Kaspersky Security Bulletin: Predicciones de amenazas para 2019 - Seguridad de la información

Breaking

Webs Amigas

martes, 20 de noviembre de 2018

Kaspersky Security Bulletin: Predicciones de amenazas para 2019


No hay nada más difícil que predecir. Entonces, en lugar de contemplar una bola de cristal, la idea aquí es hacer conjeturas basadas en lo que ha ocurrido recientemente y donde vemos una tendencia que podría explotarse en los próximos meses.Preguntar a las personas más inteligentes que conozco y basar nuestro escenario en ataques APT porque tradicionalmente muestran la mayor innovación cuando se trata de romper la seguridad, aquí están nuestras principales "predicciones" de lo que podría suceder en los próximos meses.

No más APTs grandes


¿Qué? ¿Cómo es posible que en un mundo donde descubrimos cada vez más actores cada día, la primera predicción parece apuntar en la dirección opuesta?El razonamiento detrás de esto es que la industria de la seguridad ha descubierto constantemente operaciones altamente sofisticadas patrocinadas por el gobierno que tomaron años de preparación. Lo que parece ser una reacción lógica a esa situación desde la perspectiva de un atacante sería explorar nuevas técnicas aún más sofisticadas que son mucho más difíciles de descubrir y atribuir a actores específicos.


De hecho, hay muchas maneras diferentes de hacer esto. El único requisito sería comprender las técnicas utilizadas por la industria para la atribución y para identificar similitudes entre los diferentes ataques y los artefactos utilizados en ellos, algo que no parece ser un gran secreto. Con recursos suficientes, una solución simple para un atacante podría tener diferentes conjuntos de actividades en curso que son muy difíciles de relacionar con el mismo actor u operación. Los atacantes bien dotados de recursos podrían iniciar nuevas operaciones innovadoras mientras mantienen vivos a sus antiguos. Por supuesto, todavía hay una buena posibilidad de que se descubran las operaciones más antiguas, pero descubrir las nuevas operaciones supondría un desafío mayor.


En lugar de crear campañas más sofisticadas, en algunos casos parece ser más eficiente para algunos actores muy específicos que tienen la capacidad de hacerlo, para dirigirse directamente a la infraestructura y las empresas donde se pueden encontrar víctimas, como los ISP. A veces esto puede lograrse a través de la regulación, sin la necesidad de malware.


Algunas operaciones simplemente se externalizan a diferentes grupos y empresas que utilizan diferentes herramientas y técnicas, lo que hace que la atribución sea extremadamente difícil. Vale la pena tener en cuenta que, en el caso de operaciones patrocinadas por el gobierno, esta "centrifugación" de recursos y talento podría afectar el futuro de dichas campañas. Las capacidades y herramientas técnicas son propiedad de la industria privada en este escenario, y están a la venta para cualquier cliente que, en muchos casos, no comprende completamente los detalles técnicos y las consecuencias detrás de ellos.


Todo esto sugiere que es poco probable que descubramos nuevas operaciones altamente sofisticadas: es más probable que los atacantes con buenos recursos simplemente cambien a nuevos paradigmas.

Hardware de red y IOT

Parecía lógico que en algún momento todos los actores desplegaran capacidades y herramientas diseñadas para apuntar al hardware de red. Campañas como VPNFilter fueron un ejemplo perfecto de cómo los atacantes ya han comenzado a implementar su malware para crear una "red de bots" multipropósito. En este caso particular, incluso cuando el malware estaba muy extendido, tomó algún tiempo detectar el ataque, lo cual es preocupante considerando lo que podría suceder en operaciones más específicas.En realidad, esta idea puede ir aún más lejos para los actores con recursos suficientes: ¿por qué no apuntar directamente a una infraestructura aún más elemental en lugar de solo enfocarse en una organización objetivo? No hemos alcanzado ese nivel de compromiso (a nuestro entender), pero se desprendió de ejemplos pasados ​​(como Regin) lo tentador que es ese nivel de control para cualquier atacante.


Las vulnerabilidades en el hardware de red permiten a los atacantes seguir direcciones diferentes. Podrían optar por un compromiso masivo al estilo de una red de bots y usar esa red en el futuro para diferentes objetivos, o podrían acercarse a objetivos seleccionados para más ataques clandestinos. En este segundo grupo podríamos considerar ataques "sin malware", donde abrir un túnel VPN para reflejar o redirigir el tráfico podría proporcionar toda la información necesaria a un atacante.


Todos estos elementos de redes también podrían ser parte de la poderosa IoT, donde las botnets siguen creciendo a un ritmo aparentemente imparable. Estas botnets podrían ser increíblemente poderosas en las manos equivocadas cuando se trata de interrumpir una infraestructura crítica, por ejemplo. Esto puede ser abusado por actores con muchos recursos, posiblemente utilizando un grupo de cobertura, o en algún tipo de ataque terrorista.


Un ejemplo de cómo se pueden usar estas botnets versátiles, aparte de para ataques perturbadores, es el salto de frecuencia de corto alcance para comunicaciones maliciosas, evitando las herramientas de monitoreo al evitar los canales de exfiltración convencionales.


Si bien esto parece ser una advertencia recurrente año tras año, nunca debemos subestimar las redes de bots de IoT, ya que siguen creciendo.


Represalia publica

Una de las preguntas más importantes en términos de diplomacia y geopolítica era cómo lidiar con un ataque cibernético activo. La respuesta no es simple y depende en gran medida de cuán malo y flagrante fue el ataque, entre muchas otras consideraciones. Sin embargo, parece que después de trucos como el del Comité Nacional Demócrata, las cosas se pusieron más serias.

Las investigaciones sobre ataques recientes de alto perfil, como los piratas informáticos de Sony Entertainment Network o el ataque al DNC, culminaron en una lista de sospechosos acusados. Eso da lugar no solo a personas que se enfrentan a un juicio, sino también a una demostración pública de quién estaba detrás del ataque. Esto se puede usar para crear una oleada de opiniones que podrían ser parte de un argumento para consecuencias diplomáticas más serias.En realidad, hemos visto a Rusia sufrir tales consecuencias como resultado de su supuesta interferencia en los procesos democráticos. Esto podría hacer que otros reconsideren futuras operaciones de este tipo.

Sin embargo, el temor de que algo así sucediera, o la idea de que ya podría haber ocurrido, fue el mayor logro de los atacantes. Ahora pueden explotar ese miedo, incertidumbre y duda de maneras diferentes y más sutiles, algo que vimos en operaciones notables, incluida la de los Shadowbrokers. Esperamos que venga más.

¿Qué veremos en el futuro? Las aguas de propaganda probablemente estaban siendo probadas por operaciones pasadas. Creemos que esto acaba de comenzar y se abusará de varias maneras, por ejemplo, en incidentes de bandera falsa, como vimos con el Destructor Olímpico, donde aún no está claro cuál fue el objetivo final y cómo podría haberse desarrollado.






Aparición de recién llegados

Simplificando un poco, el mundo de la APT parece estar dividiéndose en dos grupos: los actores más avanzados con los recursos tradicionales (que predecimos que se desvanecerán) y un grupo de recién llegados enérgicos que quieren participar en el juego.


La cuestión es que la barrera de entrada nunca ha sido tan baja, con cientos de herramientas muy efectivas, reutilizados exploits filtrados y marcos de todo tipo públicamente disponibles para que cualquiera los use. Como ventaja adicional, estas herramientas hacen que la atribución sea casi imposible y se puede personalizar fácilmente si es necesario.


Hay dos regiones en el mundo donde estos grupos son cada vez más frecuentes: el sudeste asiático y el Medio Oriente. Hemos observado la rápida progresión de grupos sospechosos de estar basados ​​en estas regiones, tradicionalmente abusando de la ingeniería social para los objetivos locales, aprovechando las víctimas mal protegidas y la falta de una cultura de seguridad. Sin embargo, a medida que los objetivos aumentan sus defensas, los atacantes hacen lo mismo con sus capacidades ofensivas, lo que les permite extender sus operaciones a otras regiones a medida que mejoran el nivel técnico de sus herramientas. En este escenario de herramientas basadas en scripts también podemos encontrar compañías emergentes que brindan servicios regionales que, a pesar de las fallas de OPSEC, continúan mejorando sus operaciones.


Un aspecto interesante que vale la pena considerar desde un ángulo más técnico es cómo las herramientas de post-explotación de JavaScript pueden encontrar una nueva vida a corto plazo, dada la dificultad de limitar su funcionalidad por parte de un administrador (a diferencia de PowerShell), su falta de sistema. Los registros y su capacidad para ejecutarse en sistemas operativos más antiguos.


Los anillos negativos


El año de Meltdown / Spectre / AMDFlaws y todas las vulnerabilidades asociadas (y las que vendrán) nos hicieron reconsiderar dónde vive el malware más peligroso. Y aunque no hemos visto casi nada en el campo de las vulnerabilidades de abuso debajo del Anillo 0, la mera posibilidad es realmente aterradora, ya que sería invisible para casi todos los mecanismos de seguridad que tenemos.


Por ejemplo, en el caso de SMM, al menos ha habido un PoC disponible públicamente desde 2015. SMM es una característica de la CPU que efectivamente proporcionaría acceso completo remoto a una computadora sin siquiera permitir que los procesos de Ring 0 tengan acceso a su espacio de memoria. Eso nos hace preguntarnos si el hecho de que no hayamos encontrado ningún malware que abusara de esto hasta ahora es simplemente porque es muy difícil de detectar. Abusar de esta característica parece ser una oportunidad demasiado buena para ignorarla, por lo que estamos seguros de que varios grupos han intentado explotar tales mecanismos durante años, quizás con éxito.Vemos una situación similar con el malware de virtualización / hipervisor, o con el malware UEFI. Hemos visto PoC para ambos, y HackingTeam incluso reveló un módulo de persistencia UEFI que ha estado disponible desde al menos 2014, pero nuevamente no hay ejemplos reales de ITW todavía.


¿Alguna vez encontraremos este tipo de unicornios? ¿O no han sido explotados todavía? La última posibilidad parece poco probable.


Tu vector de infección favorito

Probablemente, en la predicción menos sorprendente de este artículo, nos gustaría decir algunas palabras sobre el phishing de lanza. Creemos que el vector de infección más exitoso será aún más importante en el futuro más cercano. La clave de su éxito sigue siendo su capacidad para despertar la curiosidad de la víctima, y ​​las recientes fugas masivas de datos de varias plataformas de redes sociales podrían ayudar a los atacantes a mejorar este enfoque.


Los datos obtenidos de los ataques contra gigantes de las redes sociales como Facebook e Instagram, así como LinkedIn y Twitter, ahora están disponibles en el mercado para que cualquiera pueda comprarlos. En algunos casos, aún no está claro qué tipo de datos fueron atacados por los atacantes, pero podría incluir mensajes privados o incluso credenciales. Esto es un tesoro para los ingenieros sociales, y podría dar lugar, por ejemplo, a que un atacante utilice las credenciales robadas de algún contacto cercano suyo para compartir algo en las redes sociales que ya ha discutido en privado, lo que mejorará dramáticamente las posibilidades de un ataque exitoso.


Esto se puede combinar con técnicas de exploración tradicionales en las que los atacantes comprueban dos veces el objetivo para asegurarse de que la víctima es la correcta, minimizando la distribución de malware y su detección. En términos de archivos adjuntos, es bastante estándar asegurarse de que haya interacción humana antes de desencadenar cualquier actividad maliciosa, evitando así los sistemas de detección automática.


De hecho, hay varias iniciativas que utilizan el aprendizaje automático para mejorar la efectividad del phishing. Aún se desconoce cuáles serían los resultados en un escenario de la vida real, pero lo que parece claro es que la combinación de todos estos factores mantendrá al phishing como un vector de infección muy efectivo, especialmente a través de las redes sociales en los próximos meses.


Destructor destructivo


El destructor olímpico fue uno de los casos más famosos de malware potencialmente destructivo durante el año pasado, pero muchos atacantes están incorporando dichas capacidades en sus campañas de forma regular. Los ataques destructivos tienen varias ventajas para los atacantes, especialmente en términos de crear un desvío y limpiar cualquier registro o evidencia después del ataque. O simplemente como una desagradable sorpresa para la víctima.


Algunos de estos ataques destructivos tienen objetivos geoestratégicos relacionados con los conflictos en curso, como hemos visto en Ucrania, o con intereses políticos como los ataques que afectaron a varias compañías petroleras en Arabia Saudita. En algunos otros casos, pueden ser el resultado de un hacktivismo, o actividad de un grupo proxy que es utilizado por una entidad más poderosa que prefiere permanecer en las sombras.


De todos modos, la clave de todos estos ataques es que son "demasiado buenos" para no usarlos. En términos de represalias, por ejemplo, los gobiernos podrían usarlos como una respuesta que oscila entre una respuesta diplomática y un acto de guerra, y de hecho algunos gobiernos están experimentando con ellos. La mayoría de estos ataques se planifican por adelantado, lo que implica una etapa inicial de reconocimiento e intrusión. No sabemos cuántas víctimas potenciales ya están en esta situación donde todo está listo, solo esperando que se dispare el gatillo, o qué más tienen los atacantes en su arsenal esperando la orden de ataque.


Los entornos de ICS y la infraestructura crítica son especialmente vulnerables a tales ataques, y aunque la industria y los gobiernos han hecho un gran esfuerzo en los últimos años para mejorar la situación, las cosas están lejos de ser ideales. Por eso creemos que a pesar de que tales ataques nunca se generalizarán, el próximo año esperamos que ocurran algunos, especialmente en represalia a las decisiones políticas.

Cadena de suministro avanzada

Este es uno de los vectores de ataque más preocupantes, que se ha explotado con éxito en los últimos dos años, y ha hecho que todos piensen en cuántos proveedores tienen y qué tan seguros están. Bueno, no hay una respuesta fácil para este tipo de ataque.


Aunque este es un vector fantástico para apuntar a toda una industria (similar a los ataques de pozos de agua) o incluso a un país entero (como se ve con NotPetya), no es tan bueno cuando se trata de ataques más dirigidos, ya que el riesgo de detección es mayor. También hemos visto intentos más indiscriminados, como inyectar código malicioso en repositorios públicos para bibliotecas comunes. La última técnica podría ser útil en ataques cronometrados muy cuidadosamente cuando estas bibliotecas se usan en un proyecto muy particular, con la subsiguiente eliminación del código malicioso del repositorio.


Ahora, ¿puede este tipo de ataque ser usado de una manera más específica? Parece ser difícil en el caso del software porque dejará rastros en todas partes y es probable que el malware se distribuya a varios clientes. Es más realista en los casos en que el proveedor trabaja exclusivamente para un cliente específico.¿Qué pasa con los implantes de hardware? ¿Son una posibilidad real? Ha habido alguna controversia reciente sobre eso. Aunque vimos en las filtraciones de Snowden cómo se puede manipular el hardware en su camino hacia el cliente, esto no parece ser algo que la mayoría de los actores puedan hacer aparte de los muy poderosos. E incluso estarán limitados por varios factores.


Sin embargo, en los casos en que se conoce al comprador de un pedido en particular, podría ser más factible que un actor intente manipular el hardware en su origen en lugar de dirigirse al cliente.


Es difícil imaginar cómo se podrían eludir todos los controles técnicos en una línea de montaje industrial y cómo se podría llevar a cabo tal manipulación. No queremos descartar esta posibilidad, pero probablemente implicaría la colaboración del fabricante.


En general, los ataques a la cadena de suministro son un vector de infección efectivo que continuaremos viendo. En términos de implantes de hardware, creemos que es extremadamente improbable que ocurra, y si lo hace, probablemente nunca lo sabremos ...


Y móvil


Esto está en las predicciones de cada año. No se espera nada innovador, pero siempre es interesante pensar en las dos velocidades para esta lenta ola de infecciones. No hace falta decir que todos los actores tienen componentes móviles en sus campañas; No tiene sentido ir solo para PC. La realidad es que podemos encontrar muchos ejemplos de artefactos para Android, pero también algunas mejoras en términos de ataque a iOS.


Aunque las infecciones exitosas para iPhone requieren concatenar varios días, siempre vale la pena recordar que los actores con recursos increíbles pueden pagar por dicha tecnología y usarla en ataques críticos. Algunas empresas privadas afirman que pueden acceder a cualquier iPhone que posean físicamente. Otros grupos menos adinerados pueden encontrar algunas formas creativas para eludir la seguridad en tales dispositivos, por ejemplo, utilizando servidores de MDM fraudulentos y pidiéndoles a los entes de ingeniería social que los utilicen en sus dispositivos, brindando a los atacantes la capacidad de instalar aplicaciones maliciosas.


Será interesante ver si el código de inicio para iOS filtrado a principios de año proporcionará alguna ventaja a los atacantes, o si encontrarán nuevas formas de explotarlo.


En cualquier caso, no esperamos ningún gran brote cuando se trata de malware dirigido a dispositivos móviles, pero esperamos ver una actividad continua de atacantes avanzados con el objetivo de encontrar formas de acceder a los dispositivos de sus objetivos.

Otras cosas

¿En qué podrían estar pensando los atacantes en términos más futuristas? Una de las ideas, especialmente en el campo militar, podría ser dejar de usar seres humanos débiles propensos a errores y reemplazarlos por algo más mecánico. Teniendo eso en cuenta, y también pensando en los presuntos agentes de GRU expulsados ​​de los Países Bajos en abril pasado después de intentar piratear la red Wi-Fi de la OPCW como ejemplo, ¿qué hay de usar drones en lugar de agentes humanos para piratear a corta distancia?


¿O qué hay de backdooring algunos de los cientos de proyectos de criptomoneda para la recopilación de datos, o incluso la ganancia financiera?¿Uso de algún bien digital para el lavado de dinero? ¿Qué hay de usar las compras en el juego y luego vender esas cuentas más tarde en el mercado?Hay tantas posibilidades que las predicciones siempre están por debajo de la realidad. La complejidad del entorno ya no se puede entender completamente, lo que aumenta las posibilidades de ataques especializados en diferentes áreas. ¿Cómo se puede abusar del sistema interno interbancario de una bolsa por fraude? No tengo idea, ni siquiera sé si tal sistema existe. Este es solo un ejemplo de cuán abiertos a la imaginación están los atacantes detrás de estas campañas.


Estamos aquí para tratar de anticiparnos, para comprender los ataques que no hacemos y para evitar que ocurran en el futuro.





No hay comentarios:

Publicar un comentario