Una sofisticada operación cibercriminal dirigida a instituciones gubernamentales y organizaciones privadas en múltiples continentes ha culminado en la sentencia de Al-Tahery al-Mashriky, un hacker de 26 años de Rotherham, South Yorkshire.
El prolífico atacante, que operaba bajo múltiples alias dentro del colectivo de piratería extremista “Yemen Cyber Army”, fue sentenciado a 20 meses de prisión después de declararse culpable de nueve delitos bajo la Ley de Mase el Informe de la Computación.
La campaña de interrupción digital de Al-Mashriky abarcó desde 2022 a través de su arresto, dirigido a entidades de alto perfil, incluidos el Ministerio de Asuntos Exteriores de Yemen, el Ministerio de Medios de Seguridad de Yemen, las noticias en vivo israelíes, los sitios web basados en la fe en América del Norte y sitios de infraestructura crítica como la Junta de Agua del Estado de California.
Su metodología se centró en la explotación de aplicaciones web de baja seguridad, donde obtendría acceso administrativo no autorizado antes de implementar herramientas de reconocimiento para enumerar vulnerabilidades adicionales y credenciales de usuario.
La escala de las operaciones de al-Mashriky se hizo evidente cuando se jactó de los foros de delitos cibernéticos sobre el compromiso de más de 3.000 sitios web en un período de tres meses en 2022.
Analistas de la NCA identificado La conexión del hacker con el Ejército Cyber Yemen a través del análisis de forense digital de sus dispositivos incautados, revelando un tesoro de credenciales robadas que afectan a más de 4 millones de usuarios de Facebook junto con credenciales de inicio de sesión para servicios premium, incluidos Netflix y PayPal.
Análisis de vectores de ataque y mecanismos de persistencia
El examen forense de la infraestructura digital de Al-Mashriky reveló un enfoque sistemático para la infiltración de sitios web que priorizó la cantidad sobre la sofisticación.
Su metodología de ataque implicó escanear sitios web objetivo para vulnerabilidades comunes, particularmente enfocándose en sistemas de gestión de contenido no parpadeados y mecanismos de autenticación débiles.
Una vez que se logró el acceso inicial, al-Mashriky aumentaría los privilegios a los niveles administrativos, lo que le permitiría manipular el contenido del sitio web y establecer los puertas traseras persistentes.
La técnica de firma del hacker implicó la creación de páginas web ocultas integradas con mensajes ideológicos e identificadores personales, transformando sitios web comprometidos en plataformas de propaganda.
En el caso de Israeli Live News, los investigadores descubrieron que Al-Mashriky había descargado toda la base de datos del sitio web después de obtener acceso administrativo, demostrando el potencial de exfiltración de datos a gran escala.
Sus herramientas de escaneo catalogaron sistemáticamente los nombres de usuario y las vulnerabilidades del sistema, creando perfiles de reconocimiento detallados para futuras campañas de explotación.
El subdirector Paul Foster, de la Unidad Nacional de Crimen Cibernético de la NCA, enfatizó la importancia de la investigación en la demostración de la capacidad de la aplicación de la ley para rastrear los ciberdelincuentes sofisticados a través de las fronteras internacionales, señalando que tales operaciones causan una interrupción operativa sustancial a las organizaciones específicas mientras permiten fraudes potenciales contra millones de individuos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
