Clicky

Hackers explican cómo tomaron posesión de FlexiSpy

hackeo FlexiSpy

Otro hacker anónimo hackea la compañía estadounidense Retina-X

¿Cómo vulneraron los hackers que se llaman Decepticons al fabricante de stalkerware FlexiSpy?

Según la información supuestamente proporcionada por los propios atacantes, tomó un tiempo para "tomar posesión" completamente de las redes de la compañía y causar tanta destrucción como fue posible, pero en última instancia no fue tan difícil.

¿Qué es FlexiSpy?

FlexiSpy es una pieza de spyware que se puede desplegar en una variedad de dispositivos que ejecutan Windows, macOS, iOS y Android.

Puede registrar llamadas, robar contraseñas de aplicaciones, escuchar conversaciones realizadas a través de populares aplicaciones de redes sociales y de mensajería instantánea, supervisar la navegación web de la víctima, tomar fotografías con la cámara del dispositivo, enviar SMS falsos, realizar un seguimiento de la ubicación del dispositivo y mucho más.

La compañía dice que está destinado a ayudar a los padres a mantener un ojo en los niños y los empleadores de los empleados, pero el análisis de los documentos robados por los hackers reveló que la empresa también ha estado comercializando el software espía a personas que querían vigilar actividades significativas en línea de otras y comunicaciones digitales.

La motivación de los atacantes

Reporteros de Motherboard hablaron con "Leopard Boy", un miembro de los Decepticons, y otro hacker anónimo que hackeado a la compañía estadounidense Retina-X prácticamente al mismo tiempo que los Decepticons lo hicieron con FlexiSpy. (Retina-X desarrolla y vende PhoneSheriff, otra aplicación de software de vigilancia del consumidor).

Ambos dijeron que lo que querían lograr con sus destructivas vulneraciones era poner a las empresas fuera del negocio.

El hack FlexiSpy

Los Decepticons publicaron una descripción paso a paso de cómo hackearon la compañía.

Comenzaron enumerando el espacio IP de la compañía con Fierce, y entre los resultados encontraron un subdominio que albergaba un panel de administración.

Intentaron realizar inyección de SQL en ella, pero fallaron. Luego probaron algunas combinaciones comunes de credenciales por defecto y "encontraron oro". Una vez dentro, lograron enumerar y extraer información sobre los clientes de la empresa.

Luego se pusieron a buscar servidores y sitios web dirigidos por la empresa, y encontraron servidores SSH, un servidor Microsoft Exchange, una instancia de CRM, etc. También encontraron un repositorio de software, una clave de API de Mailchimp y una contraseña que les permitió comprometer una cuenta de administrador en la instancia de CRM, desde la cual se conectaron a la red interna de FlexiSpy y comenzaron a buscar puertos abiertos.

Dicen que han logrado comprometer los servidores NAS de la empresa, los servidores que contenían respaldos de código fuente, backups de "directorios personales, documentos de recursos humanos, archivos corporativos, algunas claves SSH, copias de seguridad de contraseñas, diagramas de red internos".

Ellos accedieron y comprometieron el controlador de dominio para todos los dominios de Windows, el servidor interno de SharePoint, y comenzaron a exfiltrar todo tipo de información y código que podían - luego entregaron gran parte de ello a los reporteros de Motherboard.

Luego se dedicaron a destruir y limpiar todo: los dispositivos RAID de la compañía, los dispositivos NAS, los servidores Rackspace, los compartimientos de copias de seguridad de Amazon S3. Y finalmente, dijeron que han redirigido los dominios de la compañía a Privacy International y secuestrado un par de sus cuentas de Twitter.

"Hemos robado cada una gran cantidad de código fuente, retrocediendo años atrás. Esperamos que las firmas distribuyan herramientas escritas para identificar y eliminar infecciones, y también esperamos que la gente vea que esta industria está realmente ahí fuera, vale dinero y que es terriblemente terriblemente malvada", concluyeron.

Los dominios de la compañía ahora están de nuevo en línea, y la compañía no confirmó ni negó el ataque. En su lugar, sólo se disculpó con los usuarios por un "problema técnico temporal que afectó al portal" el 18 de abril, y anunció un "Programa de Recompensas Hacker" el 24 de abril.

Del mismo modo, Retina-X no mencionó un ataque a sus clientes, y al parecer instruyó a su personal para decir que un fallo de hardware estaba detrás de una interrupción reciente que impidió a los clientes iniciar sesión en sus cuentas.

Jesus_Caceres