Actores maliciosos han aprovechado el ecosistema de cuadernos computacionales interactivos Jupyter, ampliamente utilizado en el ámbito de la ciencia de datos y la computación científica, para realizar stream ripping y permitir la piratería de retransmisiones deportivas mediante herramientas de captura de streaming en directo.
Los ataques implican el secuestro de cuadernos Jupyter no autenticados para establecer el acceso inicial y realizar una serie de acciones diseñadas para facilitar la retransmisión ilegal en directo de eventos deportivos, según un informe de Aqua, una empresa de ciberseguridad en la nube. Esta campaña de piratería fue descubierta por Aqua tras un ataque contra sus honeypots.
Diagrama de flujo del ataque de stream ripping mediante Jupyter. Fuente: Aqua
Según Assaf Morag, director de threat intelligence de Aqua, «en primer lugar, el atacante actualizó el servidor de Jupyter y, a continuación, descargó la herramienta FFmpeg. Esta acción por sí sola no es un indicador lo suficientemente fuerte como para que las herramientas de seguridad detecten actividad maliciosa. A continuación, el atacante ejecutó FFmpeg para capturar transmisiones en directo de eventos deportivos y redirigirlas a su servidor». En concreto, se capturaron las transmisiones en directo de eventos deportivos de la cadena catarí beIN Sports para duplicarlas en el servidor del atacante, a través de ustream[.]tv.
La versión de FFmpeg utilizada en el ataque se ha descargado a través de MediaFire, lo que en principio podría parecer sospechoso al sugerir que podría no ser una versión oficial o confiable del programa y que, por tanto, podría contener modificaciones maliciosas o utilizarse sin autorización. Sin embargo, un análisis del fichero ejecutable en VirusTotal y en IDA sugiere que es benigno.
Este ataque no solo facilita el abuso del entorno de Jupyter comprometido y sus recursos al actuar éste como intermediario, sino que también permite a los actores maliciosos conseguir ingresos económicos a través de la publicidad al retransmitir ilegalmente las emisiones en directo.
No está claro quién está detrás de esta campaña, aunque se sospecha del uso de una dirección IP de Agelia, debido a que una de las direcciones identificadas es (41[.]200[.]191[.]23).
Según Morag, las consecuencias de explotar este vector de ataque pueden ser aún más graves: «Este sencillo ataque es fácil de pasar por alto. Puesto que el impacto inmediato en las organizaciones pueda parecer mínimo (aunque afecta significativamente a la industria del entretenimiento), podría descartarse como una mera molestia. Sin embargo, es crucial recordar que los atacantes accedieron a un servidor destinado al análisis de datos, lo que podría tener graves consecuencias para las operaciones de cualquier organización. Los riesgos potenciales incluyen denegación de servicio, manipulación y robo de datos, corrupción de procesos de inteligencia artificial y machine learning, movimiento lateral hacia entornos más críticos y, en el peor de los escenarios, daños financieros y de reputación sustanciales.»
Más información:
- Threat Actors Hijack Misconfigured Servers for Live Sports Streaming (Aqua): https://www.aquasec.com/blog/threat-actors-hijack-misconfigured-servers-for-live-sports-streaming
- Hackers Hijack Unsecured Jupyter Notebooks to Stream Illegal Sports Broadcasts: https://thehackernews.com/2024/11/hackers-hijack-unsecured-jupyter.html
- Project Jupyter | Home: https://jupyter.org
- Project Jupyter Documentation — Jupyter Documentation 4.1.1 alpha documentation: https://docs.jupyter.org/en/latest
Deja una respuesta