Otra APT de la familia Duke está atacando objetivos de alto rango, entre los cuales se encuentran el Gobierno de Estados Unidos y varias empresas de primer nivel. Se trata de CozyDuke, también conocido como CozyBear, CozyCar y “Office Monkeys”, este último en referencia al video que utiliza como señuelo.
El ataque de CozyDuke es notablemente sofisticado. Utiliza componentes encriptados, capacidades anti-detección y un set de malwares con una estructura similar a las amenazas MiniDuke, ComiscDuke y OnionDuke.
Los monos de oficina son peligrosos
Vale la pena mencionar que el método de infiltración utilizado CozyDuke está basado enteramente en técnicas de Ingeniería Social. Lamentablemente para nosotros, éste es un enfoque que posee mucho éxito en los ataques dirigidos.
Los atacantes utilizaron como carnada un video extremadamente divertido de simios trabajando en una oficina. El archivo, que incluía un video ejecutable, era entregado vía emails spear-phishing con un adjunto o un link a un sitio web. En algunos casos este sitio era una página web conocida que ya había sido comprometida previamente.
Mientras el video se ejecutaba, se infectaba silenciosamente el Sistema y se lo preparaba para recibir commandos y componentes malware desde servidores de Comando y Control.
Los cibercriminales no se equivocaron al suponer que muchos de los receptores de los emails abrirían el video. De hecho, no sólo lo ejecutaron, sino que también lo compartieron con sus compañeros de trabajo, es decir, que ayudaron sin saberlo a los criminales a distribuir el malware. Teniendo en cuenta el perfil del objetivo, la cantidad de información sensible que pudo ser robada es incalculable.
La pregunta es: ¿cómo puedes mitigar una amenaza de este tipo cuando tus propios empleados son quienes atentan contra la seguridad de tu organización? En primer lugar, nunca debes subestimar el poder de la Ingeniería Social: ¿Cuántos empleados leales podrían, por ejemplo, resistirse a abrir un enlace a una supuesta carta de su jefe?
Cómo evitar una amenaza de este tipo
En realidad, varias precauciones de seguridad básicas pueden funcionar eficazmente contra las APT más temibles y sofisticadas. Por ejemplo, el simple hecho de poner freno a los permisos de administrador de los terminales de los empleados, parchear todas las vulnerabilidades y restringir un número determinado de aplicaciones, podría mitigar hasta un 85% de los ataques dirigidos.
El componente de Control de Aplicaciones de Kaspersky Lab, que incluye una función dinámica de creación de listas de admitidos sería un recurso muy valioso para esta tarea. El video de los simios –al igual que los demás componentes maliciosos de CozyDuke- simplemente no serían capaces de ser ejecutados sin ser previamente aprobados por el administrador de sistemas.
The White House, US State Department and others are counted among #CozyDukeAPT victims – http://t.co/nXaf9mj6cK pic.twitter.com/FSRwlgClmD
— Kaspersky (@kaspersky) April 24, 2015
Es posible que los administradores tengan un rango limitado de tareas y responsabilidades, dado que diariamente se enfrentan a correspondencias de gran importancia. En esos casos, lo mejor sería adoptar un módulo de control de aplicaciones por defecto, el cual limitaría los permisos de los empleados para ejecutar programas.
Otras estrategias útiles, especialmente adecuadas para agencias gubernamentales y grandes compañías pueden incluir:
- Utilización de tecnología Web Control para restringir el acceso sólo a recursos web permitidos, prohibiendo el uso de programas no relacionadoscon el trabajo.
- Filtrado de contenidos de los emails, tal y como lo ofrece Kaspersky Security para Exchange y Linux Mail. De esta forma se desechan todos los mails y archivos adjuntos sospechosos, dependiendo del rol y la jerarquía del receptor.
- Tecnología de control de uso de dispositivos para evitar la transferencia de información sin autorización por fuera del perímetro de la organización –o incluso dentro de la misma organización-. Esta tecnología ayuda a prevenir la distribución del malware y el robo de datos.
- Realización de capacitaciones especializadas para empleados, tal como las que ofrece Kaspersky Lab en sus Servicios de Inteligencia de Seguridad. Esto aumentará la visibilidad y la concientización sobre los peligros a los que se enfrentan los usuarios. Al mismo tiempo, se les enseña a los empleados a evitar prácticas inseguras que podrían costar grandes fortunas o suponer una amenaza para la seguridad de su nación.
Check out Kaspersky Lab's Targeted #Cyberattacks Logbook https://t.co/X3IemS4Jf9 #SecurityWithoutBorders pic.twitter.com/p441mWhfuG
— Kaspersky (@kaspersky) March 28, 2015
Considerar males mayores
Antes de un ataque, los actores de la APT analizan en profundidad la organización objetivo – incluyendo los empleados, los procesos de negocio y soluciones de seguridad actuales utilizadas por ésta-. Este conocimiento se utiliza para ayudar a evaluar las vulnerabilidades del objetivo y, así, eludir los mecanismos de seguridad existentes.
Cómo mitigar la amenaza #CozyDuke
Tweet
Así que, cuando se combate una APT es absolutamente necesario emplear un enfoque de seguridad de múltiples capas y reforzar las soluciones anti-malware con una serie de medidas de seguridad proactivas que protejan diferentes elementos de la red informática. Si te armas y preparas bien, te conviertes en un objetivo formidablemente inviable para una APT.
Traducido por: Guillermo Vidal Quinteiro