La investigación describe 17 marcos maliciosos utilizados para atacar redes con brecha de aire
Solo en la primera mitad de 2020, se descubrieron cuatro marcos maliciosos diferentes diseñados para atacar redes de espacio aéreo, lo que elevó el número total de estos conjuntos de herramientas a 17 y abrió un camino para que los atacantes practiquen el ciberespionaje y exfiltran información clasificada.
«Todos los marcos están diseñados para realizar algún tipo de espionaje, [and] todos los frameworks utilizaron unidades USB como medio de transmisión físico para transferir datos dentro y fuera de las redes de aire específicas «, dijeron los investigadores de ESET Alexis Dorais-Joncas y Facundo Muñoz en un estudio exhaustivo de los frameworks.
El espacio aéreo es una medida de seguridad de la red diseñada para evitar el acceso no autorizado a los sistemas aislándolos físicamente de otras redes no seguras, incluidas las redes de área local y la Internet pública. También implica que la única forma de transferir datos es conectando un dispositivo físico, como una computadora, a una computadora. B. Unidades USB o discos duros externos.
Dado que el mecanismo es uno de los métodos más comunes para proteger SCADA y los sistemas de control industrial (ICS), los grupos de APT que generalmente están patrocinados o son parte de los esfuerzos del estado-nación se han dirigido cada vez más a la infraestructura crítica con la esperanza de infiltrarse en espacios de aire. en la red con malware para monitorear objetivos de interés.
Diseñado principalmente para atacar sistemas operativos basados en Windows, la firma de ciberseguridad eslovaca dijo que no menos del 75% de todos los marcos se han encontrado usando archivos LNK o AutoRun maliciosos en unidades USB para prevenir el compromiso inicial del sistema Air-Gap o mover lateralmente dentro de la red de espacio de aire.
Algunos marcos adscritos a actores de amenazas conocidos son los siguientes:
«Todos los frameworks han encontrado sus propios caminos, pero todos tienen una cosa en común: todos usaban unidades USB aptas para armas sin excepción», explicaron los investigadores. «La principal diferencia entre los marcos conectados y fuera de línea es cómo se utiliza la unidad como arma en primer lugar».
Mientras que los marcos conectados funcionan proporcionando un componente malicioso en el sistema conectado que monitorea las nuevas unidades USB conectadas y coloca automáticamente el código de ataque necesario para envenenar el sistema de espacio de aire, los marcos fuera de línea como Brutal Kangaroo, EZCheese y ProjectSauron en los atacantes que infectan intencionalmente sus propias unidades USB para buscar las máquinas de destino.
Sin embargo, la transmisión encubierta de datos desde entornos con espacios de aire sin que los USB sean un hilo común sigue siendo un desafío. Aunque se han desarrollado varios métodos para absorber de manera encubierta datos altamente sensibles utilizando cables Ethernet, señales de Wi-Fi, la fuente de alimentación de la computadora e incluso cambios en el brillo de la pantalla LCD como canales laterales novedosos, los ataques en la naturaleza aún deben usar estas técnicas. a ser observado.
Como medida de precaución, se recomienda a las organizaciones con sistemas de información críticos e información confidencial que eviten el acceso directo al correo electrónico a los sistemas conectados, deshabiliten los puertos USB y desinfecten las unidades USB, limiten la ejecución de archivos en medios extraíbles y analicen periódicamente los sistemas de espacio de aire en busca de señales. de actividad sospechosa.
«Mantener un sistema de espacio de aire completo trae los beneficios de una protección adicional», dijo Dorais-Joncas. «Pero al igual que todos los demás mecanismos de seguridad, el air gaping no es una panacea y no evita que los actores malintencionados exploten los sistemas obsoletos o los malos hábitos de los empleados».
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
