Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2013. Amenazas corporativas

En los dos últimos años la cantidad de ataques informáticos graves detectados ha crecido tanto, que cada nuevo ataque ya no suele causar sorpresa.  Los informes de las compañías antivirus sobre el descubrimiento de una nueva botnet o un nuevo refinado ejemplar de malware que roba datos aparecen con regularidad.

 Con cada vez más frecuencia las compañías comerciales se convierten en víctimas potenciales de los ataques informáticos.  Según los resultados de una encuesta realizada por Kaspersky Lab y la compañía analítica B2B International, el 91% de las empresas encuestadas en todo el mundo fueron víctimas de por lo menos un ataque al año y el 9% de las compañías fueron víctimas de ataques selectivos.

 

El uso de ordenadores y otros dispositivos digitales en los negocios ha creado un a base para el uso de malware en el espionaje comercial y para el robo de datos corporativos.  El potencial de este enfoque ha resultado tan grande que en el futuro próximo el uso de programas maliciosos puede reemplazar completamente el espionaje mediante infiltrados.  Pero los riesgos para el sector corporativo no se limitan a esto.  El que el éxito de la empresa dependa del buen funcionamiento de los ordenadores y los canales de comunicación entre ellos proporciona a los delincuentes un fundamento para el uso de diferentes programas de acciones destructivas, desde los programas cifradores y los "eliminadores", que se han difundido como una epidemia en el sector corporativo, hasta ejércitos de obedientes equipos zombi, que se apoderan de todos los recursos libres de los servidores corporativos y las redes de transmisión de datos.

Los motivos

  1. Robo de información. El robo de valiosos datos corporativos, secretos comerciales o datos personales de los empleados y clientes de la compañía y la monitorización de las actividades de la compañía son objetivos perseguidos por muchos, desde hombres de negocios que recurren a los servicios de los delincuentes informáticos para penetrar en las redes corporativas de sus competidores, hasta servicios de inteligencia de diferentes países.
  2. Destrucción de datos o bloqueo del funcionamiento de la infraestructura. Algunos programas maliciosos se usan para hacer sabotajes sui generis: su tarea es destruir datos importantes o poner fuera de servicio la infraestructura de la compañía. Por ejemplo, los programas troyanos Wiper y Shamoon borran los datos del sistema de las estaciones de trabajo y los servidores sin que exista la posibilidad de recuperarlos.
  3. Robo de dinero. Las infecciones causadas por programas troyanos especializados que roban medios financieros mediante sistemas de banca electrónica a distancia, y los ataques selectivos contra los recursos internos de los centros de procesamiento y financieros, provocan pérdidas financieras a las compañías atacadas.
  4. Golpe a la reputación de la compañía. El éxito de los negocios y la enorme audiencia de los sitios oficiales de las compañías, sobre todo de las que ofrecen servicios por Internet, atrae a los delincuentes. El hackeo de un sitio corporativo con la subsiguiente suplantación de enlaces que remiten a los visitantes a recursos maliciosos, la inclusión de un banner publicitario o la inserción de mensajes políticos en un recurso capturado causa cambios sustanciales en la actitud de los clientes hacia la compañía.
    Otro riesgo crítico que puede afectar a la reputación es el robo de certificados digitales de las compañías informáticas. En algunos casos, por ejemplo para las compañías que tienen sus centros públicos de certificación, la pérdida de certificados o la penetración en la estructura de la firma digital puede provocar la pérdida total de la confianza en la compañía y su posterior clausura.
  5. Perdidas financieras. Uno de los métodos populares de causar daños directos a las compañías y organizaciones son los ataques DDoS. Los delincuentes informáticos crean nuevos métodos de lanzar estos ataques. Como resultado de los ataques DDoS, a veces los recursos web de las compañías dejan de funcionar por varios días. En estos casos los clientes no solo no pueden usar los servicios de las compañías atacadas, lo que les infringe daños financieros directos, sino que también hace que los visitantes de estos sitios sientan la necesidad de encontrar una compañía más fiable, lo que provoca la reducción de los clientes y daños financieros a largo plazo
    En 2013 aumentó la popularidad de los ataques DNS Amplification, en los que los delincuentes usan botnets para enviar solicitudes recursivas a los servidores DNS y envían la respuesta a los sistemas atacados.  Este fue el método usado para efectuar uno de los atques DDoS más potentes de este año, el ataque contra el sitio del proyecto Spamhaus.

Las organizaciones en la mira

Cuando ocurre una propagación masiva de programas maliciosos, cualquier compañía cuyos equipos sean vulnerables puede convertirse en víctima. Así, incluso una compañía comercial pequeña puede infectarse con un popular troyano bancario (ZeuS, SpyEye, etc.)  y como resultado perder dinero y propiedades intelectuales.

Según los resultados de las investigaciones de Kaspersky Lab, en 2013 los blancos de los ataques selectivos (acciones minuciosamente planeadas para infectar la infraestructura de red de determinada organización o persona en particular) han sido las empresas de la industria petrolera, las compañías de telecomunicaciones, los centros científicos de investigación y la industria aeroespacial, los astilleros y otros campos de la industria relacionados con el desarrollo de altas tecnologías.  

Preparación de los ataques

Los delincuentes informáticos usan un gran arsenal de complejos instrumentos para penetrar en las redes informáticas corporativas.  El planeamiento de un ataque selectivo contra una compañía puede llevar varios meses, después de lo cual se usan todas las técnicas posibles, empezando por la ingeniería social y terminando por vulnerabilidades de software desconocidas.

Los atacantes hacen un estudio escrupuloso del perfil comercial de la empresa, los recursos públicos donde se puede obtener cualquier información útil, los sitios web y los portales web de la compañía, los perfiles de los empleados en las redes sociales, los anuncios y las conclusiones de presentaciones, exposiciones, etc.  Los delincuentes pueden estudiar la infraestructura de red de las compañías, los recursos de red y los nodos de comunicación para planear la estrategia de penetración y robo de información.

Durante el planeamiento de los ataques, los delincuentes pueden crear sitios web falsos, cuya apariencia es idéntica a la de los sitios pertenecientes a las compañías clientes o socios de la compañía atacada y registrar nombres de dominio parecidos.  Posteriormente los usan para engañar e infectar a la víctima.

Métodos de penetración

En 2013 uno de los métodos más populares entre los delincuentes para penetrar en las redes corporativas fue enviar a los empleados de la compañía atacada mensajes electrónicos con adjuntos maliciosos.  Con frecuencia en estos mensajes se adjunta un documento en formatos típicos de oficina, como Word, Excel y PDF.  Al abrir el fichero adjunto se aprovecha alguna vulnerabilidad en el software y tiene lugar la infección del sistema con un programa malicioso.

El eslabón débil

Con frecuencia los destinatarios de mensajes maliciosos son empleados que, por el carácter de sus actividades, reciben mensajes de remitentes que están fuera de la estructura corporativa.  La correspondencia maliciosa se envía sobre todo a los empleados de los departamentos de relaciones públicas.  Las subdivisiones que se encargan de contratar personal también reciben muchos mensajes de usuarios externos.  El delincuente puede fingir ser un candidato potencial a una vacancia abierta, iniciar correspondencia y enviar un PDF malicioso con un curriculum vitae.  Sin lugar a dudas, este fichero lo abrirá un empleado de recursos humanos y de existir una vulnerabilidad, se infectará una estación de trabajo.   los delincuentes pueden enviar a los departamentos financieros de las compañías mensajes maliciosos en nombre de los órganos fiscales, bajo la apariencia de diversas demandas, requerimientos, solicitudes, etc.  Los departamentos jurídicos pueden recibir mensajes maliciosos supuestamente enviados por los juzgados, órganos judiciales y otras autoridades públicas.

Ingeniería social

El contenido del mensaje suele ser del interés del empleado al que se lo envía, porque está relacionado con sus obligaciones o con la esfera de actividades de la compañía.  Por ejemplo, en el ataque selectivo lanzado contra compañías particulares del sector de videojuegos, el grupo de hackers Winnti usaba mensajes con propuestas de colaboración.

 

En cambio, el espía  Miniduke se propagaba junto con un mensaje que despertaba el interés, acerca de los planes de la política externa ucraniana, en particular sobre las relaciones entre Ucrania y la OTAN.

 

Las vulnerabilidades y los exploits

Los delincuentes informáticos usan activamente los exploits contra conocidas vulnerabilidades de software.

Por ejemplo, el famoso Red October usaba como mínimo tres diferentes exploits para vulnerabilidades conocidas de Microsoft Office –CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) y CVE-2012-0158 (MS Word) y el programa malicioso Nettraveler, un exploit para CVE-2013-2465 (MS Word) y las vulnerabilidades para las versiones 5, 6 y 7 de Java que fueron solucionadas sólo en junio de 2013.

Pero las más peligrosas son las vulnerabilidades desconocidas a los desarrolladores (0-day). Los delincuentes informáticos buscan activamente en los programas populares "brechas" todavía desconocidas y crean exploits para las mismas.  Si existe una vulnerabilidad en el software, la probabilidad de que se la explote es muy alta.  Miniduke usaba una  vulnerabilidad de este tipo (CVE-2013-0640) en las versiones 9, 10, 11 de Adobe Reader, que en el momento del ataque era todavía desconocida.

Tecnologías

Los delincuentes informáticos perfeccionan constantemente el software malicioso, y usan enfoques y soluciones originales para robar información.

Red October, después de ingresar en el sistema, se comportaba como una plataforma modular multifuncional y, dependiendo de su objetivo, agregaba al sistema diferentes módulos, cada uno de los cuales ejecutaba determinado conjunto de acciones: recopilación inicial de información sobre el equipo infectado y la infraestructura de red, robo de contraseñas de diferentes servicios, espionaje de teclado, autopropagación, transmisión de la información robada, etc.

También merece la pena destacara eu los delincuentes informáticos prestaron atención al desarrollo de las tecnologías móviles y la propagación de dispositivos móviles en el entorno corporativo. Un smartphone o tableta moderna es prácticamente una estación de trabajo completa y guarda una gran cantidad de datos que son el blanco de los delincuentes.  Los creadores de Red October han desarrollado módulos especiales que determinan cuándo se conectaban a la estación de trabajo smartphones Apple iOS, Windows Mobile, como también celulares fabricados por Nokia se conectaba a la estación de trabajo infectada, copiaban los datos que contenían y los enviaban al servidor de administración.

Los creadores de Kimsuky pusieron en este programa malicioso un módulo completo de administración remota de los sistemas infectados, y lo hicieron basándose en un programa de administración remota completamente legal, TeamViewer, haciendo unas cuantas modificaciones en su código. Después de lo cual varios operadores se conectaban de forma manual a los ordenadores infectados para recolectar y copiar información de su interés.

El grupo de hackers Winnti robaba certificados digitales en las redes corporativas de los desarrolladores de juegos y los usaba para firmar su driver malicioso que después infectaba otras compañías. Por ejemplo, así robaron el certificado digital de la compañía surcoreana KOG. Después de que notificamos del robo a la compañía, el certificado fue retirado.

Certificado retirado:

 

Además, uno de los módulos del troyano de 64 bits era un backdoor completo. Este es el primer caso que conocemos del uso de programas maliciosos de 64 bits que tienen una firma digital válida de una compañía legal.

El programa espía Miniduke usaba Twitter para recibir información sobre los servidores de administración. Los operadores de Miniduke, con la ayuda de cuentas creadas con este propósito, publicaban twits creados de una forma específica con la dirección cifrada del servidor de administración:

 

El troyano instalado en el equipo infectado leía Twitter y se conectaba a los sistemas de administración.

¿Qué roban?

Los delincuentes se interesaban en el robo de todo tipo de información.  Se podía tratar de las más nuevas tecnologías de las compañía y los institutos de investigación científica, los códigos fuente de software, documentos financieros y jurídicos, datos personales de los empleados y clientes, y cualquier otra información que fuera secreto comercial.   Con frecuencia esta información se guarda sin hacer uso de cifrado en las redes de las empresas en forma de documentos electrónicos, tareas técnicas, informes, dibujos técnicos, presentaciones, imágenes, etc.

Como hemos escrito más arriba, los delincuentes informáticos usan diferentes enfoques para recolectar datos.  Algunos programas maliciosos recopilan prácticamente todo tipo de documentos electrónicos.  Por ejemplo, Red October se interesaba por documentos en formatos txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau  etc. que el programa malicioso enviaba a los servidores de administración.

Otro enfoque, que notamos en Kimsuky y Icefog, es prácticamente el análisis manual de los datos almacenados en las redes corporativas (con la ayuda de tecnologías de acceso remoto integradas en los programas maliciosos para entrar en los equipos infectados) y la posterior copia de solo los documentos que interesaban a los delincuentes. Los delincuentes toman en cuenta todas las peculiaridades de la compañía atacada y tiene una idea concreta de los formatos de datos que allí se usan y el tipo de información que almacenan. Así, en el caso de Kimsuky y Icefog se robaban documentos muy específicos en formato hwp, popular en Corea del Sur.

Una nueva tendencia: los cibermercenarios

Al analizar los ataques selectivos más recientes, llegamos a la conclusión de que en el mundo de los delincuentes informáticos ha aparecido una nueva categoría de atacantes que hemos llamado "cybermercenarios".  Se trata de grupos organizados de hackers de alta cualificación, que pueden ser contratados por compañías estatales y privadas para organizar y llevar a cabo complejos ataques específicos contra compañías privadas con el objetivo de robar información, destruir datos o infraestructura.

Los cibermercenarios reciben un contrato donde se especifican los objetivos y el carácter de la misión, después empieza la cuidadosa preparación y realización del ataque.   Antes, durante los ataques dirigidos, ocurrían robos masivos de diferente información, ahora, los cibermercenarios tratan de conseguir documentos en concreto o los contactos de las personas que pueden tener la información deseada.

En 2013 hemos investigado las acciones del grupo de cibermercenarios IceFog, que llevo a cabo ataques homónimos. Durante la investigación logramos detectar el log de las actividades de los operadores de Icefog, que describía con detalle todas las acciones de los atacantes.  Al analizar estos logs, nos quedó claro que los delincuentes sabían en qué directorios se suele guardar la información que les interesa.

Consecuencias de los grandes desenmascaramientos

El año 2013 trajo consigo grandes desenmascaramientos de ataques de programas espía relacionados directa o indirectamente con las actividades de diferentes gobiernos.   El resultado de estos desenmascaramientos puede desembocar en la pérdida de confianza en los servicios y corporaciones globales y el surgimiento de la idea de crear análogos de los servicios globales, pero dentro los límites de los estados.  Esto, a su vez, puede conducir a una peculiar “desglobalización” y al aumento de la demanda de servicios y productos TI locales. Hoy en día en muchos países ya existen análogos locales de los servicios globales, como por ejemplo sistemas de búsqueda, servicios de correo, de mensajería instantánea e incluso redes sociales nacionales.

Las compañías desarrolladoras locales garantizan el crecimiento de los nuevos productos de software y servicios nacionales.  Como regla, son compañías, cuyas dimensiones y presupuesto son menores que los de los grandes desarrolladores.  Por lo tanto, la calidad de los productos de estas compañías no se somete a una verificación tan escrupulosa. Según la experiencia que hemos adquirido en el análisis de los ataques cibernéticos, mientras menor sea el tamaño y la experiencia de los desarrolladores de software, mayor será la cantidad de vulnerabilidades encontradas en su código.  Esta circunstancia hace mucho más simple la tarea de los delincuentes informáticos que realizan ataques selectivos.

Además, al obtener superioridad en el control de la información y los recursos de hardware, algunos estados pueden obligar a las compañías locales a usar software y servicios de Internet nacionales, lo que a fin de cuenta puede convertirse tener repercusiones negativas en la seguridad del sector corporativo.

Kaspersky Security Bulletin 2013. Amenazas corporativas

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada