Seguridad

Los piratas informáticos de SolarWinds siguen apuntando a Microsoft, concéntrense en el personal de soporte

Lidiar con la seguridad cibernética es una batalla continua de ingenio y habilidades que a menudo deja a los profesionales de TI con la sensación de que apenas están frenando los ataques interminables de un juego de azar defensivo gigante.

Tomemos el caso de Microsoft y el infame hackeo de la cadena de suministro de SolarWinds que se informó por primera vez en diciembre pasado. Sus ramificaciones aún no se conocen por completo, mientras que el daño potencial continúa enconándose en cientos de empresas y redes gubernamentales comprometidas.

SolarWinds es una importante empresa de tecnología de la información de EE. UU. cuya red informática fue violada en una serie de ataques cibernéticos que se extendieron a sus clientes y pasaron desapercibidos durante meses. Microsoft reveló recientemente que sin duda también fue víctima de la misma pandilla de piratas informáticos con sede en Rusia responsable del ataque de SolarWinds.

A medida que se conocen algunos de los detalles que rodean el ataque cibernético, las revelaciones sombrías podrían causar justificadamente un grito ahogado que indica que si Microsoft puede ser violado, ¿qué esperanza queda para todos los demás?

Microsoft admitió que un atacante que se creía que estaba involucrado con Nobelium a fines de mayo usó la suplantación de identidad de uno de sus agentes de servicio al cliente para robar información y luego la usó para lanzar intentos de piratería contra los clientes. Microsoft dijo que descubrió el compromiso durante su respuesta a los ataques por parte de un equipo responsable de infracciones importantes anteriores en SolarWinds y Microsoft.

Irónicamente, los piratas informáticos del estado-nación que orquestaron el ataque a la cadena de suministro de SolarWinds comprometieron la computadora de un trabajador de Microsoft.

En declaraciones de seguimiento sobre las luchas en curso con la seguridad cibernética, el presidente de Microsoft, Brad Smith, calificó a SolarWinds como “el ataque más grande y sofisticado que el mundo jamás haya visto”, según informes publicados. La campaña de ataque contó con más de mil hackers detrás.

El ex director ejecutivo de SolarWinds, Kevin Thompson, dijo que la filtración exitosa podría haber sido el resultado de un interno que creó «‘solarwinds123» como contraseña y luego compartió esa contraseña en GitHub.

Por supuesto, así es como se supone que funcionan los ataques de phishing. Los atacantes dispersan sus tácticas y esperan que permanezcan en secreto el mayor tiempo posible. Por lo general, los ataques a gran escala como SolarWinds se combaten en múltiples vectores de ataque.

“Estamos entrando en la era de la guerra cibernética de baja intensidad y alto impacto. Durante las últimas dos décadas, los adversarios han desarrollado capacidades sofisticadas para lanzar y entregar armas cibernéticas en estados nacionales e industrias, pero los atacantes ahora pueden usar el nuevo mundo hiperconectado a su favor”, dijo a TechNewsWorld Om Moolchandani, CISO de Accurics.

La guerra urbana se volvió digital

Los atacantes cibernéticos ya no necesitan crear vectores de ataque extremadamente sofisticados. Pueden usar la conectividad existente para penetrar a las víctimas, señaló. Comparó la nueva doctrina de los atacantes cibernéticos con las estrategias de guerra física de hoy. La intensidad es baja y los ataques son confinados, pero los impactos son extremadamente altos.

“Los adversarios se mezclan y se esconden entre los no combatientes en la guerra urbana, al igual que los atacantes cibernéticos ahora utilizan al personal de atención al cliente para ocultar sus tácticas”, observó Moolchandani.

El Centro de Inteligencia de Amenazas de Microsoft informó el 25 de junio que Nobelium lanzó una nueva actividad de ataque que incluye rociado de contraseñas y ataques de fuerza bruta. Pero esas tácticas han fracasado en gran medida, según Microsoft.

Si el ataque de Nobelium a la infraestructura de Microsoft fue «en su mayoría fallido», entonces podemos suponer que fue «parcialmente exitoso», contrarrestó Neil Jones, evangelista de ciberseguridad en Egnyte.

“Este es un ejemplo clásico de la necesidad continua de fortalecer sus contraseñas, implementar técnicas efectivas de autenticación multifactor (MFA) y maximizar las técnicas de administración de contraseñas”, dijo a TechNewsWorld.

Esos requisitos son de misión crítica para los sistemas que se utilizan para interactuar con sus clientes y recopilar sus datos, agregó.

“El ataque más reciente también es un claro recordatorio de que debe hacer que el control de datos sea una prioridad a nivel de directorio si aún no lo ha hecho”, dijo Jones.

Aparecen más detalles

La investigación del Threat Center también detectó malware que roba información en una máquina perteneciente a uno de los agentes de atención al cliente de Microsoft con acceso a la información básica de la cuenta de un pequeño número de nuestros clientes, según el informe del Centro del 25 de junio.

“El actor usó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia. Respondimos rápidamente, eliminamos el acceso y aseguramos el dispositivo”, señaló el informe.

Los agentes de soporte de Microsoft están configurados con el conjunto mínimo de permisos requeridos como parte del enfoque de «acceso menos privilegiado» de confianza cero de la compañía a la información del cliente, explica el comunicado.

Esa información refuerza la importancia de las precauciones de seguridad de las mejores prácticas, como la arquitectura de confianza cero y la autenticación de múltiples factores para continuar evitando las intrusiones en la red, según Microsoft.

“Dado que el actor malicioso ya estaba lanzando ataques de precisión contra los clientes cuya información se vio comprometida, esto indica que los agentes de apoyo atacantes probablemente formaban parte de la campaña con una misión más amplia”, agregó Moolchandani.

Intenciones del atacante

La información robada posiblemente podría revelar patrones de uso, registro o temas del servicio proporcionado por el proveedor de servicios de TI de los clientes, u otros datos relevantes que pueden usarse para falsificar la identificación de una víctima, señaló Moolchandani.

“Los agentes de soporte requieren secretos de los clientes para poder identificarlos. Si es robada, los adversarios pueden usar esta información para falsificar las identificaciones de correo electrónico de las víctimas y obtener acceso a las cuentas corporativas”, explicó.

Dirigirse a las empresas de TI refleja que los atacantes quieren obtener acceso a sus objetivos finales utilizando mecanismos de la cadena de suministro. La mayoría de las empresas de TI brindan servicios troncales a grandes empresas, negocios, gobiernos e industrias.

“Las empresas de TI se enfocan en gran medida en el éxito del cliente y requieren información confidencial, privilegios y acceso para brindar estos servicios. Tienen mucha información jugosa que es atractiva para los adversarios, y cualquier falta de las mejores prácticas de seguridad cibernética, como la confianza cero, el endurecimiento o la autenticación de múltiples factores, puede resultar en el compromiso de los datos del cliente”, dijo Moolchandani.

Agentes de soporte Objetivos clave

Los atacantes buscan constantemente opciones de bajo costo para completar sus misiones. Según Moolchandani, es más fácil y rentable para ellos dirigirse a los agentes de soporte que trabajan para empresas de TI más pequeñas que brindan servicios de soporte para grandes empresas que dirigirse directamente a esas grandes organizaciones.

“El personal de apoyo por lo general cuenta con un acceso mínimo a los sistemas para sus necesidades, pero las organizaciones todavía están trabajando arduamente para implementar la conciencia de seguridad cibernética en los niveles básicos, y esa madurez aún tiene que llegar al punto en que cada empleado sea consciente de la riesgos Esta es la debilidad que los atacantes quieren explotar”, explicó.

Las últimas revelaciones ilustran que simplemente agregar controles de protección con contraseña no es suficiente. El monitoreo casi en tiempo real del complejo comportamiento de las credenciales y los derechos es igualmente importante y obligatorio para los equipos de respuesta, ya que esos controles preventivos siempre fallarán, advirtió Ralph Pisani, presidente de Exabeam.

“A pesar de que Nobelium es bien conocido entre la comunidad de seguridad debido al ataque de SolarWinds y otros éxitos pasados, continúan desarrollando nuevos puntos de apoyo y no parece que vayan a desaparecer pronto”, dijo a TechNewsWorld.

Se necesitan mejores planes

Durante esta instancia con Microsoft, los adversarios pudieron usar la máquina infectada para recopilar más contexto sobre los clientes. Esta información permite a los adversarios crear correos electrónicos de phishing altamente específicos sobre el tema de sus cuentas y pagos para obtener más acceso y credenciales, señaló Pisani.

“Como parte del conjunto de intrusiones, Microsoft fue testigo tanto del rociado de contraseñas como de ataques de fuerza bruta en cuentas y clientes. Debemos abrazar la idea de que la identidad es el nuevo perímetro. Sabemos que un empleado comprometido jugó un papel en este incidente más reciente”, agregó.

Los equipos de seguridad han visto a los ciberenemigos ejecutar el mismo juego una y otra vez. Entonces, la defensa comienza con la detección, clasificación, investigación y respuesta, instó Pisani.

“Si bien hay un enfoque cada vez mayor en abordar los dos extremos de la detección y la respuesta, la mayoría de las empresas luchan o pasan por alto las piezas intermedias sin darse cuenta de la cortina de humo que esto proporciona a los atacantes”, advirtió Pisani.

Los equipos del Centro de Operaciones de Seguridad necesitan un enfoque de seguridad más integral basado en resultados, instó. Más allá de las contraseñas, proteger las identidades de sus empleados, clientes, socios y cualquier persona dentro de sus sistemas de TI es un resultado fundamental.

LEER  Es hora de poner a los piratas informáticos a la defensiva

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba