El especialista en pruebas de penetración y consultoría de seguridad cibernética del Reino Unido, MDSec, defendió su marco comercial Nighthawk y criticó lo que describió como una divulgación “irresponsable” después de que los investigadores de Proofpoint advirtieran que la herramienta corre el riesgo de ser cooptada para un uso generalizado en la clandestinidad ciberdelincuente, como sucedió. con Cobalt Strike y otros, como Sliver y Brute Ratel.
Al igual que Cobalt Strike, Nighthawk es un marco legítimo de comando y control (C2) que se utiliza para las pruebas de penetración del equipo rojo y se vende a través de licencias comerciales.
Fue desarrollado internamente en MDSec con sede en Cheshire, que está acreditado a través de la autoridad técnica CESG del gobierno del Reino Unido para ofrecer servicios cibernéticos a organismos gubernamentales, y posee muchas otras insignias de Crest y el Centro Nacional de Seguridad Cibernética.
MDSec lanzó Nighthawk en 2021 y lo describió como “el marco C2 más avanzado y evasivo disponible en el mercado… un implante altamente maleable diseñado para eludir y evadir los controles de seguridad modernos que a menudo se ven en entornos maduros y altamente monitoreados”.
Sin embargo, Proofpoint dice que en septiembre de 2022, sus sistemas detectaron la entrega inicial del marco Nighthawk como un troyano de acceso remoto (RAT). Sus sistemas detectaron varios correos electrónicos de prueba que se enviaban con líneas de asunto genéricas que incluían “Solo me registré” y “Espero que esto funcione2”, que contenían enlaces que, al hacer clic, conducían a un archivo ISO que contenía la carga útil del cargador Nighthawk como ejecutable.
Dijo que esta distribución de Nighthawk parece haber tenido lugar como parte de un ejercicio genuino de equipo rojo y que los correos electrónicos y enlaces dentro de ellos solo tenían la apariencia de ser maliciosos.
Proofpoint enfatizó además que no se ha dado cuenta de que ningún actor de amenazas atribuido haya adoptado ninguna versión filtrada de Nighthawk, pero dijo que sería “incorrecto y peligroso” suponer que no se apropiaría como tal.
“Los proveedores de detección en particular deben garantizar una cobertura adecuada de esta herramienta, ya que pueden aparecer versiones descifradas de marcos de trabajo posteriores a la explotación efectivos y flexibles en los rincones oscuros de Internet cuando los actores de amenazas están buscando una herramienta novedosa o la herramienta ha alcanzado un cierto nivel. prevalencia”, dijo el equipo.
Hay muchas razones por las que los actores de amenazas se apropian de herramientas legítimas en sus arsenales. Pueden dificultar que los defensores o los investigadores atribuyan grupos de actividad y, por lo general, contendrán características específicas, como la evasión de detección de puntos finales. En el caso de Nighthawk, los investigadores creen que son las capacidades avanzadas del producto, particularmente su extensa lista de técnicas de evasión configurables, lo que puede hacerlo excepcionalmente atractivo para los actores maliciosos en el futuro.
“Las herramientas legítimas, como el marco de prueba de penetración de Nighthawk, son las favoritas de todos los tiempos de los actores de amenazas con diferentes niveles de habilidad y motivaciones”, dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint.
“Pueden complicar la atribución, facilitar la evasión de la detección de puntos finales y, en general, hacer que el trabajo de los investigadores de seguridad sea más difícil de lo que ya es. La gran comunidad necesita todas las ventajas que pueda obtener para prepararse para la próxima amenaza potencial y eso significa profundizar incluso en aquellas herramientas que se crean con las mejores intenciones”.
El director de MDSec, Dominic Chell, dijo a Computer Weekly: “No tenemos conocimiento de ningún caso en el que Nighthawk se haya utilizado para actividades ilegítimas, ni se ha producido ninguna evidencia para respaldar esta teoría. Nos tomamos muy en serio nuestro papel como exportadores de software de intrusión y aplicamos una investigación rigurosa a cualquier empresa que desee comprar el software”.
Computer Weekly también entiende que MDSec tiene una serie de medidas implementadas para controlar la distribución y rastrear cómo y dónde se usa el marco Nighthawk, aunque los detalles técnicos completos de estos no se pueden divulgar por razones de seguridad.
Algunos de los procedimientos de investigación de antecedentes no técnicos incluyen un requisito de licencia de múltiples puestos, para ponerlo fuera del alcance de individuos, contratistas o equipos rojos de un solo operador, y una prohibición total de licencias de prueba autohospedadas, como lo han hecho otros productos similares. terminó siendo expuesto a través de tales juicios.
Cuando exporta, la empresa exporta de acuerdo con la Licencia General Abierta de Exportaciones (OGEL, por sus siglas en inglés) del gobierno, que rige la exportación de bienes controlados en una lista de artículos estratégicos y militares (Nighthawk entra en la categoría “militar y de doble uso”) que requieren autorización.
Tiene licencia para distribuir Nighthawk en la Unión Europea, Australia, Canadá, Japón, Nueva Zelanda, Noruega, Suiza, Liechtenstein y EE. UU. En una publicación de blog, MDSec dijo que había rechazado muchos más enfoques para comprar Nighthawk de los que había aprobado.
MDSec dijo que no se le contactó antes de que se hiciera público el aviso de Proofpoint, ni se le pidió que confirmara la legitimidad de la actividad que detectó el monitoreo del proveedor. La firma describió la documentación de Proofpoint de una serie de técnicas de desvío de EDR no publicadas como “irresponsable”, diciendo que esta información ahora podría ser explotada por actores de amenazas.
La compañía instó a los proveedores de seguridad que deseen confirmar la legitimidad de la actividad de Nighthawk que pueden observar en su telemetría a contactarlos directamente.