A medida que la crisis en Ucrania continúa burbujeando cerca del punto de ebullición, muchos advierten que si estalla un conflicto armado en Europa del Este, es probable que los grupos de amenazas persistentes avanzadas (APT) respaldados por el estado ruso abran un segundo frente cibernético.
Y aunque los exploits de vulnerabilidad diseñados por APT para su uso en estos escenarios de guerra cibernética representan una amenaza inmediata pequeña para la organización promedio, es probable que resulten muy peligrosos a largo plazo, por lo que al prestar atención a la actividad del estado nación, los profesionales de seguridad de TI pueden comprarse. tiempo valioso para salir adelante de las amenazas del futuro.
Esta es la opinión del director gerente de Coalfire UK, Andy Barratt, quien, hablando con Computer Weekly esta semana, denunció lo que describió como cierta actitud cínica hacia los atacantes respaldados por estados nacionales entre muchos que no los ven como una amenaza para la mayoría. de organizaciones que no son ni órganos de gobierno, ni operadores de infraestructuras críticas nacionales (CNI), ni especialistas en sectores como el de defensa.
Si bien esto es cierto, dijo Barratt, aún es importante estar atento a los ataques impactantes de los estados nacionales. “La razón por la que tenemos que observar a los actores de los estados nacionales no es porque cualquiera de nosotros pueda ser un objetivo de Rusia”, dijo. “Es muy poco probable que UK plc sea el objetivo de un estado nación, porque no quieren quemar sus capacidades. Los rusos no van a entrar en los sistemas de M&S, les importa menos Colin the Caterpillar que a nosotros”.
Barratt dijo que lo que mucha gente extraña es que las organizaciones corren el riesgo de convertirse en daños colaterales de una manera que no quieren o no pueden entender. En esencia, explicó, si Rusia lleva a cabo ciberataques contra objetivos ucranianos u occidentales en las fases iniciales de una guerra cinética más amplia, los ciberdelincuentes observarán lo que han hecho, tratarán de aprender cómo lo hicieron y luego emularon esas tácticas contra los objetivos comerciales.
“Los diversos sindicatos del crimen que observan la actividad del estado nación lo ven como una manera fácil de obtener ganancias”, dijo Barratt. “Si trata a los ciberdelincuentes como un negocio en funcionamiento, su observación de la actividad del estado nacional mejora enormemente su propia investigación sobre nuevas técnicas de ataque… [and] una vez que tengan un exploit masivo viable, lo usarán en quien sea que puedan”.
“SolarWinds, por ejemplo, pasó de ser un ataque de un estado nacional a ser ampliamente utilizado por el crimen organizado. Pasamos de seis a ocho meses trabajando con clientes en exámenes forenses de sus entornos SolarWinds en busca de daños colaterales”.
FCDO un objetivo probable
Hablando a raíz de la noticia de esta semana de que la Oficina de Asuntos Exteriores, de la Commonwealth y de Desarrollo (FCDO) había sido víctima de un ataque cibernético, Barratt dijo que algún tipo de acción del estado nación era probablemente la explicación más probable de este incidente.
El golpe en el FCDO no se reveló y solo fue descubierto por el sitio web de tecnología. La pila cuando encontró un contrato FCDO publicado de £ 467,325.60 para proporcionar soporte de analista comercial y arquitecto técnico para analizar un incidente. El contrato se entregó a BAE Systems sin licitación debido a las circunstancias extremas. Se puede leer completo aquí.
El FCDO solo dijo que había sido objeto de un grave incidente de seguridad cibernética, del cual no se podían revelar más detalles, y necesitaba apoyo urgente para remediarlo e investigarlo. El departamento emitió una declaración por separado a la BBC y otros, pero solo dijo que no comenta sobre seguridad, pero que tiene sistemas para protegerse y defenderse.
Barratt dijo que dada la naturaleza delicada de gran parte del trabajo del FCDO (después de todo, el secretario de Relaciones Exteriores es, en última instancia, la persona a la que informa el MI6), la probabilidad de que haya algún comentario significativo sobre el ataque era casi nula. “Sospecho que es toda la información que obtendremos”, dijo.
“El valor del acuerdo superó las 400.000 libras esterlinas, por lo que diría que el tamaño del incidente fue probablemente bastante considerable”, agregó. “Hay muchas cosas plausibles de las que podría tratarse, pero conociendo el papel del Ministerio de Relaciones Exteriores y su participación en la inteligencia, podría ser un tiro cruzado por parte de una parte interesada”.
También es importante que los defensores entiendan que el FCDO podría haber sido violado por cualquier número de medios, y si los atacantes fueran actores estatales rusos, es posible que ni siquiera hayan tenido que quemar un precioso día cero. Podrían haber superado fácilmente las defensas del departamento utilizando una vulnerabilidad antigua sin parches, o incluso a través de un correo electrónico de phishing.
De hecho, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el equivalente aproximado del gobierno federal al Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, las APT de los estados nacionales tienden a preferir las vulnerabilidades antiguas y sin parches por varias razones, entre las que destacan que son rápidos y fáciles de explotar.
Dos vulnerabilidades particularmente favorecidas en los últimos dos años han sido CVE-2019-19781 en dispositivos Citrix VPN y CVE-2019-11510 en servidores Pulse Secure VPN. A pesar de que CVE-2019-19781 fue de interés periodístico, Citrix, por supuesto, parchó la vulnerabilidad y, dos años después, no se habla mucho de ella, lo que da cobertura tanto a las APT de los estados nacionales como a las bandas criminales.
CISA proporciona recursos adicionales para que los equipos de seguridad de TI los revisen de vez en cuando, en la forma de su Catálogo de vulnerabilidades explotadas conocidas, que hace exactamente lo que dice en la lata, brindando detalles de todas las vulnerabilidades y exposiciones comunes conocidas actualmente (CVE) que están sujetos a explotación activa: en el momento de redactar este informe, más de 350 de ellos. Los defensores también pueden suscribirse para recibir actualizaciones.
Por qué también debería vigilar a los proveedores de seguridad
Barratt dijo que también vale la pena estar atento a las respuestas de los proveedores a los ataques cibernéticos a medida que se desarrollan, ya que pueden proporcionar pistas valiosas sobre lo que están haciendo los APT de los estados nacionales y lo que podría estar a punto de filtrarse en la clandestinidad criminal.
“Hay dos grandes dependencias”, dijo. “La primera es si el objetivo inicial del estado nacional requiere una hazaña sofisticada.
“Si es así, el estado nacional lo compromete a través de una nueva vulnerabilidad de día cero, o similar a un día cero, el proveedor saca un parche y esto rápidamente se hace evidente en las noticias, y los delincuentes inmediatamente lo aplicarán ingeniería inversa, crearán un explote y utilícelo para apuntar a las empresas “.
Si, por otro lado, se revela un ataque cibernético en las noticias y no vemos un aumento repentino de la actividad del proveedor, dijo Barratt, entonces “probablemente fue una campaña de phishing y un malware trivial”.
“Mira lo que hacen para que puedas defenderte de un emulador imitador”, dijo. “La gente extraña esa parte y es probablemente el consejo más importante que podría dar.
“No estoy diciendo que vaya y compre muchas cosas, solo asegúrese de que el patrón de ataque no eluda las defensas en las que confía, porque si sabe algo, puede apostar que los ciberdelincuentes lo saben desde hace más tiempo”.