En los últimos 12 meses, el estilo y la gravedad de las amenazas persistentes avanzadas (Advanced Persistent Threat, APT) ha seguido evolucionando. A pesar de su naturaleza cambiante, podemos aprender mucho de las tendencias de APT recientes, a fin de predecir lo que podemos esperar en el próximo año.
Gracias al conocimiento y a la experiencia de nuestros expertos, hemos elaborado predicciones clave sobre los posibles nuevos puntos de impacto de las APT, lo que nos permite ayudar a que los posibles objetivos se mantengan en alerta.
Repasemos las predicciones que hicimos para 2021.
Los autores de las amenazas APT les comprarán el acceso inicial a la red a los delincuentes cibernéticos.
El año pasado, anticipamos que los mundos de las APT y la delincuencia cibernética se volverían más porosos a nivel operativo. En particular, esperábamos que los autores de APT aprovecharan los mercados de la Internet profunda, que es donde los piratas informáticos venden acceso a las empresas que han vulnerado. Al parecer, esta predicción se hizo realidad hace algunos días. Blackberry emitió un informe sobre una entidad que denominan Zebra2104 y que parece ser un “atacante con acceso inicial”. De acuerdo con la investigación, Zebra2104 ha proporcionado a los operadores de ransomware un primer punto de apoyo para acceder a algunas de sus víctimas. Aún más interesante es que, al parecer, la APT StrongPity también ha usado sus servicios, a pesar de estar exclusivamente enfocada en la recopilación de inteligencia. Como este es el tipo de actividad que se lleva a cabo durante las etapas de preparación de un ataque (las etapas que no solemos ver), es posible que haya más casos de los que conocemos de estas interacciones entre las APT y el mundo de la delincuencia cibernética.
Más países recurren a las acusaciones legales como parte de su estrategia cibernética
En 2020, anticipamos que los gobiernos adoptarían una estrategia de denuncia pública para alertar sobre las actividades de los grupos de APT hostiles, una tendencia que ha evolucionado más el año pasado. También anticipamos que los países comenzarían a aplicar toda la fuerza de la ley para interrumpir y sancionar las operaciones de los adversarios, lo que resultó ser absolutamente cierto.
El 15 de abril, la Casa Blanca culpó formalmente a Rusia por el ataque a la cadena de suministro de SolarWinds. Este anuncio estuvo acompañado de sanciones contra varias empresas que, según el Departamento del Tesoro, habrían participado y apoyado las operaciones ofensivas.
El 1 de julio, la Agencia de Seguridad Nacional de los Estados Unidos (National Security Agency, NSA), el Buró Federal de Investigaciones (Federal Bureau of Investigations, FBI), la Agencia de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional (Cybersecurity and Infrastructure Security Agency, CISA) y el Centro Nacional de Seguridad Cibernética (National Cyber Security Centre, NCSC) del Reino Unido emitieron una advertencia conjunta por los cientos de intentos de intrusiones por fuerza bruta en todo el mundo, atribuidos a Sofacy, también conocido como APT28 y “Fancy Bear”. Entre los objetivos, había organismos de gobierno y militares, contratistas de defensa, consultoras y partidos políticos, empresas de logística, empresas de energía, universidades, firmas legales y medios de comunicación.
El 19 de julio, Estados Unidos anunció su intención de denunciar el “comportamiento irresponsable y desestabilizador en el ciberespacio”, con el respaldo de la OTAN, la UE y el Reino Unido. En la declaración de la Casa Blanca, se hacía mención específicamente a la reciente explotación de las vulnerabilidades del día cero de Microsoft Exchange. El Departamento de Justicia de los Estados Unidos también acusó a cuatro supuestos miembros de APT40 por actividades ilícitas en redes informáticas.
Las Fuerzas de Defensa de Israel (Israeli Defense Forces, IDF) declararon que los autores de amenazas han usado el “catfishing” como señuelo para que sus soldados instalaran spyware. Los atacantes usaron seis perfiles de redes sociales en Facebook, Instagram y Telegram para captar la atención de objetivos masculinos, entablar una relación con ellos y, finalmente, hacer que instalaran en sus teléfonos aplicaciones que ofrecían una función de chat privado.
El 24 de setiembre, la Unión Europea hizo declaraciones sobre una campaña de desinformación llamada “Ghostwriter”, que comenzó en marzo de 2017, con el objetivo de desacreditar a la OTAN. Se sabe que el objetivo de la campaña es irrumpir en los sitios web de noticias o en las cuentas de redes sociales de funcionarios de gobierno para publicar documentos falsificados, noticias falsas y opiniones engañosas con la finalidad de influir en las elecciones, alterar los ecosistemas políticos locales y generar desconfianza en la OTAN. A pesar de las amenazas, la Unión Europea decidió no interponer sanciones.
En general, se observa una clara tendencia a reemplazar los canales diplomáticos por las medidas legales, como las acusaciones, para lidiar con los incidentes cibernéticos
Más empresas de Silicon Valley tomarán medidas contra de los atacantes de día cero
Poco tiempo después de que presentáramos las predicciones para el año pasado, Microsoft, Google, Cisco y Dell se unieron a Facebook en su batalla legal contra NSO. El litigio aún está en curso y, por lo que sabemos, no se han iniciado más acciones legales contra otros proveedores de software de intrusión o de día cero.
En pocas palabras, nuestra predicción se hizo realidad de inmediato, pero es posible que Silicon Valley esté aguardando los resultados del primer juicio antes de demandar a otros atacantes. No obstante, el 3 de noviembre, el Departamento de Comercio de los Estados Unidos envió una señal muy sólida al mercado de día cero al agregar a varias empresas (NSO, Positive Technologies, COSEINC, Candiru) a la lista de entidades que realizan actividades contrarias a la seguridad nacional de los Estados Unidos, por el “tráfico en herramientas cibernéticas”. En este momento, no es claro qué impacto tendrá esto en los procedimientos en curso.
Más ataques a los dispositivos de red
Cuando escribimos esta predicción, pensamos principalmente en la continuación de todas las actividades maliciosas que apuntan a los dispositivos de VPN. Como mencionamos en la primera parte de este artículo, las vulnerabilidades de software más salientes terminaron afectando a distintos programas, como Microsoft Exchange. No obstante, observamos que algunos autores de amenazas, como APT10, explotaban estas vulnerabilidades para interceptar sesiones de VPN.
Esta predicción también se hizo realidad de otra forma. En 2021, surgió una campaña muy interesante, organizada por APT31. En esta campaña, el autor de la amenaza aprovechó una red de enrutadores SOHO infectados (específicamente, los modelos Pakedge RK1, RE1 y RE2) para usarla como una red de anonimización y para alojar controles de barra de comando (C2).
La aparición de vulnerabilidades de la tecnología 5G
El 2020 fue un año de muchas tensiones en torno al desarrollo de la tecnología 5G. Esperábamos un panorama peor y que una de las formas en las que se manifestara en 2021 fuera a través del descubrimiento y el lanzamiento de vulnerabilidades en productos relacionados con el 5G o incluso en el protocolo propiamente dicho. La disputa parece estar restringida mayormente al ámbito legal, aunque hay algunas investigaciones interesantes, en las que se identifican problemas de seguridad que permitirían que los atacantes extraigan credenciales o información de ubicación.
Demandas de dinero “con amenazas”
Las tácticas de ransomware “mejoradas” que existen desde 2019 han demostrado tener una eficacia más que suficiente para incorporarse al manual de estrategias de los delincuentes. No obstante, a juzgar por las distintas detenciones y las declaraciones conjuntas de muchos funcionarios y fuerzas del orden, es evidente que la respuesta al problema del ransomware es cada vez más organizada. En octubre, el gobierno de los Estados Unidos ejecutó operaciones ofensivas para interrumpir las actividades de REvil.
Esta creciente presión y la amenaza existencial que representa se reflejan en las tendencias actuales del ecosistema de ransomware. Se prueba y evalúan tácticas de chantaje con robo de datos, pero probablemente no sean el foco actual de los grupos delictivos.
Más ataques disruptivos
Esta predicción resultó ser precisa. Uno de los eventos cibernéticos más icónicos de 2021 fue el ataque de ransomware a Colonial Pipeline. Durante el ataque, el equipo utilizado para gestionar el oleoducto se vio afectado, lo que a su vez generó problemas de suministro significativos en Estados Unidos. La infraestructura era tan crítica que la víctima se vio forzada a pagar un rescate de USD 4,4 millones, aunque, afortunadamente, el Departamento de Justicia de los Estados Unidos logró recuperar USD 2,3 millones.
En julio de 2021, un borrador nunca antes visto (Meteor) paralizó el sistema ferroviario iraní. Para empeorar aún más la situación, se invitó a los usuarios varados a que realizaran sus quejas por teléfono a las autoridades locales, lo que contribuiría a afectar la calidad de otro servicio estatal. Más tarde, en octubre, un ataque similar afectó todas las gasolineras del país.
Los atacantes seguirán aprovechando la pandemia
Durante 2020, observamos que muchos grupos de APT atacaron instituciones académicas y centros de investigación involucrados en el desarrollo de las vacunas contra la COVID-19. Entre estos, podemos mencionar a DarkHotel y APT29 (también conocidos como “CozyDuke” y “CozyBear”) con su malware WellMess (atribuido por el NCSC del Reino Unido). Este año, varios grupos de APT intentaron usar los señuelos de la COVID-19 en sus ataques dirigidos, como ScarCruft, LuminousMoth, EdwardsPhesant, BountyGlad, Kimsuky y ReconHellcat. Hicimos el seguimiento de un clúster interesante de actividad (que más tarde logramos atribuir a un actor conocido como SideCopy) y observamos que estaba dirigido a organizaciones diplomáticas y gubernamentales en Asia y Medio Oriente, y que se usaba la COVID-19 como señuelo junto con sitios web comprometidos que alojaban archivos HTA y JS maliciosos. La campaña tiene múltiples aspectos, como la cadena de ejecución, el malware que se usa, las superposiciones de infraestructura, las rutas PDB y otras tácticas, técnicas y procedimientos (tactics, techniques, and procedures, TTP), lo que nos remite a otros grupos que operan en la misma región, como SideWinder, OrigamiElephant, Gorgon o Transparent Tribe. Sin embargo, ninguna de las similitudes fueron lo suficientemente sólidas como para poder atribuir estas actividades a autores conocidos.
Y ahora, concentrémonos en el futuro. Estos son los desarrollos que podríamos ver en 2022.
Respaldo del sector privado para un influjo de nuevos autores de APT
Este año, el uso de software de vigilancia desarrollado por proveedores privados estuvo en el foco de atención, como mencionamos antes. Dado el potencial lucrativo de este negocio y el impacto que el software puede tener sobre las víctimas, creemos que los proveedores de este tipo de software tendrán un papel mayor, al menos, hasta que los gobiernos decidan regular su uso. Ya hay algunos indicios de que está sucediendo. En octubre del 2021, la Oficina de Industria y Seguridad (Bureau of Industry and Security, BIS), del Departamento de Comercio de los Estados Unidos, presentó una norma provisoria definitiva para definir las situaciones en las que se necesitará una licencia de exportación para el software de vigilancia comercial: el objetivo es evitar la distribución de herramientas de vigilancia en países sujetos a controles armamentistas y permitir la continuidad de las operaciones e investigaciones en seguridad legítimas.
Mientras tanto, los proveedores de malware y la industria de seguridad ofensiva apuntarán a respaldar las operaciones tanto de los autores conocidos como nuevos.
Dispositivos móviles expuestos a mayores ataques
Hace más de una década que se habla sobre los ataques de malware a dispositivos móviles. Esto ha estado íntimamente relacionado con la popularidad de los sistemas operativos más usados. Hoy en día, los dos sistemas operativos más populares para dispositivos móviles son iOS y Android (además de otros clones basados en Android o Linux). iOS y Android tienen filosofías de base muy diferentes: mientras que el primero utiliza App Store, una tienda cerrada que solo permite aplicaciones examinadas, el segundo es más abierto y permite que los usuarios instalen aplicaciones de terceros directamente en los dispositivos. Esto ocasionó diferencias considerables en el tipo de malware que atacó a las dos plataformas. Las terminales basadas en Android están repletas de malware de delincuentes cibernéticos (y no están libres de ataques APT), mientras que los dispositivos iOS está en la mira del espionaje cibernético avanzado patrocinado a nivel nacional o estatal. En 2021, el Proyecto Pegasus introdujo una nueva dimensión en el antes oscuro universo de los ataques de día cero y cero clics de iOS y se han reportado más episodios de día cero de iOS que en cualquier otro año.
Desde la perspectiva de los atacantes, los dispositivos móviles son objetivos ideales, van a todas partes con los usuarios, tienen información sobre sus vidas privadas y las infecciones son muy difíciles de evitar o de detectar. A diferencia de las PC o Mac, en las que el usuario puede optar por instalar software de seguridad, estos productos no existen o son deficientes en iOS. Esto se convierte en una oportunidad extraordinaria para las APT que ningún adversario patrocinado por el estado querría desaprovechar. En 2022, se expondrán y cerrarán más ataques sofisticados contra dispositivos móviles, junto con la inevitable negación de los perpetradores.
Más ataques a las cadenas de suministro
Hemos sido testigos de algunos ataques importantes a cadenas de suministro en el transcurso del año pasado. Analizamos la incorporación de este enfoque por parte de los autores de amenazas APT más arriba. Pero también vimos que los delincuentes cibernéticos aprovechan las flaquezas de los sistemas de seguridad de los proveedores para vulnerar a los clientes de la empresa en peligro. Los ejemplos más notables incluyen el ataque a un sistema de oleoductos de Estados Unidos en mayo, el ataque a un productor global de carne en junio y el ataque a proveedores de servicios administrados (Managed Service Providers, MSP) y sus clientes en julio. Estos ataques representan una violación de confianza en algún punto de la cadena de suministro y son particularmente valiosos para los atacantes porque abren la puerta para atacar a muchos otros objetivos de un solo golpe. Por este motivo, los ataques a las cadenas de suministro serán una tendencia creciente en 2022 y los años siguientes.
Seguirá la explotación del trabajo desde casa
A pesar de la flexibilización de las normas de confinamiento por la pandemia en distintas partes del mundo, muchas personas siguen trabajando desde sus casas y es probable que lo sigan haciendo en un futuro cercano. Esto seguirá representando una oportunidad para que los atacantes pongan en peligro las redes corporativas. Incluye el uso de ingeniería social para obtener credenciales y ataques por fuerza bruta a los servicios corporativos con el objetivo de hallar servidores desprotegidos. Asimismo, como muchas personas siguen usando sus propios equipos, en lugar de dispositivos bloqueados por los equipos de TI de las empresas, los atacantes buscarán nuevas oportunidades para explotar las computadoras domésticas que están desprotegidas o que no están actualizadas, como un vector de entrada a las redes corporativas.
Aumento de las intrusiones de APT en la región de Medio Oriente, Turquía y África (META), especialmente en África
El principal impulsor de este aumento será la creciente tensión geopolítica entre la junta que influye en el aumento de las actividades de delincuencia cibernética basadas en espionaje. La geopolítica siempre ha sido el principal factor, entre otros como la economía, la tecnología y los asuntos internacionales, que contribuye a influir en las intrusiones cibernéticas con el objetivo de robar datos sensibles por cuestiones de seguridad nacional. A pesar del contexto de pandemia en el que nos encontramos, la tensión geopolítica ha aumentado considerablemente en Medio Oriente y Turquía desde enero de 2020 y no se detendrá.
La urbanización ha crecido a pasos agigantados en África y atrae millones de dólares en inversiones. Al mismo tiempo, muchos países del continente tienen una ubicación estratégica para el comercio marítimo. Esto y las constantes mejoras en las funcionalidades de defensa de la región nos lleva a pensar que 2022 será un año con grandes ataques APT en la región de META, especialmente en África.
Explosión de ataques en contra de la seguridad en la nube y los servicios externos
Cada vez son más las empresas que incorporan la computación en la nube a sus modelos comerciales por la conveniencia y la escalabilidad que ofrece. El movimiento de desarrollo y operaciones (DevOps) ha permitido que muchas empresas adopten arquitecturas de software basadas en microservicios y se ejecuten en infraestructuras de terceros, que suelen estar a solo una contraseña o a una clave API de distancia de ser vulneradas.
Este paradigma reciente tiene implicancias de seguridad que es posible que los desarrolladores aún no comprendan en su totalidad, en las que los defensores tienen poca visibilidad y las APT no se han investigado de forma exhaustiva. Creemos que las últimas serán las primeras en recuperar terreno.
En un sentido amplio, esta predicción abarca los servicios externos, como la edición de documentos en línea, el almacenamiento de archivos, el hospedaje de correo electrónico, etc. Hoy por hoy, los proveedores de nube externos concentran datos suficientes para captar la atención de los actores del estado y se convertirán en los principales objetivos de ataques sofisticados.
El regreso de los ataques de bajo nivel: los bootkits vuelven a ser tendencia
Los atacantes suelen evitar los implantes de bajo nivel por el riesgo inherente de provocar fallas de sistema y la sofisticación que requiere su creación. En los informes publicados por Kaspersky durante 2021, se indica que la investigación ofensiva sobre los bootkits sigue abierta: o las ganancias sigilosas superan los riesgos o el desarrollo de bajo nivel se volvió más accesible. Esperamos descubrir más implantes avanzados de este tipo en 2022. Por otra parte, como el arranque seguro se hace cada vez más imprescindible, los atacantes tendrán que hallar exploits o vulnerabilidades en este mecanismo de seguridad para omitirlo y seguir implementando sus herramientas.
Los estados aclaran sus prácticas aceptables para delitos cibernéticos
En la última década, toda la industria fue testigo de una tendencia de politización creciente del ciberespacio, en especial en lo que respecta a la guerra informática. El año pasado, anticipamos que las acusaciones legales se convertirían una parte fundamental del arsenal de los estados occidentales para imponer un costo sobre las operaciones de los adversarios.
El problema aquí es que los estados que denuncian ataques cibernéticos en su contra son los mismos que ejecutan ataques contra otros. Si su objetivo es que las protestas tengan peso, tendrán que crear una distinción entre los ataques cibernéticos que son aceptables y los que no lo son. Para 2022, creemos que algunos países publicarán su taxonomía de delitos cibernéticos, en la que detallarán con precisión los tipos de vectores de ataque (p. ej., cadena de suministro) y de comportamientos (p. ej., destructivos, que afectan la infraestructura civil, etc.) que se prohíben.
Predicciones de amenazas avanzadas para 2022