iProfesional

Conozca el nuevo método de espionaje que los cibercriminales usan contra las empresas

Consiste en “utilizar” a empleados para que descarguen código malicioso a la red de la organización objetivo a través de la simple visita a una página web
11/06/2013 - 10:03hs
Conozca el nuevo método de espionaje que los cibercriminales usan contra las empresas

Si se consulta qué tienen en común empresas como Microsoft, Twitter, Facebook y Apple, seguramente la respuesta más habitual sería que son grandes compañías con millones de usuarios. 

Si bien eso es cierto, el último mes la característica más parecida que han compartido es que las cuatro (junto a otras muchas) han sido víctimas de intrusiones.

El ataque que han sufrido ha sido bautizado como “WateringHoleAttack” y consiste en “utilizar” a los empleados para que descarguen malware a la red de la organización objetivo a través de la simple visita a una página web controlada por el delincuente que, en el caso de las firmas mencionadas, fue un popular sitio de descarga de aplicaciones para móviles utilizado por los desarrolladores de las empresas afectadas.

El nombre hace referencia a la manera en que un león embosca víctimas en un pozo de agua y cuanto más grande sea éste, es decir, más popular sea el sitio web controlado, más llegarán a él. 

Estas intrusiones están orientadas a robar información sensible de la organización y de sus usuarios como sucedió con los datos de 250 mil registrados en Twitter que fueron comprometidos.

El proceso es el siguiente:

  1. Un delincuente modifica un sitio web y agrega scripts dañinos en él.
  2. Sin saberlo, la víctima lo visita.
  3. Este sitio web, a través del elemento dañino inyectado por el delincuente, redirige a la víctima a otro de descarga de malware. Mientras tanto, la página comprometida se utiliza como “trampolín” para llevar a cabo ataques de espionaje quedando a la espera de usuarios que la visiten, los cuales se infectarán.
  4. Este malware comprueba las aplicaciones instaladas en el sistema afectado (Internet Explorer, Firefox, Java, Adobe Reader, Flash Player, etc.) y luego explota vulnerabilidades en dichas aplicaciones, las cuales le permiten descargar malware específico para cada sistema operativo e infectar al usuario.

El ataque es altamente efectivo ya que con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza y, de un simple golpe, controlar la información de todas las organizaciones víctimas. 

El éxito se incrementa porque los delincuentes utilizan vulnerabilidades “0-Day”, no conocidas aún públicamente, que no han sido solucionadas por el fabricante y son, por lo tanto, 100% efectivas.

En este tipo de ataque no importa el sistema operativo utilizado por la organización, ya que en la primera etapa se determina el mismo y luego se descargará un archivo ejecutable dañino acorde al sistema determinado.

Si bien el procedimiento técnico es muy parecido al conocido Drive-by-download, utilizado por las amenazas persistentes y avanzadas (APT por sus siglas en inglés, puede ver más en esta nota de iProfesional), la diferencia fundamental radica en el objetivo de este tipo de ataques: realizar espionaje internacional de grandes organizaciones del ámbito de defensa, político, religioso, energía, comunicaciones, armamento, transporte, tecnología, financieras, salud, etc. 

La información recogida, que puede ascender a miles de terabytes, posteriormente será analizada para determinar el destino de la misma: ser vendida en el mercado negro como  base para otros ataques, para determinar objetivos críticos de un país en una posible ciberguerra y cualquier otro propósito imaginable.

Prevención

Si bien actualmente, ninguna empresa puede asegurar que no fue, está siendo o será víctima de este tipo de ataques, existen algunas medidas que deben ser analizadas para prevenirlos y mitigarlos. 

La primera es mantener actualizados los sistemas operativos y las aplicaciones de la compañía, como se explica en esta nota de iProfesional

Como ya se señaló, generalmente se utilizan vulnerabilidades desconocidas por lo que además deben utilizarse las clásicas aplicaciones de protección técnicas: la segmentación de redes, antivirus, firewall, herramientas de análisis de tráfico de red, filtros de navegación y control de fugas de información (DLP). 

Pero sobre todo se debe incorporar la gestión de la seguridad como un proceso, analizar las posibles amenazas y los riesgos. 

Se debe ser consciente de que la organización toda no puede ser protegida con una única medida o herramienta de seguridad y debe implementarse la seguridad por capas o niveles: cada uno por sí mismo podría ser violado, pero su actuación en conjunto fortalecen el sistema completo.

Cristian Borghello es External Security Consultant de ZMA

Temas relacionados