Bharat Mistry

Opinión

Pawn Storm y las mismas viejas amenazas

Guardar

Bharat Mistry_Principal Security Strategist en Trend Micro
Bharat Mistry_Principal Security Strategist en Trend Micro

Los grupos de Amenazas Persistentes Avanzadas (APT) siguen representando la excepción, más que la regla, en materia de ciberseguridad. Pero su comportamiento es cada vez más importante, no solo porque a medida que aumenta el número de víctimas, más organizaciones corren el riesgo de ser el blanco de los ataques, sino también porque sus herramientas y técnicas tienden a filtrarse para ser utilizadas más ampliamente en los ataques contra productos básicos. Nuestro último informe recoge con detalle el trabajo de Pawn Storm (alias APT28), uno de los grupos de APT más prolíficos que existen.

La buena noticia es que las últimas tácticas que hemosobservado durante el último año pueden ser mitigadas si las organizacionesrecuerdan seguir las mejores prácticas de seguridad.

El número de alias que tiene Pawn Storm debería dar una ideade lo conocido que es en los círculos de investigación de amenazas.  También conocido como Sednit, Sofacy, FancyBear y Strontium, el grupo se ha dirigido a múltiples organizaciones de altoperfil en los últimos años, entre las que destacan la agencia antidopaje WADA yel Comité Nacional Democrático (DNC). El resultado de esta última campaña, lapublicación de correos electrónicos de los demócratas altamente sensibles, influyóen la fallida candidatura de Hillary Clinton a la presidencia de EE.UU en 2016.

Activo, creemos, durante 15 años o tal vez más, el grupo hautilizado una serie de herramientas y técnicas durante este tiempo para lograrsus objetivos: desde el spyware iOS y los exploits zero-day hasta el abuso deOAuth, ataques watering hole y tabnabbing (término informático para definir untipo de phishing). Pero las cosas rara vez se detienen en el mundo de las APT,y así fue como observamos un cambio en las tácticas durante el último año,pasando de usar malware en los primeros ataques a confiar en cambio en elphishing y en el escaneo directo de servidores vulnerables.

Lo que encontramos

Parte de este escaneo se hizo en servidores de correoelectrónico y en servidores Microsoft Exchange Autodiscover en todo el mundo,principalmente dirigido al puerto TCP 443. La idea era seguir una metodologíaprobada: encontrar sistemas vulnerables y luego credenciales de acceso porfuerza bruta utilizando herramientas automatizadas. A partir de ahí, loshackers podían extraer los datos de los correos electrónicos y utilizarlos paraenviar nuevas oleadas de correos electrónicos maliciosos. También se observó algrupo escudriñando los puertos TCP 445 y 1433 para encontrar servidoresglobales vulnerables que ejecutaran Microsoft SQL Server y Directory Services.

Un segundo pilar clave de la actividad de amenazas de PawnStorm el año pasado fue el phishing de objetivos que utilizan cuentaspreviamente comprometidas. Nuestro equipo de investigación ha acumulado milesde muestras de correos electrónicos del grupo desde que comenzamos amonitorizarlo en 2014, permitiéndonos analizar estos cambios en susherramientas, tácticas y procedimientos (TTPs). Para ello, observamos a los agentesde Pawn Storm utilizando las cuentas de correo electrónico hackeados deobjetivos de alto perfil para recoger las credenciales de sus contactos:principalmente empresas de defensa de Oriente Medio. No es raro ver esto enataques dirigidos: la táctica ayuda a añadir legitimidad a un intento dephishing, aunque en este caso no resultó en un aumento significativo de lasentregas exitosas en la bandeja de entrada.

El grupo utilizó un proveedor comercial de VPN en un intentode ocultar sus huellas en este y sus otros intentos de enviar spam a losusuarios. Dos proveedores de correo web gratuito con sede en Estados Unidos, unproveedor de correo web gratuito ruso y un proveedor de correo web iraní fueronobjeto de abusos en estas entregas de spam.

Lo que todo esto nos dice

Entonces, ¿qué podemos aprender de esta idea? En primerlugar, el correo electrónico sigue siendo un vector de amenaza importante. Dehecho, más del 90% de los 52.300 millones de amenazas que bloqueamos el añopasado llegaron por este canal. El phishing sigue siendo una táctica vital paraadversarios tan diversos como sofisticados grupos APT y bandas de delincuentesfinancieros oportunistas. Los mensajes que provienen de contactos de confianzason particularmente difíciles de detectar como phishing, y por tanto ponen unmayor énfasis en que los CISO hagan bien sus inversiones en tecnología y susprogramas de formación de usuarios.

También vimos a Pawn Storm ir tras una gran variedad deobjetivos en múltiples sectores. Entre ellos se encontraban los objetivostradicionales del grupo, como las fuerzas armadas, las compañías de defensa,gobiernos, bufetes de abogados, partidos políticos, universidades y las firmasde electrónica. Pero también incluían otros más inusuales como una compañía denutrición, un grupo de cirujanos, un par de escuelas privadas en Francia y elReino Unido y una guardería en Alemania. No está claro por qué fueron objetivode ataques, pero refuerza la tesis de que cualquier organización podría ser unobjetivo de la APT hoy en día.

Mantenerse a salvo

Sin embargo, si se siguen las buenas prácticas del sector,incluso las escuelas pueden mejorar su resistencia a los ataques dirigidos.Estas incluyen la aplicación regular de parches a toda la infraestructura,incluyendo parches virtuales si hay algún sistema en funcionamiento que no estérespaldado. Esto debería ir acompañado de una vigilancia frecuente mediante ladetección y prevención de intrusiones, y de copias de seguridad y cifrado delos datos en reposo. Los controles de acceso también son clave: reducir lasuperficie de ataque aplicando el principio del menor privilegio y exigir unaautenticación de doble factor para las cuentas de correo electrónico de lasempresas, el acceso a la red y los servicios subcontratados. Mejorar estos conprogramas optimizados de capacitación y concienciación de usuarios que den aconocer las técnicas de phishing y los vectores de ataque más comunes, yprohíban el uso de cuentas personales de correo electrónico web y de redessociales para el trabajo.

Para aquellas organizaciones con menos recursos, losservicios gestionados de detección y respuesta pueden recoger gran parte delpesado trabajo de detectar y bloquear los ataques. Pero al mejorar la higieneinformática y de TI, se puede eliminar inmediatamente los recursos que estánmás al alcance y con los que prosperan los atacantes. Al menos Pawn Storm puedeservir a un fin positivo al recordar a las organizaciones estos elementosesenciales de seguridad.

  • Bharat Mistry es Principal Security Strategist en Trend Micro