in

La investigación describe 17 marcos maliciosos utilizados para atacar redes con brecha de aire


Solo en la primera mitad de 2020, se descubrieron cuatro marcos maliciosos diferentes diseñados para atacar redes de espacio aéreo, lo que elevó el número total de estos conjuntos de herramientas a 17 y abrió un camino para que los atacantes practiquen el ciberespionaje y exfiltran información clasificada.

«Todos los marcos están diseñados para realizar algún tipo de espionaje, [and] todos los frameworks utilizaron unidades USB como medio de transmisión físico para transferir datos dentro y fuera de las redes de aire específicas «, dijeron los investigadores de ESET Alexis Dorais-Joncas y Facundo Muñoz en un estudio exhaustivo de los frameworks.

El espacio aéreo es una medida de seguridad de la red diseñada para evitar el acceso no autorizado a los sistemas aislándolos físicamente de otras redes no seguras, incluidas las redes de área local y la Internet pública. También implica que la única forma de transferir datos es conectando un dispositivo físico, como una computadora, a una computadora. B. Unidades USB o discos duros externos.

Copias de seguridad automáticas de GitHub

Dado que el mecanismo es uno de los métodos más comunes para proteger SCADA y los sistemas de control industrial (ICS), los grupos de APT que generalmente están patrocinados o son parte de los esfuerzos del estado-nación se han dirigido cada vez más a la infraestructura crítica con la esperanza de infiltrarse en espacios de aire. en la red con malware para monitorear objetivos de interés.

Diseñado principalmente para atacar sistemas operativos basados ​​en Windows, la firma de ciberseguridad eslovaca dijo que no menos del 75% de todos los marcos se han encontrado usando archivos LNK o AutoRun maliciosos en unidades USB para prevenir el compromiso inicial del sistema Air-Gap o mover lateralmente dentro de la red de espacio de aire.

Algunos marcos adscritos a actores de amenazas conocidos son los siguientes:

«Todos los frameworks han encontrado sus propios caminos, pero todos tienen una cosa en común: todos usaban unidades USB aptas para armas sin excepción», explicaron los investigadores. «La principal diferencia entre los marcos conectados y fuera de línea es cómo se utiliza la unidad como arma en primer lugar».

Prevenir filtraciones de datos

Mientras que los marcos conectados funcionan proporcionando un componente malicioso en el sistema conectado que monitorea las nuevas unidades USB conectadas y coloca automáticamente el código de ataque necesario para envenenar el sistema de espacio de aire, los marcos fuera de línea como Brutal Kangaroo, EZCheese y ProjectSauron en los atacantes que infectan intencionalmente sus propias unidades USB para buscar las máquinas de destino.

Sin embargo, la transmisión encubierta de datos desde entornos con espacios de aire sin que los USB sean un hilo común sigue siendo un desafío. Aunque se han desarrollado varios métodos para absorber de manera encubierta datos altamente sensibles utilizando cables Ethernet, señales de Wi-Fi, la fuente de alimentación de la computadora e incluso cambios en el brillo de la pantalla LCD como canales laterales novedosos, los ataques en la naturaleza aún deben usar estas técnicas. a ser observado.

Como medida de precaución, se recomienda a las organizaciones con sistemas de información críticos e información confidencial que eviten el acceso directo al correo electrónico a los sistemas conectados, deshabiliten los puertos USB y desinfecten las unidades USB, limiten la ejecución de archivos en medios extraíbles y analicen periódicamente los sistemas de espacio de aire en busca de señales. de actividad sospechosa.

«Mantener un sistema de espacio de aire completo trae los beneficios de una protección adicional», dijo Dorais-Joncas. «Pero al igual que todos los demás mecanismos de seguridad, el air gaping no es una panacea y no evita que los actores malintencionados exploten los sistemas obsoletos o los malos hábitos de los empleados».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿Quién es el corredor de acceso a la red «Babam»? – Cáncer sobre seguridad

Se dice que el software espía Pegasus ha pirateado iPhones propiedad del Departamento de Estado de EE. UU. Y diplomáticos