in

Los dispositivos USB son el denominador común en todos los ataques a sistemas con air gap



Los ciberataques a los sistemas de espacio de aire, incluido el sofisticado y peligroso ataque Stuxnet de 2010 que paralizó una planta de enriquecimiento de uranio, tienen una cosa en común: una memoria USB.

Un nuevo estudio de ESET de 17 marcos de malware que los actores de amenazas han utilizado para aislar los sistemas durante la última década mostró que cada uno de ellos usa una unidad USB para inyectar malware en el entorno y extraer datos de allí. El proveedor de seguridad descubrió que la mejor defensa para las empresas contra los ataques a los sistemas de espacio aéreo es limitar el uso de USB tanto como sea posible y monitorearlo de cerca en situaciones en las que se deben usar los dispositivos.

«La protección de las redes air-gap contra los ataques cibernéticos es un tema muy complejo que abarca varias disciplinas», dice Alexis Dorais-Joncas, líder del equipo de inteligencia de seguridad de ESET. «Aparte de eso, es valioso comprender cuán bien conocido [malware] Los marcos operan en entornos de espacio de aire y derivan formas de detectar y bloquear actividades maliciosas comunes «.

Las organizaciones a menudo protegen sus sistemas operativos y comerciales más importantes separándolos físicamente de otras redes conectadas, o creando un espacio de aire. El objetivo es garantizar que un atacante que pueda haber obtenido acceso a la red corporativa no tenga forma de llegar a estos sistemas a través de movimientos laterales, escalada de privilegios y otros métodos.

Sin embargo, ha habido numerosos casos en los últimos años en los que los actores de amenazas han logrado cerrar la brecha de aire y acceder a sistemas e infraestructura críticos para el negocio. El ataque de Stuxnet contra Irán, presuntamente encabezado por equipos de ciberseguridad de Estados Unidos e Israel, sigue siendo uno de los ejemplos más notables. En esa campaña, los agentes lograron inyectar un dispositivo USB con el gusano Stuxnet en un sistema de destino de Windows, donde explotó una vulnerabilidad (CVE-2010-2568) que desencadenó una cadena de eventos que finalmente condujeron a numerosas centrifugadoras El enriquecimiento de uranio iraní instalación en Natanz resultó en la destrucción de la planta.

Otros marcos que se han desarrollado y utilizado a lo largo de los años en ataques a sistemas de espacio aéreo incluyen Ramsay del grupo de hackers surcoreano DarkHotel, PlugX de Mustang Panda de China, Fanny del probablemente afiliado a la NSA Equation Group y USBCulprit de Goblin Panda. de China. ESET analizó estos y otros marcos de malware que no fueron asignados a ningún grupo como ProjectSauron y agent.btz. Los investigadores del proveedor de seguridad se centraron en particular en aspectos como los mecanismos de ejecución de malware, las funcionalidades de malware en las redes air-gap para la persistencia, el reconocimiento y otras actividades, así como los canales de comunicación y exfiltración.

Grandes similitudes
El ejercicio descubrió que algunos de ellos eran muy similares, incluidos los marcos de malware de hace 15 años. Además de ser un hilo conductor, cada conjunto de herramientas de malware de red de air-gap también ha sido el trabajo de un conjunto avanzado de amenazas persistentes. Todos los marcos están diseñados para realizar espionaje y apuntar específicamente a dispositivos Windows. Más del 75% de ellos utilizaron archivos LNK maliciosos o de ejecución automática en unidades USB para comprometer inicialmente un sistema de espacio de aire o moverse hacia los lados en una red de espacio de aire.

«La conclusión clave es que el único punto de acceso a las redes air-gap que se ha observado es a través de unidades USB. Ahí es donde las empresas deben centrar sus esfuerzos», dice Dorais-Joncas. «[Organizations] También debería reconocer que muchos de los 17 marcos explotaron vulnerabilidades de un día, que son vulnerabilidades que fueron parcheadas en el momento en que fueron explotadas «, dice. Eso significa que los sistemas de espacio aéreo con correcciones de retención de seguridad de última generación son importante y obligaría al atacante a desarrollar o adquirir exploits de día cero adecuados o utilizar técnicas menos eficientes, dice.

ESET descubrió que, si bien los marcos para atacar redes de espacio aéreo tienen mucho en común, la forma en que los ataques en sí tienden a caer en una de dos categorías: marcos conectados y marcos fuera de línea.

Categorías de ataque
Se están desarrollando marcos de trabajo afiliados para proporcionar conectividad completa remota de extremo a extremo a través de Internet entre el atacante y los sistemas comprometidos en el lado del espacio de aire, dice Dorais-Joncas. Cuando atacan marcos en red, los actores de amenazas primero ponen en peligro los sistemas conectados a Internet de una empresa e instalan malware en ellos que puede detectar cuando un dispositivo USB está conectado a ellos. Las unidades USB están armadas con una carga útil maliciosa que se transferirá a cualquier sistema de espacio de aire cuando se conecten. El dispositivo USB envenenado examina los sistemas de espacio de aire, recopila información específica y la almacena en el dispositivo. Cuando la unidad USB se vuelve a insertar en el sistema comprometido en la red conectada a Internet, los datos almacenados se extraen.

Dorais-Joncas dice que una posible razón por la que una empresa podría usar un USB para intercambiar información entre una red conectada y un sistema de espacio de aire es para proporcionar nuevo software.

“Imagine a un administrador del sistema descargando un instalador de software en su computadora conectada comprometida, insertando una unidad USB para copiar el instalador y luego cambiando de un sistema de espacio de aire a otro para instalar el software”, dice Dorais-Joncas.

Sin embargo, incluso con marcos automatizados, un dispositivo USB aún tendría que compartirse físicamente entre la red conectada a Internet y el entorno de espacio de aire para que el ataque funcione, dice.

Algunas investigaciones han demostrado cómo los datos se pueden transferir de forma encubierta desde entornos con espacios de aire, sin intervención humana. Pero ESET dijo que no pudo encontrar un solo caso en el que esto pudiera haber sucedido.

Los marcos sin conexión ahora no tienen un sistema intermedio. En estos ataques, un operador o colaborador en tierra realiza cualquier acción, como preparar la primera unidad USB maliciosa y asegurarse de que se inserte en el lado del espacio de aire para que la carga útil pueda ejecutarse en el entorno objetivo.

«Si bien todos los vectores de ejecución inicial en el lado del espacio de aire se basaron en unidades USB, vimos una gama bastante amplia de técnicas para ejecutar código malicioso», dice Dorais-Joncas. Algunos, como Stuxnet, se aprovecharon de las vulnerabilidades que permitían que la carga útil maliciosa se ejecutara automáticamente. En otros casos, el marco de ataque se basó en un usuario desprevenido para abrir un dispositivo USB cargado con malware y ejecutar el código, por ejemplo, haciendo que pusieran un documento de Office malicioso en la unidad para abrirlo.

James Bond
El escenario final es que un atacante logra obtener acceso directo a un sistema objetivo con un espacio de aire y usa la unidad USB para instalar intencionalmente malware con el fin de robarle datos.

«Ese es el escenario de James Bond», señala Dorais-Joncas. «El malware luego realizaba sus actividades de espionaje, como copiar los archivos que deseaba de nuevo en la unidad, y el operador desconectaba la unidad y abandonaba las instalaciones».

El malware en tales ataques no tiene ningún mecanismo de persistencia, por lo que es un ataque de «golpe y fuga» cuando se usa.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El gobierno del Reino Unido multa con 500.000 libras esterlinas después de publicar domicilios particulares en el Año Nuevo para honrar las violaciones de datos • Graham Cluley

Los estafadores se aprovechan de los temores de Omicron en la nueva campaña de phishing COVID-19