión de información al respecto de la operación.
14
Figura 11. Cuenta de facebook que se genera a raíz de puesta en marcha de la operación.
En poco tiempo dispone de 400 personas siguiendo a este canal en Facebook y 629
personas hablando de ello, lo cual provoca que la difusión sea mucho más rápida. En el canal se ven imágenes como las siguientes:
Figura 12. Exposición de entidades objetivo.
Durante el mes de Febrero se ha seguido incentivando este movimiento añadiendo
nuevos movimientos y ataques cibernéticos contra responsables directos en los desahucios. Aunque no se han realizado ataques de DDoS si se han realizado Defaces y extracción de información de bases de datos privadas y publicadas posteriormente.
15
En esta segunda parte se muestra otro vídeo subido a la red Youtube en el que se muestran las actuaciones realizadas contra diferentes integrantes de bancos o diputados del Partido popular en las cuales se muestran sus direcciones físicas, estado y empleo de sus familiares más cercanos, sueldos, comisiones, cargos en otras empresas, teléfonos personales y direcciones de correo electrónico. La operación se denomina “Anonymous ‐ OpDesahucios – Fase 2 iniciada”. El vídeo puede verse en la dirección “Enlace a Youtube”
Figura 12. Video de amenaza que da por abierta la fase 2 de operación desahucios.
1. En el mismo vídeo se incluye un enlace a una web de Pasteme en el cual se pueden ver varios enlaces a direcciones en las que se encuentran los datos personales de los responsables gerenciales de las entidades financieras objetivo de la operación mostrados públicamente:
http://pastie.org/6107230
http://pastie.org/6097434
http://pastie.org/6090296#2
Entre ellos se encuentra “Francisco González Rodríguez” (Presidente del BBVA), Alberto Ruíz Gallardón (Ministro de Justicia) y José Ignacio Goirigolzarri Tellaeche (Presidente de Bankia).
16
DATOS OBTENIDOS Y PUBLICADOS POR LA OPERACIÓN PARA DESACREDITAR A LOS GERENTES RESPONSABLES DE LOS BANCOS OBJETIVO Y AUTORIDADES DE GOBIERNO
FRANCISCOGONZÁLEZRODRÍGUEZ. D.N.I. nº 32.318.340 M Presidente del BBVA. Anteriormente, fue nombrado a dedo por Aznar, como presidente de Argentaria, con el único fin de privatizar el último conato de banca pública española. Su sueldo, que se rebajó a la mitad en el segundo semestre del 2012, es ahora de 1,98 millones de € al año. La jubilación fijada para él, cuando decida jubilarse del BBVA está establecida desde el 2010 en 80.000.000 €. Patrimonio neto de 41.398.600 € Es administrador solidario, al igual que su mujer de "MARMASSEN INVERSIONES S.L", con domicilio social en C/ Francisco Gervas Nº 12 (MADRID) Tel. 915720223 - CIF/NIF B84915594 Esta SICAV, que tributa al 1%, en 2011, mantenía un contencioso con Hacienda, por impago de 1.000.000 € en impuestos, del que fue exhonerado a través de un Real Decreto, en pago por favores políticos, como la privatización del último grupo de banca pública de España (Argentaria), en 1996. Su capital en social en su último informe de 2010, es de 8.160.000 €, (por los que han tributado tan solo 8.160 €) "BELEGAR INVERSIONES SL", empresa matriz de "MARMASSEN INVERSIONES S.L.", con mismo domicilio social que esta, y con NIF. A78484185. Teléfono 915707537/915720223. Su capital social es de 11.914.539,00 € Carmen Ordoñez Cousillas (esposa de Francisco González Rodríguez): Administradora solidaria junto a su marido, de "MARMASSEN INVERSIONES S.L." Administradora de "Inversiones Boreal S.L.", que más tarde cambio su nombre por "Belegar Inversiones" Consejera de "OMICRON INVERSIONES SICAV SA" (Calle Padilla, 17; CIF A82033986), llegando incluso a vender paquetes de acciones de la misma desde el BBVA. -> http://www.bbva.es/TLBS/fsbin/mult/0171IT_tcm423-306466.pdf Su capital social es de 12.552.383,16 € María González Ordóñez (hija de Francisco González Rodríguez): Responsable de la Asesoría Jurídica de Google para España y Portugal. Anteriormente, trabajó para empresas como "Skype" o "Acciona".
17
Su curriculum: https://www.aippi.org/download/paris10/CV/WSVII_MGonzalezOrdonez_Bios_SumPres.pdf Su página de Facebook es https://www.facebook.com/profile.php?id=1159564051 Está casada desde el 2004 con Iván Retzignac Georgalla de 38 años (presidente de MedicAnimal www.medicanimal.com ) Página de Facebook de Ivan https://www.facebook.com/ivan.retzignac BANCA ARMAMENTÍSTICA Bajo la dirección de Francisco González, el BBVA ha financiado con activos bancarios,empresas armamentísticas como Lockheed Martin (25 millones de dolares). Tras la presión de diversas ONG´s, rompe ese crédito con LM, pero continúa financiando casi otra veintena de empresas que fabrican bombas de racimo, armas nucleares y demás armamento "controvertido"; como son: BAE Systems, Boeing, EADS, Finmeccanica, General Dynamics, Honeywell, ITT Corporation, Jacobs Engineering, L-3 Communications, Larsen & Toubro, Northrop Grumman, McDermott International, Rolls Royce, Thales y Textron. Aquí tenéis parte del Consejo de Administración: Ángel Cano Fernández -------------------------- D.N.I. 13735761-T Juan Carlos Álvarez Mezquíriz ---------------- D.N.I. 14955512-S (Dirección C/ Virgen De Los Rosales, 12 , Madrid. Teléfono 917400052) Ramón Bustamante y de la Mora ---------------- D.N.I. 2483109-Y José Maldonado Ramos -------------------------- D.N.I. 1381560-L José Antonio Fernández Rivero ----------------- D.N.I. 10776014-P Ignacio Ferrero Jordi ------------------------- D.N.I. 46201504-R Enrique Medina Fernández --------------------- D.N.I. 15706476-Y Carlos Loring Martínez de Irujo --------------- D.N.I. 1357930 X Susana Rodríguez Vidarte ---------------------- D.N.I. 14915845 T Informes extraidos en USA: Año 2012 (parte 1) --> http://pastie.org/6107100 Año 2012 (parte 2) --> http://pastie.org/6107116 Año 2010 --> http://pastie.org/6107085 Año 2009 --> http://pastie.org/6107044 Año 2009 (modificación parte 1) --> http://pastie.org/6107060 Año 2009 (modificación parte 2) --> http://pastie.org/6107071 Año 2009 (modificación parte 3) --> http://pastie.org/6107077 Año 2005 --> http://pastie.org/6107034
18
ALBERTORUIZ‐GALLARDÓNJIMÉNEZ
MINISTRO DE (IN)JUSTICIA D.N.I. 681362-Q Tiene dos viviendas declaradas en propiedad, una en Madrid (con dos plazas de garaje) y otra en Nerja (Málaga), en la Calle Ruperto Andues, 16; teléfono 952525901 Su sueldo es de 68.981,88 €, a los que hay que sumar otros 10.446,72 € (exentos de tributar) en concepto de dietas y desplazamiento (pese a residir en Madrid), que hacen un total anual de 79.428,6 € Tiene una hipoteca de 56213,08 € concedida en el año 2010 Posée además dos coches (un BMW X1 2000cc. y un Lancia Y 1400cc.) y dos motos (Yamaha WR 400F y BMW K 1200R). PADRES: Padre: José María Ruiz-Gallardón Madre: Ana María Jiménez Aladrén ESPOSA: María del Mar Utrera Gómez (hija de José Utrera Molina, ministro de Franco,jefe de Falange y que entre sus grandes obras de caridad y humanismo, figura la firma de las sentencias de muerte de Salvador Puig Antich y Heinz Chez). HIJOS: José Ruiz-Gallardón Utrera Es abogado trabajando en la actualidad para el bufete Uria Mendez (Calle del Príncipe de Vergara, 187 Madrid. Teléfono 915860400 http://www.uria.com/es/index.html). Su e-Mail profesional es [email protected] Este buffete, es el que defendía al Kamikaze, que el propio Gallardón indultó hace poco (noticia en http://l.md/d8d) Ignacio Ruiz-Gallardón Utrera Página de Google+ https://plus.google.com/103481113151221338006 Rodrigo Ruiz-Gallardón Utrera Estudió en la Universidad San Pablo-CEU, y es actualmente abogado. Alberto Ruiz-Gallardón Utrera Es abogado, está casado con María Teresa Touriñán Morandeira. REGISTRADORA DE LA PROPIEDAD con DNI. 44.842.444-B. Teléfono de su trabajo 982510315 PRIMOS: Miguel Ruiz-Gallardón García de la Rasilla De profesión notario, árbitro de la "Corte de Arbitraje de la Cámara de Comercio e Industria de Madrid" (en excedencia mientras disfrute del puesto de "Notario de Madrid") y profesor del "IE Business School" Tiene su propia notaría en c/ Nuñez de Balboa, 54, Bajo Dcha.
19
Tfns: 914350083 y 915751815 Web http://www.notariaruizgallardon.com/ Correo electrónico [email protected] Teléfono 915780311 Implicado en un caso de corrupción, ya que fue el notario que elevó a público las escrituras y el acuerdo de compraventa de la llamada “Trama del Ladrillo de Tres Cantos”, aprovechando el cargo que desempeñaba su primo. Investigado por la fiscalía, por construir en la provincia de Cáceres, de modo ilegal, un chalet de lujo de 1000 m2 en terreno NO urbanizable especialmente protegido. Es partícipe en los actos de Ejecución hipotecaria (por ejemplo este: http://www.bocm.es/boletin/CM_Orden_BOCM/2012/05/04/BOCM-20120504-132.PDF). Ignacio Ruiz-Gallardón García de la Rasilla Es abogado. Teléfono 917813097 Ocupa actualmente, 5 cargos simultaneos en empresas. Consejero y secretario de la empresa "SAN VALENTIN, SL"; así como secretario de las empresas "MOBILE ENGINE, SL", "MOBILE DREAMS FACTORY MARKETING, SL" y "MOBILE DREAMS FACTORY BLUE, SL". Implicado al igual que su hermano en el caso de corrupción. #ILPoEscrache #StopDesahucios #OpDesahucios ...... EXPECT US
20
JOSÉIGNACIOGOIRIGOLZARRITELLAECHE
(Presidente de Bankia) DNI --> 14.909.223-W Domicilio fuera de Madrid‐‐> Paseo Ibiltokia, 3. Plentzia 48620
(Vizcaya)
Teléfonos 946 77 42 62 / 944 100 389
En la actualidad, es consejero de la Asociación para el Progreso de la
Dirección (APD), cargo que desempeña desde 2004, Patrono de la
Confederación Española de Directivos y Ejecutivos (CEDE) y
icepresidente de Deusto Business School.
Tras ser vicepresidente de Telefónica y Repsol, en el 2009 abandonó el
BBVA con una pensión vitalicia por jubilación de 3 millones de euros
brutos anuales,y que coincidió con el inicio de la crisis.
Cobra 750.000 euros anuales
Jubilacion anticipada por sus años como consejero en el BBVA:
68,7 millones de Euros, 3 millones de Euros al año.
Blog personal de José Ignacio Goirigolzarri ‐>
http://goirigolzarri.com/
Blog desarrollado y mantenido por José Ignacio Goirigolzarri, con la
colaboración del Grupo Coop. de las Indias ‐>
http://grupolasindias.coop/
Esposa ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐> Isabel Artaza Bilbao
Administradora única de las sociedades "AZATRABIS SL." (de la cual es
apoderado
J.I. Goirigolzarri) y "AZATRA SL." NIF B48473102
Hija ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐> Josebe Goirigolzarri Artaza
DNI. ‐‐> 78937808‐Z
Puedes saludarla en su página de Facebook:
https://www.facebook.com/josebe.artaza
Hijo ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐> Jon Goirigolzarri Artaza
Asociado en J&.A Garrigues.
Ejerce cargo de Vicesecretario No Consejero en "PLASTICENERGY, SL";
apoderado en "BOOST SPAIN TRADE, SL"; y secretario tanto en "ACCION
LABOR GROUP, SL" como en "ALG CONSULTING DE RECURSOS HUMANOS, SL"
Su página en Facebook para recibir saludos es:
https://www.facebook.com/jon.goirigolzarri.7?viewer_id=100005061004087
21
La familia al completo, integra una fundación llamada "Garum
Fundazioa"
( http://www.euskadi.net/bopv2/datos/2011/03/1101809a.pdf ), destinada
casi exclusivamente a establecer lazos con otros empresarios y buscar
bolsas de inversión en paises emergentes.
Un modo legal, que permite desgravar grandes cantidades de dinero a
todos estos impresentables, que además presumen de realizar una
función filantrópica.
Operado como una pura mafia, la jerarquía de dicha fundación es
la siguiente:
‐ Presidente ‐‐> José Ignacio Gorigolzarri Tellaeche
‐ Vicepresidenta ‐‐> Isabel Artaza Bilbao
‐ Secretaría ‐‐> Josebe Goirigolzarri Artaza
‐ Vocal ‐‐> Jon Gorigolzarri Artaza
Parte del Consejo Administrativo de Bankia.(Puedes llamarles o
visitarles cuando quieras..)
Consejero Ejecutivo ‐> D. José Sevilla Álvarez, DNI 50.069.166‐Y
Calle Prado Del Rey, 4. 28223 (Madrid) Pozuelo De Alarcón.
Teléfono 917995457
Consejero Independiente ‐> D. Joaquín Ayuso García, DNI 2.193.295‐S
Consejera Independiente ‐> Dña. Eva Castillo Sanz, DNI 51.675.070‐G
Calle Diego de León, 60. 28006 Madrid. Teléfono 914014469
Consejero Independiente ‐> D. José Whanon Levy; Calle Playa de
Zarauz,9.
28290 Matas‐Pinar‐Monte Rozas, Madrid. Teléfono 916304373
En otras direcciones y en Twitter podremos encontrar más posts sobre otros integrantes o directivos de bancos o partidos políticos.
Enlace: http://nopaste.me/paste/2093156751512bc66e9c675
22
2ªOPERACIÓNDEINTERÉSDETECTADA Y SEGUIDA
OpGoya2013
Otros de los ataques producidos por el grupo Anonymous en este mes de Febrero
han tenido como objetivo el Hacking de páginas Web para realizar “Defaces” o la extracción de información. Ejemplo de ello son los premios Goya del este año 2013 en el cual se extrajo una gran cantidad de información de las bases de datos mediante una vulnerabilidad en uno de los ficheros de configuración del servidor. La operación fue denominada “OpGoya 2013”
Figura 13. Operación contra la gala de entrega de premios de cine Española.
En el foro del canal de Facebook creado para la operación se realizó la publicación
del enlace a la página de “anonpaste.me” en la cual se encontraba alojado públicamente el volcado de la base de datos en la cual se mostraban teléfonos personales de los asistentes a la gala así como direcciones de correo electrónico. Se puede seguir la dirección en el siguiente enlace.
http://www.anonpaste.me/anonpaste2/index.php?85671e543b854ae
a#k9zO3DaVscVXRDCMxUL2EYVsTzhG8kxYaPiADDnTYhA=
23
Figura 14. Enlace a los datos personales de asistentes a la gala.
En este enlace puede visualizarse toda la información en formato SQL. El contenido
del archivo es bastante grande, hacia el final del documento puede verse los nombres de los asistentes y la información relevante sobre ellos.
Figura 15. Datos personales, correos electrónicos y teléfonos sustraídos de los asistentes a
la gala.
24
3ªOPERACIÓNDEINTERÉS:DETECTADAYSEGUIDAComunicada como alerta temprana
AtaquealPartidoPopular El movimiento comienza en la red a través de Twitter anunciando la petición de un
ataque a la Web del Partido Popular. El mensaje en el tweet anuncia un nuevo proceso lanzado en la página de Facebook de Anonymous España. En ella se muestra un mensaje de petición a los simpatizantes del grupo Anonymous para colaborar en el ataque (sin especificar el tipo) a la web oficial del Partido Popular, de esta forma se abre un debate sobre la forma de atacar a esta página Web o servicio en la red.
El mensaje que se muestra es “Te gustaría participar en un ataque a la web del
p.popular???”. Transcurridas únicamente 11 horas se puede ver que más de 38 mil personas están apoyando la causa del ataque, por lo que, a partir de este punto, únicamente quedaría decidir el método de actuación y las herramientas.
Figura 16. Llamamiento a atacar la página web del partido popular.
Poco a poco se comienzan a aportar ideas y a debatir sobre el método a seguir. Tal
y como se puede ver en los comentarios sobre el “post” la gente se une e intenta colaborar de la mejor forma posible con el fin de determinar un ataque que concuerde con la ideología del manifiesto de la operación.
25
Figura 17. Gente uniéndose al ataque convocado.
A las poca horas, una de las ideas propuestas es la de realizar una intrusión a la
página Web del Partido Popular aprovechando alguna vulnerabilidad del servidor y realizar un “Deface” de la Web e introducir un script que genera imágenes de sobres de forma aleatoria sobre la pantalla del navegador que acceda a la página.
Figura 18. Se propone atacar la página y dejarla llena de sobres con “dinero” como
amenaza.
26
Pocas horas después, en twitter se comienza a ver actividad de Anonymous anunciando mediante el hashtag #Spam4Th3Lulz mediante el cual anuncian el descubrimiento de todas las cuentas de correo de los diputados en el congreso pertenecientes al Partido Popular. Este se anuncia junto al mensaje “diputados populares, expect us!!!” y un enlace al facebook de Anonymous España en el cual se ha abierto un nuevo tema para discutir sobre el caso. La dirección a seguir es: fb.me/1UKRG6DLg
Figura 19. Apertura de colaboración en la operación.
El mensaje en facebook hace referencia a las direcciones de correo obtenidas y
muestra un enlace en el servidor http://anonpaste.me/ utilizado comunmente por el grupo Anonymous para publicar información obtenida en las operaciones. La dirección que muestra el mensaje es el siguiente:
http://www.anonpaste.me/anonpaste2/index.php?65486858eb78e58d#BdRBebkTX4AWs7YoDq88HfI1Br1nLbMWmkoNxGhL3L0=
En pocas horas se comienza a observar la llegada de gente al canal de Facebook y comienza una conversación acerca de los datos obtenidos y de los posibles usos que se le pueden dar a la información obtenida.
Figura 20. Enlace a las cuentas de correos políticos partido popular.
27
En AnonPaste puede verse como efectivamente se muestran todos los correos de los integrantes del Partido Popular.
Figura 21. Publicación de todas las cuentas de correos políticos partido popular.
La operación se consolida en el momento en el que se hace pública la herramienta
a utilizar para realizar un ataque de SPAM masivo (Envío de miles de correos hasta saturar el servicio) a los servidores y cuentas de correo que se han obtenido. La herramienta seleccionada es “LoicMail”, creada por los mismos desarrolladores que crearon la herramienta de DDoS “Loic”.
28
Mediante un mensaje en el canal de Facebook se muestra un mensaje en el cual
incluye la dirección que se debe seguir para obtener la herramienta “LoicMail”.
Figura 22. Enlace de descarga de la herramienta Loicmail para atacar a las cuentas de
correo de los políticos del partido popular.
La página Web de “LoicMail” muestra la utilidad y la forma de uso de esta
herramienta. En ella se especifica que la naturaleza de la aplicación es de ‘MailBomber’ denegación de servicio a los buzones de correo de las cuentas víctimas y su uso es completamente anónimo, en la última sección se explica el método de descarga de la misma.
29
Figura 23. Manual de uso de la herramienta de denegación de servicio a los buzones de correo.
ConclusionesdelinformeFebrero2013 De todas las monitorizaciones activas realizadas durante el mes de Febrero por nuestro sistema de monitoreo y personal a cargo de la vigilancia digital, se han detectado de manera temprana tres operaciones de interés. Dos de ellas fueron consideradas inmediatamente de valor para activar el servicio de alerta temprana de ataques