ARTICULOS
- Como se realizo uno de los mayores ataques Informaticos de la historia
El siguiente es la primera parte de un artículo el cual describe el funcionamiento de la Ingenieria Social y las Amenazas Persistentes Avanzadas (APT) y como con ellas, los hackers pudieron ingresar a los sistemas de la empresa RSA Security, este artículo publicado originalmente en Ingles en el Blog de RSA describe este proceso en forma detallada, el equipo de consultores de ISEC, creyó por conveniente traducirlo, puesto que detalla no solo como funcionan, si no como se aplicaron en un ataque real, el cual fue muy comentado en el ambiente de la seguridad alrededor de todo el mundo, convirtiendose en uno de los mayores ataques en la historia.
Cada mes aumenta la cantidad de empresas golpeadas por las APTs (Advanced Persistent Threath – Amenaza Continua Avanzada); y el rango de los objetivos de las APTs abarca casi toda la industria. Según cifras no oficiales ya han sido atacadas docenas de empresas; muchas de ellas son muy conocidas y nombradas.
Dichas compañías implementaron controles de seguridad de última generación tanto en el perímetro como en dispositivos terminales, y utilizaron todas las combinaciones imaginables de operaciones y controles de seguridad. Aún con todo esto algunos atacantes lograban entrar. ¿Qué puede indicar esto?
Lo primero que buscan los actores detrás de las APTs es cualquier información pública sobre empleados determinados – los sitios sociales son siempre los favoritos para esto. Con esta información obtenida envían a dicho usuario un correo falso como anzuelo (Phishing). A menudo el correo tiene un contenido de interés para el mismo, por ejemplo, si pertenece al departamento de finanzas puede hablar sobre algunos consejos de controles regulatorios.
En este caso el atacante envió dos correos falsos en dos días seguidos. Dichos correos se enviaron a dos grupos pequeños de empleados; los cuales no serían considerados como objetivos notables o importantes dentro de la empresa. El asunto en el correo se leía “2011 Recruitment Plan” (“Plan de Reclutamiento para el 2011”).
El correo fue elaborado de tal manera que logre engañar a un empleado, hacer que lo recupere de la carpeta de correos No Deseados y abra el archivo de Excel adjunto. Era una hoja de cálculo con el título “2011 recruitment plan.xls”.
La hoja de cálculo contenía un “exploit” de Día Cero (Zero-day) que instala un sistema de puerta trasera o “backdoor” por medio de una vulnerabilidad del Adobe Flash (CVE-2011-0609). Como una nota aparte, en la actualidad Adobe ha liberado un parche para este Día Cero, de tal manera que la vulnerabilidad ya no se puede utilizar para inyectar malwares en máquinas con el parche.
Bueno, regresemos al ataque. Como se sabe, el siguiente paso de una APT típica es la instalación de algún tipo de herramienta para la administración remota que permite al atacante tomar control de la máquina. En este caso el arma elegida fue una variante de Poison Ivy, configurada en un modo de conexión invertida que hace más difícil su detección. Técnicas similares fueron reportadas en muchas APTs pasadas, incluyendo GhostNet.
Teniendo el acceso remoto, el atacante ahora empieza a realizar una navegación digital sobre el hombro para determinar el rol de los empleados y su nivel de acceso. Si esto no es suficiente para los atacantes, buscarán cuentas de usuario con mejores y más relevantes privilegios.
Cuando se discute sobre las APTs no es sobre lo bueno que eres una vez adentro, sino sobre el uso de un método totalmente nuevo para entrar en la organización. No te molestas con solo perpetrar la intrusión en la organización y su infraestructura, sino que concentras tu atención en hackear a los empleados.
No se puede dar suficiente énfasis al hecho que las APTs son, en primer lugar, una nueva doctrina de ataque construida para sortear las defensas perimetrales y de extremo (endpoint). Es algo similar a los aviones de combate indetectables: durante décadas la defensa aérea se ha basado en la tecnología de radar, pero ahora se tienen estos aviones indetectables que se construyen con formas especiales y materiales compuestos muy extraños. Puedes intentar construir radares más grandes y mejores, o puedes, como escuché a alguien decir, fijar mejor la mirada en los radares existentes con la esperanza de detectar algún signo tenue de algún objeto volador, pero esto no va a cambiar el aumento de estos aviones de combate. En lugar de esto se debe pensar en una nueva doctrina de defensa.
Elaborar una nueva doctrina de defensa toma tiempo, pero la historia nos enseñó que muchas campañas emprendidas para este fin tuvieron finalmente éxito. La batalla del Atlántico es un buen ejemplo. Por años estuvo controlado por submarinos alemanes, que fueron muy efectivos para cortar la ayuda desde Estados Unidos de combustible y suministros hacia Gran Bretaña, ya a comienzos de 1943 era casi general.
Pero a mediados de 1943 esta situación cambió gracias a una combinación del liderazgo inteligente del recién nombrado Almirante Horton de la Marina Real, de los avances en la tecnología para la defensa, así como nuevas tácticas utilizadas por las aeronaves y buques escolta de los aliados. Había nacido una nueva doctrina de defensa, y funcionó de maravilla.
No es necesario que regresemos tanto. Todavía tengo el claro recuerdo del primer ataque de Phishing contra bancos en línea. Los departamentos de seguridad de TI pasaron muchas largas noches tratando de ver la manera de combatir a los atacantes furtivos a quienes no les preocupaba la cantidad de millones que se gastaron en asegurar la infraestructura, atacando en su lugar al elemento más débil de la cadena: el factor humano.
Recientemente el Consejo de Pagos del Reino Unido anunció que en el 2010 el fraude bancario en línea ha disminuido en 22%, a pesar que los niveles del phishing han aumentado en 21%. Esto está cambiando la visión. Le ha tomado 7 años al sector financiero elaborar una nueva doctrina de defensa contra los ataque de ingeniería social como son el Phishing y los Troyanos. Yo fui parte de este titánico esfuerzo, y pienso que hemos aprendido una o dos cosas que nos pueden ayudar a elaborar una doctrina de defensa contra las APTs con mayor rapidez. Ya estamos aprendiendo rápido, y cada organización afectada por una APT se encuentra mucho más preparada para la siguiente; estoy seguro que nos tomará mucho menos de 7 años decir que hemos cambiado el rumbo de las APTs.
Ahora permítanme señalar un par de puntos sobre el ataque.
Primero, mientras que la RSA dejaba en claro que se extrajo cierta información, es interesante anotar que el ataque fue detectado por su Equipo de Respuesta para Incidentes de Computadoras en progreso; he estado conversando con muchos CISOs (Chief Information Security Officer – Director de Seguridad de la Información) en corporaciones afectadas por APTs similares y demasiadas compañías detectaron el ataque luego de meses o simplemente no lo detectaron y solo supieron del mismo mediante noticias del gobierno. Esto no es una trivialidad: mediante la detección temprana RSA fue capaz de responder de manera rápida e involucrarse en contramedidas inmediatas.
Es también importante anotar que así como los aviones de combate indetectables evaden el radar en lugar de vencerlo, las APTs no “vencen” los productos de seguridad. Éstas solo encuentran la forma de volar por debajo de la tecnología existente. Nuestro equipo de respuesta de incidentes y el despliegue técnico – muchos de ellos utilizando tecnologías de RSA – nos permitieron identificar el ataque en progreso y responder adecuadamente. Esta es una prueba más que el elemento clave es la gente, no solo la tecnología.
Anatomía de un Ataque (Descripcion del ataque)
Las Amenazas Persistentes Avanzadas (Advanced Persistent Threat – APT) típicamente tienen tres etapas. La primera es el ataque de ingeniería social que es uno de los elementos clave que diferencian una APT del viejo y buen hacking. Se tiene muy en claro que desde el principio es muy difícil una defensa contra las APTs, debido a que utilizan una combinación de ingeniería social con vulnerabilidades en los extremos (end-point) para acceder a la PC de los usuarios. Una vez que entró ya se encuentra en la red; lo único que se tiene que hacer ahora es encontrar el camino a los usuarios y sistemas correctos, y proseguir con las actividades “normales” de hacking.
La seguridad en los extremos (end-point) se esfuerza en protegerse de ataques más sencillos como son los Troyanos que roban información, razón por la cual se encuentran tantos ejemplos de ZeusiLeaks o empleados afectados por un troyano que se apodera de información corporativa y la envía a la nodriza del Troyano al otro lado del mundo. Si aquellos troyanos disponibles en venta por cada hampón digital en el ciber bloque están llegando al área perimetral, qué deberíamos esperar de los ataques más maliciosos que actualmente se están lanzando contra compañías del sector privado.
La parte de ingeniería social es al mismo tiempo simple.Solo se debe pensar en lo que ha cambiado en las décadas pasadas. A inicios de los años 80 teníamos chicos como Matthew Broderick en la película Juegos de Guerra buscando módems conectados a redes confidenciales. Matthew descubrió redes y además puntos débiles. Sus ataques no tenían nada que ver con los usuarios; sólo utilizó vulnerabilidades en la infraestructura. Pero si Matthew pusiera en escena un ataque APT hoy en día, lo primero que haría es visitar los sitios de redes sociales. Él captaría la inteligencia de la gente de las organizaciones, no de la infraestructura. Luego enviaría correos falsos de phishing a los empleados en los que tuviera interés.
- Ataque de Phishing y Día Cero (Zero-Day): Un puñado de usuarios es atacado mediante dos correos de phishing; uno de los usuarios abre la carga explosiva del Día Cero (CVE-02011-0609)
- Puerta trasera (Back door): Se tiene acceso a la máquina del usuario mediante la herramienta Poison Ivy
- Movimiento lateral: El atacante eleva su acceso a usuario importante, a cuentas de servicio y de administración y a sistemas específicos
- Recolección de información: la información se adquiere de servidores designados y se prepara para extraerla
- Extracción: la información se extrae mediante archivos encriptados sobre ftp a una máquina externa y designada en un proveedor de hosting
En nuestro caso el atacante envió dos correos diferentes de phishing en el periodo de dos días. Estos correos se enviaron a dos grupos pequeños de empleados. Cuando ves la lista de usuarios de destino, no se nota nada especial en ellos; nada indica que sean blancos de perfil alto o de importancia.
El asunto en el correo decía “2011 Recruitment Plan”. Esto era lo suficientemente intrigante para que uno de los empleados realmente quite el correo de la carpeta de Correo Basura y haga doble click en el adjunto, que era una hoja de cálculo de Excel titulada “2011 Recruitment plan.xls”.
La hoja de cálculo contenía un “exploit” de Día Cero (Zero-day) que instala un sistema de puerta trasera o “backdoor” por medio de una vulnerabilidad del Adobe Flash (CVE-2011-0609). Adobe ya ha liberado un parche para este ataque de Día Cero. El exploit inyecta código malicioso en la PC del empelado, permitiendo acceso total a la misma. El atacante instaló en este caso una herramienta personalizada de administración remota conocida como una variante de Poison Ivy RAT, si estás familiarizado con las APTs reconocerás que Poison Ivy ha sido utilizado continuamente en muchos otros ataques, incluyendo GhostNet. A menudo estas herramientas de administración remota, cuyo propósito es simplemente permitir el acceso desde afuera a la PC o al Servidor, están configuradas en un modo de conexión invertida: lo que significa que ellas toman los comandos de los servidores de control y comandos centrales, luego los ejecutan, en lugar de obtener los comandos de manera remota. Esta manera de conexión hace que sean más difíciles de detectar, ya que la PC localiza el comando y el control en lugar de al contrario. Aquí encontrarás referencias de herramientas de administración remota, incluyendo Poison Ivy – que se puede descargar desde internet en su forma nativa.
La siguiente fase de la APT es moverse de manera lateral en la red una vez que ha comprometido alguna PC de algún empleado. El asunto es que el ingreso inicial no es lo suficientemente estratégico para los atacantes; necesitan usuarios con mayor acceso, con más permisos administrativos a servidores y servicios relevantes, etc.
Esta es una de las razones claves por las que, habiendo fallado la prevención inicial de la fase de ingeniería social, es importante la detección rápida. En muchas de las APTs divulgadas en los últimos 18 meses los atacantes han tenido meses para realizar “observación sobre el hombro” digital a los usuarios atacados, hacer una exploración de la red y los recursos y empezar a ubicar rutas para los bienes deseados para atacar. Luego utilizan las cuentas capturadas, conjuntamente con otras tácticas, para ganar acceso a otros usuarios “estratégicos”. En el ataque a RSA la secuencia fue más corta, pero aun así hubo tiempo para que el atacante identificara y tenga acceso a usuarios más estratégicos.
El atacante primero recolectó credenciales de acceso de los usuarios comprometidos (cuentas de usuario, administrador de dominio y de servicio). Realizaron una elevación de privilegios en usuarios no administrativos en los sistemas objetivos y luego prosiguieron para tener acceso a objetivos claves importantes, que incluyeron a expertos en procesos así como administradores de servidores específicos de TI y no TI.
Si el atacante piensa que puede estar en la red sin ser detectado, entonces puede continuar de un modo furtivo por algún tiempo más. Sin embargo, si considera que corre el riego de ser detectado, se mueve mucho más rápido y logra completar la tercera, y más “ruidosa”, etapa del ataque. Debido a que RSA detectó este ataque en progreso, lo más seguro era que el atacante se tenía que mover muy rápidamente para completar cualquier cosa en esta etapa.
En la tercera etapa de una APT la meta es extraer lo que se pueda. El atacante en el caso de RSA estableció acceso a servidores de almacenamiento temporal en puntos de concentración claves; con esto se preparaba para la extracción. Luego accedió a los servidores que le interesaba, tomaba la información y la movía a los servidores de almacenamiento temporal internos, donde era agregada, comprimida y codificada para su posterior extracción.
En seguida el atacante transfirió a través de FTP muchos archivos RAR protegidos por contraseña desde el servidor de archivos de RSA a un servidor de almacenamiento temporal externo, en un proveedor de alojamiento (hosting). Dichos archivos fueron, seguidamente, obtenidos y removidos del servidor externo para eliminar cualquier rastro del ataque.
Espero que esta descripción provea la suficiente información para entender lo ocurrido y establecer la correlación con otras APTs. Además de esto, aquí se dan a conocer tres direcciones URL asociadas con el atacante:
Good.mincesur.com
Up82673.hopto.org
Es posible que este incidente sea tomado como ejemplo cuando uno observa su infraestructura y se pregunta por las opciones que se tienen frente a ataques similares. Pienso en el asunto tratado en la publicación principal y lo resumo de la siguiente manera: existe una razón por la que las APTs son tan peligrosas y eso nos tiene que enseñar algo. Como parte del sector empresarial, debemos actuar rápidamente y desarrollar una nueva doctrina de defensa; aquellos días felices del viejo hacking benévolo ya se terminaron y así mismo los antiguos paradigmas de defensa. Las nuevas amenazas requieren nuevas estrategias.
En RSA ya estamos aprendiendo bastante rápido, realizando tantas tareas de corto plazo para asegurar la infraestructura como grandes progresos con el fin de establecer toda una nueva doctrina de defensa. Estamos implementando técnicas que hasta solo hace dos semanas pensaba que estaban en la hoja de ruta del largo plazo.
Existen tantos ejemplos pasados de campañas que parecían causas perdidas con el transcurrir del tiempo pero que luego cambiaban de rumbo con creatividad y liderazgo; estoy seguro que en algunos años las APTs serán un asunto común, casi una forma de ataque corriente y que seremos capaces de implementar defensas efectivas contra aquellos que pretenden espiar y controlar nuestra propiedad intelectual, activos digitales e infraestructura crítica.
Si deseas tener una copia digital de este artículo, por favor dirígete al siguiente enlace (http://www.isec.pe/Contactenos.php), completa tus datos y solicítalo, gracias.
Traducido: por Equipo de Consultores ISEC
ACTIVIDADES
TODOS LOS DERECHOS RESERVADOS ©2022