Case of drugs in Russian diplomatic pouch: report on brut force attacks on servers of the prosecutors in Argentina

Report by Argentinian intelligence of mass ports scanning from the Russian IP occurred on 21 May 2018 and  subsequent brut force attacks from different IPs on the servers of the public Interior’s agencies of Agentina.

hacking arg1

Federal Prosecutor’s Office of Argentina,  issued an accusation act from 21 May 2018, case № 17882/2016, against a criminal group composed “minimum of” Alexander Chikalo, Ivan Blizniuk, Andrey Kovalchuk, Ali Abyanov, Ishtimir (Timur Khudzhamov), accused of drug traffiquing via Russian diplomatic mail. Police operation is called “12 reinas” (12 queens), after 12 suit cases with drugs found in the Russian embassy in Argentina.

See also news conference on that by the Argentina’s Minister of the Interior, 2018.

The text of the document has been extracted automatically and may contain errors.

### Text extracted from: https://tbcarchives.org/wp-content/uploads/hacking-arg1.pdf

CONFIDENCIAL

29MAY1S

Tetris Botnet

SÍNTESIS:

El día 21MAY18 la Dirección de Gestión Tecnológica de la PSA, detectó e informó una

serie de eventos que tuvieron como objetivos al MINSEG y algunas de las FFS5

dependientes del mismo. El mas relevante de ellos, fue un escaneo masivo de puertos

a rangos de direcciones IP públicas de la PNA, GNA, PSA y el MINSEG, desde una

dirección IP de cuyos datos de radicación pertenecen a la Federación Rusa. A posteriora

se produjeron Ataques de Fuerza Bruta contra un servidor de correo electrónico de la

PSA a través del protocolo SMTP, desde otras 14 direcciones IP radicadas en diversos

países, aunque entre ellos no se encuentra la nación antes detallada.

Sí bien diferentes servicios dei MINSEG y las FF.SS. fueron blancos de un ciberataque,

con excepción de la PFA, y con base en la información obtenida, la magnitud de la

operatoria responde a operaciones cibernéticas de mayor alcance geográfico,

temporal, y en última instancia, las motivaciones no siempre son claras. Es decir,

puede haber una cortina de humo para esconder la real finalidad o el resultado fue un

efecto colateral,

HIPÓTESIS:

No se puede aseverar la motivación que tuvieron los atacantes, aunque en virtud de

los objetivos, la hipótesis más probable es que su intención fue la de extraer

información de los organismos atacadas or de máxima, hacerse de! control de las redes

V servidores pertenecientes a los mismos.

No se puede descartar la posibilidad de que la botnet empleada sea parte □ está

asociada a un ataque de escala mayor, como la VPNFilter que el FBI se encuentra en

proceso de investigación y neutralización

EVALUACIÓN:

luego del análisis de las direcciones IP empleadas para perpetrar el ataque, se pudo

corroborar que varias de ellas están vinculadas a ataques anteriores hacia otros

objetivos, por Jo que conformarían una red zombíe (botnet) dedicada a ese tipo de

ilícitos informáticos, como ser sabotajes o infiltraciones.

Tanto el MINSEG como las fuerzas do seguridad han sido afectadas, excepto la PFA,

que si bien pertenece al Sistema do Seguridad interior, la disponibilidad,

confidencialidad e integridad de la información quedó fuera del alcance del

cíberataque.

DESARROLLO:

Los ataques antes descriptas corresponden a una metodología denominada ”ataque

distribuido de negación de servicio”‘ o DDoS por su sigla en inglés.

Un escaneo de puertos es una metodología comúnmente usada por los usuarios

malintencionados para detectar si los puertos de una red se encuentran abiertos y sus

vulnerabilidades pueden ser explotadas para determinar un punto de acceso. Un

ataque de fuerza bruta puede ser manual o automatizado, empleándose una lista de

palabras o combinaciones de caracteres, por medio de un diccionario, para adivinar las

contraseñas y obtener las credenciales necesarias para acceder al servicio de correo

electrónico. Si bien el segundo puede causar una inhabilitación del servicio, al final es

lograr el acceso.

A continuación se detallan las direcciones IP, las cuales por su conformación permiten

determinar el origen a nivel de nación y el proveedor de servicio de Internet (ISP) que

ACTIVIDAD

OBJETTuO

PROVEEDOR DFSFRVÍCK3 &F IMTFRHfT

E5CAUEO &E
PUERTOS

PNA, fiKA, FÍAT
mmseg

lo asigna.

V

ORIGEN
-_____________________ …

FFDfRAOON

RUSA

V1FTKAW

ARABIA

SAU&TTA

W-TNAIW

«i ■

COIOMBA

: PaISESBW&S

Sjq ;

PAKISTÁN

-GIPTQ

uATxsü

VIETMAM

■íít’iá.»

sepBpicaoe

tw

GOTEA

RÁN

ÍS.fc.lM
Z2S

INDIA

ALEMANIA

S<>. ^54.45.
W .>

FRAMClft

ir-ÍDLA

■■■■■

ATAQUE D£ FUÍR2A
bRUlA
ATAQUÉ DÉ FUERZA

BRUTA

ATAQUE DE TUERZA

BRUTA
ATAQUÉ Dt FUERZA

BRUTA

ATAQUE DE FUERZA
BRLflA
ATAQUE DF FUERZA

BRUTA
ATAQUE de tuerza
MIUTA

ATAQUE DE HJERZA
BRUTA

ATAQUE Dt FUERZA.
BRUTA
ATAQUE De FUERZA
BRUTA
ATAQUE RE FUERZA
BRUTA

ATAQUE OE FUERZA
BRUTA
ATAQUÉ ÍJ1 FUERZA

BRUTA

ATAQUE EXE FUERZA
BRUTA

psa

PSA

F^A

FSA

FSA

FSA

PÍA

PSA

FÍA

P$A

PSA

PSA

P£A

PSA

‘ — ” 1 .

1

MIR TI EMnK-l vm

V FTRVAV, PDST AFi3 T íFCOMUHIOMID’^S

GROUP
ABABIA’W INTERNET & COMML4JIGATO«S

SlSYlttSCÚ. LID.
1HÉ CÓRFCRATJ.TH rOR FWAWC J«5 ANO
PRÍIMOTING TCHHQLQQr

1PM TEL«®MUMC*C«t Support TBCA if you think this document is useful : [give_form id="2685"]Support TBCA if you think this document is useful. Donations are processed by the publisher DRJI: [give_form id="3338"]

PHP Code Snippets Powered By : XYZScripts.com

Discover more from TBCA

Subscribe now to keep reading and get access to the full archive.

Continue reading