DarkVishnya ataca desde dentro

11 Dic 2018

Normalmente, comenzamos la investigación de un ciberincidente con una tarea sencilla: buscar la fuente de infección. Para ello, buscamos un correo electrónico con un malware adjunto, un enlace malicioso o un servidor hackeado. Por regla general, los especialistas de seguridad cuentan con una lista de equipos, por lo que lo único que hay que hacer es dar con el dispositivo en el cual se inició la actividad maliciosa. Pero ¿y si todas tus computadoras están libres de infección, pero sigue habiendo actividad maliciosa?

Nuestros expertos han investigado recientemente esta situación y descubrieron que los atacantes conectaban físicamente su propio equipo a la red corporativa.

Este tipo de ataque, conocido como DarkVishnya, comienza cuando un delincuente lleva un dispositivo a la oficina de la víctima y lo conecta a la red corporativa. Desde ese dispositivo pueden explorar la infraestructura informática de la compañía a distancia, interceptar contraseñas, leer información desde carpetas públicas y mucho más.

Si quieres conocer toda la información técnica de este ataque, no te pierdas el artículo de Securelist. En este caso en particular, los delincuentes se fijaron como objetivo varios bancos del Este de Europa. No obstante, este método también se podría utilizar contra una gran compañía. De hecho, cuanto más grande, mejor, pues es mucho más fácil esconder un dispositivo malicioso en una gran oficina y puede ser muy efectivo si la empresa cuenta con sedes por todo el mundo conectadas a una sola red.

Dispositivos

Durante la investigación de este caso, nuestros expertos dieron con tres tipos de dispositivos. Desconocemos si todos fueron implantados por un solo grupo o si hubieron varios implicados, pero todos los ataques utilizaban el mismo principio. Estos dispositivos fueron:

  • Una netbook o laptop económica. Los atacantes no necesitan un modelo insignia, pueden comprar uno usado, conectarle un módem 3G e instalar un programa de control remoto. Entonces, esconden el dispositivo para evitar ser detectados y conectan dos cables: uno a la red y otro a la fuente de alimentación.
  • Un Raspberry Pi. Se trata de una computadora en miniatura, económica y discreta que se alimenta a través de una conexión USB, es mucho fácil de adquirir y ocultar en una oficina que una laptop. Puede conectarse a otra computadora, donde quedará camuflada entre cables o, por ejemplo, en el puerto USB de una televisión de la recepción o de la sala de espera.
  • Un Bash Bunny. Diseñado para utilizarse como una herramienta de pruebas de penetración, el Bash Bunny se comercializa libremente en los foros de hackers. No necesita una conexión red especializada, funciona mediante el puerto USB de una computadora. Por un lado, esto facilita el escondite, pues parece una simple memoria USB, y, por otro, la tecnología de control del dispositivo puede reaccionar inmediatamente, lo que hace que esta opción tenga menos probabilidades de éxito.

¿Cómo se conectan?

Incluso en las empresas que se involucran en la gestión de la seguridad, no resulta imposible la implantación de este tipo de dispositivos. Los mensajeros, los solicitantes de empleo y los representantes de clientes y socios pueden entrar en las oficinas, por lo que los delincuentes pueden hacerse pasar por cualquiera de ellos.

Además, los conectores Ethernet se encuentran por todas partes en las oficinas (en pasillos, salas de reuniones, recibidores y demás). Si echas un vistazo en un centro de negocios, seguro que encuentras un sitio en donde esconder un pequeño dispositivo conectado a la red y a la fuente de alimentación.

¿Qué deberías hacer?

Este tipo de ataque cuenta, por lo menos, con un punto débil: el delincuente debe ir a la oficina y conectar un dispositivo físicamente. Por tanto, deberías restringir el acceso a la red desde los sitios accesibles a los intrusos.

  • Desconecta los medios Ethernet de las zonas públicas que no se estén utilizando. Si no es posible, al menos mantenlos aislados en un segmento red a parte.
  • Ubica los conectores Ethernet a la vista de las cámaras de seguridad (esto podría frenar a los ciberdelincuentes o ser de ayuda en caso de que necesites investigar un incidente).
  • Utiliza una solución de seguridad con tecnologías de control de dispositivos de confianza (como Kaspersky Endpoint Security for Business).
  • Considera la opción de utilizar una solución especializada para supervisar las anomalías y la actividad sospechosa de la red (por ejemplo, Kaspersky Anti Targeted Attack Platform).