Pedidos do Ministério Público da Corte Nacional Três anos de prisão Para José Luis Huertas, conhecido como Alcasec, por atacar o site do ponto neutro judicial do CGPJ. O hacker conseguiu extrair Dados bancários de mais de 571.000 contribuintesAssim, Um ataque O que lhe permitiu obter lucros milionários para a venda dessas informações.
No resumo da acusação o Mitigação muito qualificada de confissão tardiaO que reduz o pedido de condenação por crimes contínuos de acesso ilegal a sistemas de computador e descoberta e revelação de segredos. Sua colaboração com a justiça permitiu O confisco de 863.000 euros da venda de dados roubados.
Os outros envolvidos no caso
A situação é diferente para os outros dois réus. Para Daniel BaílloOutro hacker envolvido, a promotoria pede 4 anos e 4 meses de prisão Para um crime contínuo de Acesso ilegal a sistemas de computador e outra descoberta de segredos. Além disso, é considerado um cooperador necessário na revelação de segredos atribuídos ao ALCASEC.
O terceiro réu, Juan Carlos O.face 3 anos e 4 meses de prisão Como autor material de um crime de descoberta de segredos. De acordo com a investigação, este último comprou 1.247.727 registros por valor 109.876 Euros com a intenção de lucrar com eles.
O método de acesso ao sistema
O ataque sofisticado começou Em outubro de 2021, quando a Alcasec contratou dois sistemas de armazenamento em massa Com uma empresa lituana usando uma conta de email criada durante sua minoria para ocultar sua identidade.
Con Enriquecimento ilícitoEle obteve de Baállo a Certificado digital roubado Emitido pelo FNMT para o DGT. Este certificado permitiu que você se conectasse remotamente aos sistemas de tráfego e acesse a rede policial por meio de um endereço IP interno do Departamento de Polícia Geral.
Usando essas credenciais, ele fez 876 conexões ao portal da polícia nacional entre julho de 2022 e a data de sua detecção. Esses fatos estão sendo investigados separadamente no Tribunal de Instruções 50 de Madri.
Infiltração no sistema judicial
Uma vez dentro da intranet da polícia, a Alcasec recebeu credenciais de um policial nacional e conseguiu navegar pelo rEd Sara (sistema de aplicação e redes para administrações).
Esse acesso permitiu que ele se conectasse ao site do ponto neutro judicial do CGPJ, de onde obteve as credenciais de um usuário de um tribunal de Bilbao que ele usou para verificar a operação do sistema.
Junto com Baíllo, eles criaram um Site falso que simulou sendo o portal de acesso ao PNJ para capturar mais credenciais. Baíllo contratou o domínio malicioso “cgpj-pnj.com” com um subdomínio que apontou para um endereço IP localizado na Rússia.
O roubo enorme de dados
Depois de acessar o PNJ com as credenciais capturadas, Alcasec Ele enviou comunicações a diferentes tribunais com links que redirecionavam para sua página falsaobtendo assim as chaves para outros usuários do sistema judicial.
Com as credenciais de dois funcionários judiciais que caíram na armadilha, ele fez 438.099 solicitações para o serviço da web “contas bancárias estendidas” A agência tributáriaseguido de um segundo ataque.
O CGPJ bloqueou as contas comprometidas em detectar atividades suspeitas e coloque os fatos no conhecimento do Tribunal Nacional. Com a ajuda do Centro Criptológico Nacional, a página simulada estava bloqueando.
O escopo do ataque e a venda de dados
Segundo o CCN, as entidades afetadas pela subtração de dados foram Cadastre, Agência Tributária, DGT, INE, Seguro Social, Sepe e Polícia Nacional. A agência tributária confirmou que essas consultas de massa afetadas 571.210 pessoas naturaisenquanto consultas individualizadas previamente afetadas 373 números NIFalguns pertencentes a pessoas com relevância pública.
Para comercializar dados roubados, a Alcasec criou o portal “USMS”, onde introduziu 574.908 registros Extraído de Pnj. As transações foram feitas através dos pagamentos de criptomoeda “Plisio”.
ANÚNCIOO portal, que veio a ter 17 bancos de dados à venda, tinha 1.746 usuários registradosdo qual 518 fez compras correspondendo a mais de 30 milhões de registros vendidosgerando receita de 1.866.175 Euros.
