Esta es la segunda entrega de una serie de varias partes que examina las herramientas y tácticas utilizadas por los atacantes en la violación de RSA y otras intrusiones de red recientes caracterizadas como «ultra-sofisticadas» y «amenazas persistentes avanzadas». Si se perdió la primera parte, consulte Tweets persistentes avanzados: día cero en 140 caracteres.
Los piratas informáticos que irrumpieron en RSA parecen haber aprovechado algunos de los mismos sitios web, herramientas y servicios utilizados en ese ataque para infiltrarse en docenas de otras empresas durante el año pasado, incluidas algunas de las empresas Fortune 500 protegidas por RSA, sugiere nueva información. . Es más, los asaltantes trasladaron sus operaciones desde esos sitios hace muy poco tiempo, luego de que sus ubicaciones fueran reveladas en un informe publicado en línea por la Equipo de preparación para emergencias informáticas de EE. UU. (US-CERT)una división de la Departamento de Seguridad Nacional de EE. UU..
En La explicación de RSA del ataqueseñaló tres dominios que, según afirmó, se utilizaron para descargar software malicioso y desviar datos confidenciales tomados de sus redes internas: Bien[DOT]mincesur[DOT]com, arriba82673[DOT]salto[DOT]org y www[DOT]cz88[DOT]neto. Pero de acuerdo con entrevistas con varios expertos en seguridad que vigilan de cerca estos dominios, los sitios web en cuestión no eran simplemente un escenario de ataque único: se habían ganado la reputación de ser plataformas de lanzamiento para el mismo tipo de ataques durante al menos un período de 12 meses antes de la divulgación de la infracción de RSA.
Además, los mismos dominios enviaban y recibían conexiones a Internet de docenas de compañías Fortune 500 durante ese tiempo, según la empresa con sede en Atlanta. Dambala, una empresa que extrae datos sobre ataques de malware utilizando una red de sensores desplegados en proveedores de servicios de Internet y grandes empresas de todo el mundo. Damballa monitorea los servidores del sistema de nombres de dominio (DNS) en esas redes, buscando tráfico entre buenos hosts conocidos y ubicaciones hostiles conocidas o sospechosas.
Günter Ollmann, vicepresidente de investigación de Damballa, dijo que durante más de un año su empresa ha estado monitoreando los tres sitios maliciosos que, según RSA, estaban involucrados en el robo de su propiedad intelectual, y que muchas otras empresas importantes han tenido amplias comunicaciones con esos dominios hostiles. durante ese tiempo. Agregó que su empresa no está en posición de nombrar a las otras empresas afectadas por la filtración y que Damballa está ayudando a las autoridades federales con las investigaciones en curso.
“Hay mucho malware que se ha basado en esos dominios para el comando y control”, dijo Ollmann. “Sabemos quiénes son las víctimas, aproximadamente cuántos dispositivos dentro de esas organizaciones de víctimas se vieron comprometidos y aún están comprometidos. RSA no fue la única víctima de estos ataques”.
RSA dijo que los atacantes robaron información relacionada con su ID de seguridad productos de autenticación de dos factores. La compañía se ha mantenido en silencio sobre lo que se tomó exactamente, y no está claro cuántos datos confidenciales se robaron de otras organizaciones comprometidas por la misma infraestructura utilizada para atacar RSA.
Pero los métodos utilizados en las intrusiones, que comenzaron con la explotación dirigida de fallas de seguridad de «día cero» previamente no documentadas, llevan la firma de los narrados en una serie de Cables del Departamento de Estado de EE. UU. recientemente filtrados. Esos comunicados detallan más de media década de ataques cibernéticos incesantes y sofisticados atribuidos a los esfuerzos patrocinados por el estado chino para extraer secretos comerciales y de seguridad nacional del gobierno y el sector privado de EE. UU.
El aparente compromiso de tantas organizaciones a manos de un adversario que lanzó un ataque tras otro desde la misma infraestructura plantea la pregunta: si se sabía que estos dominios eran tan malos durante tanto tiempo, ¿cómo podrían tantas organizaciones, incluidas las que se especializan en en la prestación de servicios de seguridad de Internet, ¿no han podido simplemente bloquear todas las comunicaciones hacia y desde esos sitios maliciosos?
“En este caso, el malware y sus dominios asociados se conocen desde hace mucho tiempo”, dijo Ollmann. “No hay excusa para que las organizaciones no bloqueen [access to] esos sitios y canales de comunicación”.
El intercambio oportuno de información sobre amenazas cibernéticas nuevas y sofisticadas ha sido y sigue siendo un importante punto débil tanto para el gobierno como para el sector privado. Parte del problema, dicen los expertos, es que algunas organizaciones de víctimas no son conscientes de los compromisos sistémicos en sus redes hasta que los funcionarios encargados de hacer cumplir la ley les alertan meses después. En ese momento, los atacantes habrán tenido suficiente tiempo para moverse lateralmente a través de la red del objetivo y robar propiedad intelectual y otros datos de propiedad. Otras víctimas pueden simplemente tener miedo de que compartir información sobre tales ataques pueda conducir al requisito de reconocimiento público de una violación de seguridad.
“Lo que mucha gente necesita entender es que hay una estrategia concertada y organizada a nivel nacional que se está orquestando contra nuestro país y otros”, dijo un experto en seguridad que ha ayudado a varias organizaciones a responder a estos ataques sofisticados, pero que habló sobre condición de anonimato por no estar autorizado a hablar con la prensa. “No hay muchas empresas de seguridad que estén muy centradas en esta amenaza. Corremos el riesgo de ser completamente abrumados y superados. [if we don’t] trabajar juntos en una defensa colectiva”.
Relacionado:
Exploit de día cero publicado para IE8 – Krebs sobre seguridad
Microsoft parchea docenas de agujeros de seguridad – Krebs on Security
Actualizaciones a la historia de actualización de día cero de Apple: ¡los usuarios de iPhone y iPad leen esto! – Seguridad desnuda
