Pawn Storm y las mismas viejas amenazas

49
Bharat Mistry, Trend Micro

Los grupos de Amenazas Persistentes Avanzadas (APT) siguen representando la excepción, más que la regla, en materia de ciberseguridad. Pero su comportamiento es cada vez más importante, no solo porque a medida que aumenta el número de víctimas, más organizaciones corren el riesgo de ser el blanco de los ataques, sino también porque sus herramientas y técnicas tienden a filtrarse para ser utilizadas más ampliamente en los ataques contra productos básicos. Nuestro último informe recoge con detalle el trabajo de Pawn Storm (alias APT28), uno de los grupos de APT más prolíficos que existen.

La buena noticia es que las últimas tácticas que hemos observado durante el último año pueden ser mitigadas si las organizaciones recuerdan seguir las mejores prácticas de seguridad.

El número de alias que tiene Pawn Storm debería dar una idea de lo conocido que es en los círculos de investigación de amenazas.  También conocido como Sednit, Sofacy, Fancy Bear y Strontium, el grupo se ha dirigido a múltiples organizaciones de alto perfil en los últimos años, entre las que destacan la agencia antidopaje WADA y el Comité Nacional Democrático (DNC). El resultado de esta última campaña, la publicación de correos electrónicos de los demócratas altamente sensibles, influyó en la fallida candidatura de Hillary Clinton a la presidencia de EE.UU en 2016.

Activo, creemos, durante 15 años o tal vez más, el grupo ha utilizado una serie de herramientas y técnicas durante este tiempo para lograr sus objetivos: desde el spyware iOS y los exploits zero-day hasta el abuso de OAuth, ataques watering hole y tabnabbing (término informático para definir un tipo de phishing). Pero las cosas rara vez se detienen en el mundo de las APT, y así fue como observamos un cambio en las tácticas durante el último año, pasando de usar malware en los primeros ataques a confiar en cambio en el phishing y en el escaneo directo de servidores vulnerables.

Lo que encontramos

Parte de este escaneo se hizo en servidores de correo electrónico y en servidores Microsoft Exchange Autodiscover en todo el mundo, principalmente dirigido al puerto TCP 443. La idea era seguir una metodología probada: encontrar sistemas vulnerables y luego credenciales de acceso por fuerza bruta utilizando herramientas automatizadas. A partir de ahí, los hackers podían extraer los datos de los correos electrónicos y utilizarlos para enviar nuevas oleadas de correos electrónicos maliciosos. También se observó al grupo escudriñando los puertos TCP 445 y 1433 para encontrar servidores globales vulnerables que ejecutaran Microsoft SQL Server y Directory Services.

Un segundo pilar clave de la actividad de amenazas de Pawn Storm el año pasado fue el phishing de objetivos que utilizan cuentas previamente comprometidas. Nuestro equipo de investigación ha acumulado miles de muestras de correos electrónicos del grupo desde que comenzamos a monitorizarlo en 2014, permitiéndonos analizar estos cambios en sus herramientas, tácticas y procedimientos (TTPs). Para ello, observamos a los agentes de Pawn Storm utilizando las cuentas de correo electrónico hackeados de objetivos de alto perfil para recoger las credenciales de sus contactos: principalmente empresas de defensa de Oriente Medio. No es raro ver esto en ataques dirigidos: la táctica ayuda a añadir legitimidad a un intento de phishing, aunque en este caso no resultó en un aumento significativo de las entregas exitosas en la bandeja de entrada.

El grupo utilizó un proveedor comercial de VPN en un intento de ocultar sus huellas en este y sus otros intentos de enviar spam a los usuarios. Dos proveedores de correo web gratuito con sede en Estados Unidos, un proveedor de correo web gratuito ruso y un proveedor de correo web iraní fueron objeto de abusos en estas entregas de spam.

Lo que todo esto nos dice

Entonces, ¿qué podemos aprender de esta idea? En primer lugar, el correo electrónico sigue siendo un vector de amenaza importante. De hecho, más del 90% de los 52.300 millones de amenazas que bloqueamos el año pasado llegaron por este canal. El phishing sigue siendo una táctica vital para adversarios tan diversos como sofisticados grupos APT y bandas de delincuentes financieros oportunistas. Los mensajes que provienen de contactos de confianza son particularmente difíciles de detectar como phishing, y por tanto ponen un mayor énfasis en que los CISO hagan bien sus inversiones en tecnología y sus programas de formación de usuarios.

También vimos a Pawn Storm ir tras una gran variedad de objetivos en múltiples sectores. Entre ellos se encontraban los objetivos tradicionales del grupo, como las fuerzas armadas, las compañías de defensa, gobiernos, bufetes de abogados, partidos políticos, universidades y las firmas de electrónica. Pero también incluían otros más inusuales como una compañía de nutrición, un grupo de cirujanos, un par de escuelas privadas en Francia y el Reino Unido y una guardería en Alemania. No está claro por qué fueron objetivo de ataques, pero refuerza la tesis de que cualquier organización podría ser un objetivo de la APT hoy en día.

Mantenerse a salvo

Sin embargo, si se siguen las buenas prácticas del sector, incluso las escuelas pueden mejorar su resistencia a los ataques dirigidos. Estas incluyen la aplicación regular de parches a toda la infraestructura, incluyendo parches virtuales si hay algún sistema en funcionamiento que no esté respaldado. Esto debería ir acompañado de una vigilancia frecuente mediante la detección y prevención de intrusiones, y de copias de seguridad y cifrado de los datos en reposo. Los controles de acceso también son clave: reducir la superficie de ataque aplicando el principio del menor privilegio y exigir una autenticación de doble factor para las cuentas de correo electrónico de las empresas, el acceso a la red y los servicios subcontratados. Mejorar estos con programas optimizados de capacitación y concienciación de usuarios que den a conocer las técnicas de phishing y los vectores de ataque más comunes, y prohíban el uso de cuentas personales de correo electrónico web y de redes sociales para el trabajo.

Para aquellas organizaciones con menos recursos, los servicios gestionados de detección y respuesta pueden recoger gran parte del pesado trabajo de detectar y bloquear los ataques. Pero al mejorar la higiene informática y de TI, se puede eliminar inmediatamente los recursos que están más al alcance y con los que prosperan los atacantes. Al menos Pawn Storm puede servir a un fin positivo al recordar a las organizaciones estos elementos esenciales de seguridad.

  • Bharat Mistry es Principal Security Strategist en Trend Micro