Seguridad "nivel Suecia": un acceso olvidado permitió tomar el control de todo un "estado digital"
El hacker ByteToBreach publicó datos internos de los servicios públicos suecos.
La filtración afectó a uno de los servicios digitales clave de Suecia. En la red se publicó el código fuente completo de la plataforma estatal de gobierno electrónico que se utiliza para el funcionamiento de los servicios públicos.
La responsabilidad de la publicación se atribuyó a un participante de foros clandestinos que se hace llamar ByteToBreach. Según el atacante, el acceso a los datos se obtuvo tras comprometer la infraestructura de la empresa CGI Sverige AB. CGI Sverige es la filial sueca de la compañía internacional CGI Group y gestiona importantes sistemas digitales gubernamentales.
ByteToBreach afirma que la publicación contiene no fragmentos de configuración, sino todo el código fuente de la plataforma de gobierno electrónico. El atacante también declaró que durante el ataque obtuvo acceso a varios sistemas internos. Entre los datos robados figuran la base de datos del personal, el sistema de firma electrónica de documentos mediante una interfaz de programación, puntos de prueba de ejecución remota de código y credenciales de acceso por protocolo SSH relacionadas con el servidor de integración continua Jenkins.
El mensaje también señala materiales adicionales que ayudaron al atacante a afianzarse en la infraestructura. En el archivo se incluyeron datos sobre la intrusión inicial en la red, rastros de elusión de mecanismos de protección, así como artefactos obtenidos del análisis de volcados locales de memoria. En la publicación también se mencionan datos que permitían moverse entre servidores dentro de la infraestructura.
ByteToBreach afirma que durante el ataque lograron tomar completamente el servidor Jenkins. Tras obtener acceso, el atacante aprovechó que la cuenta de Jenkins formaba parte del grupo Docker, lo que le permitió salir del contenedor y obtener control sobre el sistema host. Luego se usaron claves privadas SSH para desplazarse a otros nodos de la infraestructura. El mensaje también menciona la aplicación del método SQL copy-to-program para el posterior desarrollo del ataque.
El código fuente robado el atacante lo distribuye de forma gratuita y publicó varios enlaces de respaldo para la descarga. Sin embargo, las bases de datos con datos personales de ciudadanos y los documentos de firma electrónica no se incluyeron en la filtración. ByteToBreach afirma que esos datos los vende por separado.
El atacante subrayó además que la responsabilidad por el incidente recae en la infraestructura de CGI. En la publicación señaló que las empresas a menudo intentan explicar una intrusión por problemas de contratistas externos. Como ejemplos, ByteToBreach mencionó los recientes ataques a Viking Line y Slavia Pojistovna, que también se atribuyen a la misma campaña.