Predicciones de amenazas avanzadas para 2023

Cabe decir que, desde las predicciones del año pasado, el mundo cambió drásticamente. Mientras que el panorama geopolítico cambió a largo plazo, los ataques cibernéticos siguen siendo una amenaza constante y no muestran indicios de disminuir, sino todo lo contrario. Sin importar dónde estén, las personas de todo el mundo deben estar preparadas para sufrir incidentes de ciberseguridad. Para esto, un ejercicio que puede servir es intentar predecir las tendencias a futuro y los eventos significativos que pueden ocurrir en un futuro cercano.

Realizamos una encuesta entre nuestros expertos del Equipo Global de Investigación y Análisis (GReAT) y reunimos una pequeña cantidad de conocimientos clave sobre las amenazas persistentes avanzadas (Advanced Persistent Threat, APT) en las que es probable que se enfoquen los autores en 2023. Primero, analicemos cómo les fue con las predicciones para 2022.

Lo que predijimos en 2022

Dispositivos móviles expuestos a mayores ataques

A pesar de que en 2022 no hubo ninguna historia de intrusión móvil de la escala del escándalo de Pegasus, los autores de amenazas realizaron algunos episodios de día cero. El pasado junio, el equipo del Grupo de Análisis de Amenazas (Threat Analysis Group, TAG) de Google hizo una publicación en el blog donde documentaron ataques a usuarios italianos y kazajos que le atribuyen a RCS Lab, un proveedor italiano de software ofensivo. En otra publicación, Google también hizo un seguimiento de las actividades de un proveedor similar llamado Cytrox que había impulsado cuatro vulnerabilidades de día cero en una campaña del 2021.

El ecosistema de delitos cibernéticos aún parece afectado por la desaparición repentina de NSO Group. A la vez, estas actividades nos indican que solo vimos la punta del iceberg en materia de herramientas de vigilancia de móviles a nivel comercial. También es probable que, de ahora en más, los autores que continúen hagan todo lo posible para reducir su exposición pública, lo que limitaría nuestra visibilidad de sus actividades.

Desde otro punto de vista, un informe de The Intercept reveló que Irán tiene disponibles capacidades de vigilancia móvil para fines de investigaciones locales. Estas aprovechan el acceso directo a (y la cooperación de) empresas de telecomunicaciones locales. Si pensamos en filtraciones anteriores de empresas privadas que proporcionaban tales servicios, como el caso de Hacking Team, descubrimos que varios estados de todo el mundo compraban estas capacidades, ya sea para complementar tecnologías propias o como una solución autónoma que no podían desarrollar. Esto revela un posible punto ciego para los proveedores de endpoints o defensores: en una cantidad de casos, quizás incluso en la mayoría, los atacantes no tienen la necesidad de causar episodios de día cero ni de implementar malware para acceder a la información que necesitan. Esta historia también genera preguntas sobre la posibilidad de que los atacantes que se infiltraron en empresas de telecomunicaciones también puedan aprovechar estos sistemas de intercepción legales.

Veredicto: algunos incidentes, pero ningún evento mayor ❌

Respaldo del sector privado para un influjo de nuevos autores de APT

El debate anterior abarcó una cantidad de empresas privadas que llenaron el vacío que dejó NSO y crearon un negocio a partir de proporcionar software ofensivo a sus clientes. En 2022, el equipo GReAT hizo un seguimiento de varios autores de amenazas al lanzar el conjunto de herramientas de SilentBreak y un spyware comercial de Android al que llamamos MagicKarakurt. Una duda que surge aquí consiste en que es difícil determinar si estamos ante autores de APT nuevos impulsados por conjuntos de herramientas comerciales o si son autores establecidos que están actualizando sus tácticas, técnicas y procedimientos (tactics, techniques, and procedures, TTP).

BruteRatel, una herramienta de ataque comparable con CobaltStrike, está aún en nuestro radar en cuanto a adopción de APT. Una filtración reciente la puso en manos de autores de cibercrímenes y es muy probable que, hacia el final del año, también la veamos implicada en casos de APT.

Un informe de Meta, publicado poco tiempo después de las predicciones del año pasado, remarca una tendencia preocupante que no mencionamos de manera explícita. En el informe, se describe la aparición de un sector de “vigilancia por contrato”, compuesto por empresas de todo el mundo que ofrecen servicios ciberofensivos para clientes (en teoría) relacionados con el cumplimiento de la ley. En la práctica, Facebook descubrió que estos grupos no solo apuntaban a criminales o terroristas, sino también a periodistas, disidentes y activistas de derechos humanos. Nuestra propia investigación confirma que los autores de amenazas mercenarios, tales como DeathStalker, estuvieron muy activos en 2022.

Fuente: Meta

Veredicto: predicción cumplida ✅

Más ataques a las cadenas de suministro

Luego del incidente de SolarWinds, predijimos que los atacantes descubrirían el enorme potencial del vector de ataque a cadenas de suministro. En 2022, detectamos paquetes maliciosos de Python distribuidos a través del archivo del Índice de paquetes de Python (Python Package Index, PyPl) (CheckPoint también detectó 10 de estos). Tal como señala Cisco Talos, Python no está solo en esto: NPM, NuGet o RubyGems son todos candidatos potenciales de tales ataques, y todo lo que se necesitaría para causar un evento catastrófico sería comprometer las credenciales de un solo desarrollador. Doblando la apuesta ante las amenazas específicas para desarrolladores, IBM presentó una investigación notable en la edición de este año de BlackHat, en la que mostraron cómo pueden aprovecharse los atacantes de la gestión de códigos fuente o de los sistemas de integración continuos.

Otro aspecto de la seguridad de cadenas de suministro es la confianza depositada en componentes de software de código abierto, que pueden contener vulnerabilidades: esta fue la causa principal de un episodio de día cero de Zimbra que se aprovechó de manera masiva este año.

Sin embargo, no estamos al tanto de ningún evento significativo en 2022 en cuanto a malware clandestino enviado a los clientes en forma de una actualización de software, por lo que consideraremos que esta predicción se cumplió de manera parcial.

Veredicto: predicción parcialmente cumplida (más casos, ningún evento mayor)

Seguirá la explotación del trabajo remoto

El razonamiento que respaldó esta predicción era que esperábamos que, en 2022, las empresas aún no se pusieran al día con los efectos transformadores que la crisis del COVID-19 causó en la organización laboral. En muchos casos, esto generó un uso apresurado de medios de acceso remoto para los empleados, en forma de dispositivos que podían estar mal configurados o cuya seguridad no había recibido demasiada atención hasta el momento.

En tales dispositivos, se parcheó un gran número de vulnerabilidades este año (firewalls, routers, software de VPN…). Independientemente de si estas vulnerabilidades fueron aprovechadas antes de descubrirse, afectan a dispositivos que no suelen actualizarse oportunamente y se convierten en objetivos principales para los piratas informáticos inmediatamente después de que se publiquen los detalles de la vulnerabilidad. Tales descubrimientos, por lo general, causan explotación masiva e indiscriminada, y las máquinas afectadas se venden en los mercados negros a compradores secundarios para la utilización de ransomware.

Nuestra propia telemetría también confirma que los ataques de fuerza bruta al protocolo de escritorio remoto (Remote Desktop Protocol, RDP) continuaron siendo predominantes a lo largo del 2022.

Veredicto: predicción cumplida ✅

Aumento de las intrusiones de APT en la región de Medio Oriente, Turquía y África (META), especialmente en África

A fines del año pasado, esperábamos que el desarrollo de África fuera uno de los mayores eventos geopolíticos del año en lugar de las inversiones siempre en aumento y las relaciones con China y el Medio Oriente.

De hecho, vimos un aumento en la cantidad de ataques persistentes y sofisticados que apuntaban a diferentes estados en la región de Medio Oriente, Turquía y África (META), sobre todo en África. Comenzando con la publicación más reciente sobre el ataque de Metador a empresas de telecomunicaciones, la expansión de las operaciones de HotCousin a esta región, las numerosas campañas que utilizaron backdoors de Internet Information Services (IIS), los ataques de DeathStalker y Lazarus a múltiples industrias, y una misteriosa backdoor de la biblioteca del proveedor de soporte de seguridad (Security Support Provider, SSP), descubierta en entidades gubernamentales y sin fines de lucro, hubo bastantes amenazas nuevas activas en la región durante el año pasado.

Estadísticamente hablando, publicamos información sobre un aumento de infecciones mediante backdoors en el continente. Si bien estas estadísticas en bruto son difíciles de interpretar y no necesariamente se relacionan con una actividad de APT fuerte, se podría relacionar con el aumento de ataques de APT que observamos en la región en 2022.

Un ejemplo evidente es Irán, que enfrentó una serie de crímenes de piratería y sabotaje. Entre las entidades afectadas, se encontraron la agencia de energía atómica, la televisión en vivo y la industria del acero.

Veredicto: predicción cumplida ✅

Explosión de ataques en contra de la seguridad en la nube y los servicios externos

Uno de los mayores ciberincidentes de 2022 sucedió al comienzo de este año: el ataque a Okta. Se infiltraron en Okta a través de uno de sus proveedores de servicios, Sitel, donde a su vez se infiltraron a través de una puerta de enlace de VPN insegura de una empresa adquirida recientemente. Por suerte para ellos, parece que el pirata informático era un solo chico de 16 años. Por desgracia para nosotros, esto demuestra lo fácil que debe ser para atacantes sofisticados penetrar (y, seguramente, permanecer sin ser detectados) en plataformas importantes. Okta es un proveedor de servicios de autenticación muy conocido, y es seguro asumir que un pirata informático que controle su red podría infectar a cualquiera de sus clientes.

En otras noticias relacionadas, en mayo, el Auditor de Sistemas de Información Certificado (Certified Information Systems Auditor, CISA) publicó una alerta para advertir a los proveedores de servicios administrados que observaron un aumento en la actividad maliciosa que apuntaba a este sector. Además, también vimos informes de filtraciones de información importante relacionada con buckets S3 de AWS mal configurados, aunque esto no es ninguna novedad. En general, consideramos que esta predicción resultó acertada.

Veredicto: predicción cumplida ✅

El regreso de los ataques de bajo nivel: los bootkits vuelven a ser tendencia

De acuerdo con nuestras predicciones, hicimos dos publicaciones de blog en 2022, en las que presentamos bootkits sofisticados de bajo nivel. El primero, en enero, fue MoonBounce; el otro, CosmicStrand, fue en julio de 2022. En ambos casos, describimos nuevos bootkits del firmware de la interfaz unificada de firmware extensible (Unified Extensible Firmware Interface, UEFI) que lograron propagar componentes maliciosos desde las capas más profundas de la máquina hasta el espacio de los usuarios de Windows. Amn Pardaz también publicó un informe sobre un malware llamado iLOBleed, que afecta un módulo de gestión presente en servidores HP y debería colocarse en la misma categoría. Tales implantes altamente sofisticados aún son raros, por lo que observar tres casos separados en un mismo año es significativo.

Vale la pena mencionar el excelente trabajo de Binarly en la investigación de vulnerabilidades de firmware, en la que descubrieron 22 vulnerabilidades de alta gravedad en componentes de bajo nivel durante 2022. Esto puso en evidencia la enorme superficie de ataque que queda por descubrir. Tal como indicó Gartner alguna vez: “Existen dos tipos de empresas: las que sufrieron un ataque de firmware, y las que sufrieron un ataque de firmware pero no lo saben”.

Veredicto: predicción cumplida ✅

Los estados aclaran sus prácticas aceptables para delitos cibernéticos

El aumento de las imputaciones a piratas informáticos como parte de las medidas de retorsión de los estados nos llevó a creer que cada uno de ellos se vería forzado a aclarar su visión sobre cuál es el comportamiento aceptable en el ciberespacio. De hecho, a partir de que la mayoría de estados admiten tener su propio programa de delitos cibernéticos, es necesario que aclaren por qué sus propias actividades son tolerables mientras que las de los adversarios ameritan tomar acciones legales. Por lo tanto, esperábamos que las distintas partes anunciaran algún tipo de taxonomía que indicara qué clase de fines justificaría los medios.

Poco tiempo después de la publicación de nuestras predicciones (pero aún en 2021), el Reino Unido publicó la Revisión Integrada de Seguridad, Defensa, Desarrollo y Política Exterior, en la que describen su visión sobre cómo debería ser un “poder cibernético democrático y responsable”. Ningún otro país siguió el ejemplo. Con tantos “poderes cibernéticos” clave comprometidos de una u otra manera en el conflicto de Ucrania, desafortunadamente, la diplomacia cibernética quedó en segundo lugar, por lo que se observa menos transparencia (y menos pedidos de transparencia) en el reino cibernético. Al final, nuestra apreciación de que el mundo se estaba inclinando hacia una clarificación de las políticas cibernéticas no se cumplió.

Veredicto: cumplimiento muy limitado de la predicción ❌

Predicciones de APT para 2023

Y ahora, concentrémonos en el futuro. Estos son los desarrollos que podríamos ver en 2022.

El aumento de ataques destructivos

En el 2022 se vieron enormes cambios geopolíticos que tendrán repercusión en los años venideros. La historia nos muestra que tales tensiones siempre se traducen en más actividades cibernéticas, algunas veces con el objetivo de recopilación de inteligencia y otras como un medio de señalización diplomática. Desafortunadamente, debido a que el antagonismo entre Oriente y Occidente alcanzó el nivel máximo posible antes de llegar a un conflicto abierto, se espera que, en 2023, sucedan ciberataques de una gravedad sin precedentes.

En específico, predecimos que el año próximo se observará una cantidad récord de ataques cibernéticos disruptivos y destructivos que afecten tanto al sector gubernamental como a industrias clave. Advertimos que es muy probable que una parte de ellos no se pueda rastrear fácilmente hasta incidentes cibernéticos y parecerán accidentes aleatorios. El resto tomará la forma de seudoataques de ransomware u operaciones de “hacktivistas” para posibilitar la negación plausible de sus autores reales.

Además, también tememos que habrá una cantidad limitada de ataques cibernéticos de alto perfil contra infraestructura civil (por ejemplo, la red eléctrica o la radiodifusión pública). Una última preocupación se refiere a la seguridad de cables y terminales de distribución de fibra submarinos en semejante contexto, ya que es particularmente difíciles protegerlos de la destrucción física.

Los servidores de correo se convierten en objetivos prioritarios

En años anteriores, vimos a los investigadores de vulnerabilidades centrarse más y más en los softwares de correo. La razón es simple: representan un enorme conjunto de softwares que debe admitir varios protocolos y necesita de Internet para funcionar correctamente. Tanto Microsoft Exchange como Zimbra, los líderes en el mercado, enfrentaron vulnerabilidades críticas (ejecuciones remotas de código [Remote Code Execution, RCE] de preautenticación) aprovechadas, a veces de manera masiva, por los atacantes antes de que existiera un parche.

Creemos que la investigación sobre las vulnerabilidades de software de correo recién empieza. Los servidores de correo tienen la doble desgracia de poseer inteligencia clave de interés para los autores de APT y tener la superficie de ataque más grande que se pueda imaginar. Seguramente, el 2023 será un año de ataques de día cero para todos los softwares de correo electrónico principales. Alentamos a los administradores de sistemas a programar controles para estas máquinas de inmediato, debido a que es muy poco probable que los parches (incluso si llegan a tiempo) sean suficientes para protegerlas.

El próximo WannaCry

Estadísticamente, algunas de las epidemias cibernéticas más grandes y de mayor impacto suceden cada 6 o 7 años. El último incidente de este tipo fue el infame gusano de ransomware WannaCry, que aprovechó la vulnerabilidad extremadamente grande de EternalBlue para propagarse de manera automática hacia máquinas vulnerables.

Por suerte, las vulnerabilidades que permiten la creación de gusanos son raras y aisladas, y deben cumplir con una cantidad de condiciones para ser aptas (fiabilidad del exploit, estabilidad de la máquina objetivo, etc.). Es muy difícil predecir cuándo se descubrirá el siguiente insecto de este tipo, pero nos arriesgaremos a decir que sucederá el año que viene. Una posible razón que aumenta la posibilidad de semejante evento es el hecho de que es probable que los más sofisticados en el mundo tengan, al menos, un exploit adecuado de este tipo, y las tensiones actuales aumentan en gran medida la posibilidad de que haya robos y filtraciones de datos al estilo de ShadowBrokers (ver a continuación).

Las tecnologías, productores y operadores satelitales se convierten en objetivo de las APT

Pasaron casi 40 años desde que la Iniciativa de Defensa Estratégica de EE. UU. (apodada “Star Wars”) contempló ampliar las capacidades militares para que incluyan tecnologías espaciales. Si bien esto puede haber resultado un poco descabellado en 1983, hubo varias instancias en las que los países lograron interferir satélites que orbitaban la tierra.

Tanto China como Rusia utilizaron misiles instalados en la tierra para destruir sus propios satélites. También se sostuvo que China lanzó un satélite con un brazo de agarre que podría utilizarse para interferir equipamiento que en órbita. Se sospecha que Rusia desarrolló la misma tecnología. Ya vimos el asalto a comunicaciones satelitales por parte de un autor de amenazas APT.

Si el incidente de Viasat sirve como indicio, es probable que los autores de amenazas APT se centren cada vez más en manipular e interferir tecnologías satelitales en el futuro, lo que remarcará la importancia de la seguridad de tales tecnologías.

El robo y la filtración de datos es la nueva (desoladora) moda

Aún se debate mucho sobre la posibilidad de que haya ocurrido una “guerra cibernética” en el contexto de la crisis de Ucrania. Sin embargo, está claro que se está desarrollando una nueva forma de conflicto híbrido, que incluye (entre otras cosas) operaciones de robo y filtración de datos.

Este modus operandi implica invadir un objetivo y publicar documentos y correos electrónicos internos. Los grupos de ransomware recurrieron a esta táctica como una forma de presionar a las víctimas, pero las APT pueden aprovecharse de este recurso solo con fines disruptivos. En el pasado, vimos a los autores de APT filtrar datos sobre grupos de amenazas en competencia, o crear sitios web para difundir información personal. Si bien es difícil evaluar su eficacia desde la distancia, no hay duda de que son parte del panorama actual y que, en 2023, habrá una gran cantidad de casos.

Más grupos de APT pasarán de CobaltStrike a otras alternativas

CobaltStrike es una herramienta de simulación de amenazas lanzada en 2012, diseñada para ayudar a los equipos rojos a entender los métodos que un atacante puede utilizar para penetrar una red. Desde entonces y desafortunadamente, se convirtió, junto con el Marco Metasploit, en una herramienta elegida por grupos de criminales cibernéticos y autores de amenazas APT de la misma manera. Sin embargo, creemos que una cantidad de autores de amenazas comenzará a utilizar otras alternativas.

Una de estas alternativas es Brute Ratel C4, una herramienta comercial de simulación de ataques que es especialmente peligrosa, ya que se diseñó para evitar la detección por parte de las protecciones de antivirus y de detección y respuesta de endpoints (Endpoint Detection and Response, EDR). Otra alternativa es Sliver, una herramienta ofensiva de código abierto.

Además de los productos disponibles para la venta de los que abusan los autores de amenazas, existen otras herramientas que pueden ser incluidas en los conjuntos de herramientas de APT. Una de estas, Manjusaka, se publicita como una imitación del marco de Cobalt Strike. Los implantes de estas herramientas están escritos en lenguaje Rust para Windows y Linux. También está disponible una versión completamente funcional de la C&C, escrita en Golang. Esta puede generar fácilmente nuevos implantes con configuraciones personalizadas. Otra alternativa es Ninja, una herramienta que proporciona un gran grupo de comandos que les permite a los atacantes controlar sistemas remotos, evitar la detección y penetrar las profundidades de una red objetivo.

En general, sospechamos que CobaltStrike está recibiendo mucha atención por parte de los defensores por comodidad (sobre todo cuando se trata de infraestructura), y que las APT intentarán diversificar sus conjuntos de herramientas para seguir sin ser detectadas.

Malware enviado por SIGINT

Pasaron casi 10 años desde que las revelaciones de Snowden dieron a conocer el sistema pirata utilizado por la Agencia de Seguridad Nacional (National Security Agency, NSA), FoxAcid/Quantum. Estas revelaciones incluyen el aprovechamiento de “sociedades con empresas de telecomunicaciones de EE. UU.” para colocar servidores en posiciones clave de la red troncal de Internet, lo que permite realizar ataques man-on-the-side. Este es uno de los vectores de ataque más potentes que se puede imaginar, ya que permite que las víctimas se infecten sin ninguna interacción. En 2022, observamos que otro autor de amenazas replicó esta técnica en China, y no tenemos duda de que varios grupos trabajaron incansablemente para obtener esta habilidad. Si bien desplegar herramientas similares a Quantum a gran escala requiere de un poder político y tecnológico que solo unos pocos poseen, es probable que, por ahora, se implementen a nivel local (es decir, en el país, al confiar en proveedores de servicios de Internet [Internet Service Provider, ISP]).

Aunque estos ataques son muy difíciles de detectar, predecimos que su expansión llevará a más descubrimientos en 2023.

¡Piratería con drones!

A pesar del llamativo título, no hablamos de piratería de aeronaves no tripuladas para la vigilancia o incluso de apoyo militar (aunque eso también podría suceder). Esta predicción final se refiere a todo lo contrario: el uso de drones de grado comercial para posibilitar la piratería de proximidad.

Año tras año, los drones disponibles para el público general adquieren más alcance y habilidades. No sería muy trabajoso armar uno con un punto de acceso de Wi-Fi o un receptor de identidad de suscriptor móvil internacional (International Mobile Subscriber Identity, IMSI) clandestino, o las herramientas necesarias que permitirían la recopilación de negociaciones con acceso Wi-Fi protegido (Wi-Fi Protected Access, WPA) utilizadas para descifrar contraseñas de Wi-Fi fuera de línea. Otro método de ataque sería usar drones para arrojar memorias USB maliciosas en áreas restringidas, con la esperanza de que un transeúnte las levante y las conecte en una máquina. En conclusión, creemos que este será un vector de ataque prometedor que probablemente utilicen los atacantes inteligentes o los especialistas con experiencia en combinar intrusiones físicas y cibernéticas.

¡Nos vemos el próximo año para ver cómo nos fue!