Gobierno mexicano, en riesgo de ser atacado por Lazarus

Lazarus está llevando a cabo una amplia campaña de recopilación de información y de inteligencia patrocinada y dirigida por Corea del Norte. En principio, estos ataques se han dirigido hacia organizaciones de investigación médica, sector energético, fabricantes de tecnología, sector defensa y sector de ingeniería química, con fines de espionaje, pero las capacidades del grupo criminal los están llevando a identificar y vulnerar objetivos que utilizan el sistema de correo Zimbra y que no han instalado los parches de seguridad emitidos por el mismo fabricante.

Lazarus es un grupo de amenazas que data desde 2009, que ha mostrado continuidad en sus ataques y que es respaldado por el gobierno de Corea del Norte. Los motivos de Lazarus son de espionaje, inteligencia y, principalmente, económicos pues representa una importante fuente de ingresos para el gobierno norcoreano. Algunos de los ataques destacados de Lazarus incluyen el robo de información del chip M1 de Apple, así como el robo de 100 millones de dólares en criptomonedas del sistema Horizon Bridge, de la empresa de blockchain Harmony.

Gobierno mexicano en peligro

El 5 de noviembre de 2022, la unidad de investigación de SILIKN emitió una alerta ya que encontró varias dependencias e instituciones de gobierno que están utilizando el sistema de correo de Zimbra.

Zimbra es un programa colaborativo de aplicaciones entre las cuales ofrece el servicio de correo electrónico, calendario, contactos, documentos, etcétera. Es un sistema basado en la web que está diseñado para la implementación organizacional, con el objetivo principal de integrar una gran cantidad de herramientas de colaboración.

Zimbra admite clientes de correo electrónico como Windows Outlook y tiene compatibilidad con sistemas informáticos Windows, Linux y Apple. Además, proporciona sincronización inalámbrica con sistemas operativos de dispositivos móviles como iOS y Android.

Las vulnerabilidades no gestionadas en Zimbra por el gobierno de México, permitieron que el grupo hacktivista Guacamaya pudiera extraer 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena), en un incidente dado a conocer en octubre de 2022.

La unidad de investigación de SILIKN ha examinado y cotejado los incidentes relacionados con este grupo de atacantes, lo cual ha dado como resultado encontrar actividades que han comenzado a través de un compromiso inicial y una escalada de privilegios, que se logró mediante la explotación de vulnerabilidades conocidas en los servidores de correo Zimbra que no tienen instalados los parches de seguridad.

Con estas acciones, Lazarus ha extraído alrededor de 120 gigabytes de información de los buzones de los servidores, por lo que se estima que este grupo seguirá apuntando hacia verticales de investigación, energía e infraestructura crítica.

Las vulnerabilidades que está explotando Lazarus son las mismas que el grupo hacktivista Guacamaya utilizó para atacar a la Secretaría de la Defensa Nacional, en octubre de 2022: CVE-2022–27925 y CVE-2022–37042, vulnerabilidades que ya habían sido reportadas por Zimbra (CVE-2022–27925, el 21 de abril 2022 y CVE-2022–37042, el 12 de agosto de 2022), pero que muchas organizaciones — incluyendo a la Sedena — no tomaron en cuenta y por lo mismo no habían instalado los parches de seguridad correspondientes.

Lazarus

Posibles objetivos y recomendaciones

De acuerdo con la alerta emitida por la unidad de investigación de SILIKN el 5 de noviembre de 2022, se reportaron diversas dependencias e instituciones de gobierno que están utilizando Zimbra y que, si en este momento no han gestionado de forma adecuada las vulnerabilidades, podrían ser los próximos objetivos de Lazarus.

Algunas de las dependencias e instituciones involucradas están dentro de la categoría de seguridad nacional, mientras que otras están dentro de la categoría de infraestructura crítica. Nuevamente, compartimos la lista de las que podrían estar en riesgo:

  • Gobierno de la Ciudad de México
  • Servicios de Salud Pública de la Ciudad de México
  • Gobierno del Estado de Jalisco
  • Instituto Nacional de Psiquiatría
  • Fiscalía General de Justicia del Estado de México
  • Fiscalía del Estado de Tabasco
  • Fiscalía de Zacatecas
  • Instituto de Seguridad Social del Estado de Tabasco
  • Instituto Nacional de Rehabilitación
  • Poder Judicial del Estado de México
  • Gobierno de Chiapas
  • Gobierno Municipal de Irapuato, Guanajuato
  • Poder Judicial del Estado de México
  • Poder Judicial del Estado de San Luis Potosí
  • Fiscalía General de Justicia del Estado de México
  • DIF de Sonora
  • Instituto Nacional de Enfermedades Respiratorias
  • Consejería Jurídica y de Servicios Legales del Gobierno de la Ciudad de México
  • Policía Auxiliar de la Ciudad de México
  • Red de Transporte de Pasajeros de la Ciudad de México
  • Sistema de Aguas de la Ciudad de México
  • Congreso de la Ciudad de México
  • Guardia Nacional
  • Secretaría de Marina
  • Secretaría de Desarrollo Agrario, Territorial y Urbano
  • Secretaría de la Contraloría General de la Ciudad de México
  • Secretaría Ejecutiva del Sistema Nacional Anticorrupción
  • Secretaría de Salud de la Ciudad de México
  • Secretaría de Salud de Jalisco
  • Secretaría de Salud de Sonora
  • Secretaría de Salud de Coahuila
  • Secretaría de Administración y Finanzas de la Ciudad de México
  • Secretaría de Seguridad Pública del Estado de Guerrero
  • Secretaría de Educación del Gobierno de Chiapas
  • Secretaría de Administración del Gobierno de Zacatecas
  • Secretaría Municipal de Seguridad Pública y Tránsito de Cancún, Quintana Roo
  • Secretaría de Movilidad de la Ciudad de México
  • Secretaría de Educación y Cultura del Gobierno de Colima
  • Procuraduría Federal de la Defensa del Trabajo
  • Alcaldía de Xochimilco de la Ciudad de México
  • Alcaldía de Iztacalco de la Ciudad de México
  • Alcaldía de Tláhuac de la Ciudad de México
  • Alcaldía de Tlalpan de la Ciudad de México
  • Alcaldía La Magdalena Contreras de la Ciudad de México
  • Gobierno del Estado de Tlaxcala
  • Municipio de Tecámac del Estado de México
  • Comisión Nacional para el Conocimiento y Uso de la Biodiversidad
  • Unidad Estatal de Telecomunicaciones del Estado de Guerrero
  • Consejo Estatal de Seguridad Pública del Estado de Campeche
  • Ayuntamiento de Morelia, Michoacán
  • Fideicomiso Fondo Nacional de Fomento Ejidal
  • Instituto de Control Vehicular
  • Comisión Nacional de Vivienda
  • Instituto Nacional del Suelo Sustentable
  • Caja de Previsión de la Policía Auxiliar de la Ciudad de México
  • Auditoría Superior del Estado de Nuevo León
  • Consejo de Ciencia y Tecnología del Estado de Tabasco
  • Servicios de Educación Pública de Nayarit
  • Fondo para el Desarrollo Social de la Ciudad de México
  • Centro Estatal de Tecnologías de Información y Comunicaciones de Michoacán
  • Organismo Operador de Agua Potable, Alcantarillado y Saneamiento de Morelia

La recomendación es que estos organismos actúen urgentemente y puedan revisar sus activos tecnológicos, sus respectivos controles, así como gestionar las actualizaciones y parches de seguridad más recientes, las cuales Zimbra ha lanzado y dado a conocer a través de su página web.

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.