Ataques a la cadena de suministros de empresas representan un cambio entre los hackers. Ese tipo de ataque no es algo nuevo, pero se ha vuelto cada vez más común y evoluciona lo suficiente para no ser detectado por los métodos de seguridad más básicos.
Esos ataques funcionan con la implantación de un payload, la parte de un malware que ejecuta ataques, dentro de softwares, firmwares y hardwares. Ese payload escondido por el hacker termina infiltrado como parte del producto final y, de esa forma, las compañías que desarrollan ese producto se vuelven distribuidores involuntarios de malwares. Esos invasores se ocultan en las computadoras y las redes de los consumidores hasta que algún disparador lo haga lanzar su proceso malicioso.
El objetivo de este artículo son los ataques a la cadena de suministros de softwares, pero también vamos a abordar otros dos tipos de ataques, para que sea posible entender la escala y el alcance de las vulnerabilidades de las cadenas de suministros.
Ataques a hardwares
Invasiones a la cadena de suministros de hardwares son, en su mayoría, amadoras y baratas. Un buen ejemplo son los drives USB con keyloggers instalados, programas capaces de grabar más de 8 mil páginas de toques del teclado. Otro caso común son los micrófonos instalados en los conectores de red Ethernet (plugs RJ45), que ayudan a robar contraseñas y otros datos sensibles.
Ataques a firmwares
Hackers también tienen la costumbre de manipular el firmware de diferentes equipos al aplicar códigos maliciosos que se infiltran en esos equipos. El objetivo más común es el firmware de inicialización. Con eso, el usuario ejecuta el malware involuntariamente solo con encender su equipo.
Ataques a softwares
Hackers prefieren atacar la cadena productiva de softwares porque de esa manera con manipular un solo link dentro de la cadena pueden inserir un malware en todos los productos de esa compañía y, por lo tanto, en miles de computadoras. Ese código malicioso puede ser aplicado en múltiples etapas del desarrollo de un software, desde su creación hasta la compilación, distribución y actualizaciones. La evolución y la mayor complejidad de los softwares empresariales también ayudó para que los hackers tuvieran más opciones de ataque.
Esos ataques pueden tener como objetivo el código fuente de un software, infiltrando códigos maliciosos en la creación de aplicaciones supuestamente confiables, por ejemplo. A veces, ese código es aplicado en un archivo ejecutable por medio de un compilador (programa que traduce código de un lenguaje para otro) o por un linker (programa que combina datos que el compilador genera en archivos ejecutables) que esté infectado. Otro objetivo frecuente son los mecanismos de actualización de los softwares.
Mientras los desarrolladores de softwares confiables tienen la costumbre de “firmar” sus archivos ejecutables y sus scripts con certificados digitales para confirmar que sus códigos no han sido manipulados, los ataques a ese tipo de software tienen la costumbre de incluir certificados robados y que se pasan por genuinos.
Por eso, generalmente las empresas chicas y otros desarrolladores de software que dependen de códigos abiertos son los agentes más vulnerables a ese tipo de ataque.
Los principales ataques (hasta ahora)
Un ataque para definir los próximos
Algunas invasiones de hackers a cadenas de suministros de softwares cuentan con una planificación previa extremadamente sofisticada. todo para identificar las mejores víctimas para futuros ataques.
Un ejemplo de esa complejidad fue uno de los principales ataques a la infraestructura de una compañía: el caso de Energetic Bear. En él, los hackers usaron una campaña de spear-phishing (e-mails infectados con malwares) para obtener informaciones de los proveedores de la compañía y establecer una lista de blancos para atacar.
El Fantasma de la Herramienta de Creación
Toda empresa está vulnerable. Hasta Apple, famosa por su resistencia contra virus, ha sido víctima de un ataque a su cadena productiva. Hackers usaron el Xcode, una herramienta para crear aplicaciones para iOS y OS X, para infiltrar códigos maliciosos dentro de múltiples aplicaciones. Y Apple ofreció esas apps en su App Store sin saber que estaban infectados. a mayor parte de los desarrolladores generalmente descargan el Xcode de una forma segura, directamente de Apple. Pero el programa también está disponible para download en diversos foros online de desarrolladores. Hackers entonces infiltran códigos maliciosos en las versiones disponibles en esas fuentes alternativas. Especialistas en seguridad del gigante del e-commerce Alibaba detectaron las variaciones manipuladas y las llamaron “XcodeGhost”. Esas versiones contenían solamente algunas líneas extra de código, difíciles de detectar, pero suficientes para penetrar y propagar un malware.
Entrado por el backdoor de un popular gerente de servidores
El incidente de ShadowPad es uno de los más conocidos y sofisticados ataques a cadenas de suministros ya visto. En 2017, investigadores de Kaspersky descubrieron un backdoor, llamado ShadowPad, implantado en un software de gestión de servidores usado por cientos de grandes empresas en todo el mundo. Cuando es activado, o mejor, abierto, ese backdoor permite que hackers instalen otros módulos infectados y roben datos del sistema.
En este caso, los hackers verificaron el código malicioso con un certificado legítimo. Todo aquello que llevaba hacia la función infectada fue ocultado y hecho invisible para los usuarios y los invasores no solo tenían acceso a los certificados, como también al código fuente y al sistema de creación del software.
Investigadores del Equipo de Análisis y Estudios Globales de Kaspersky, llamado GReAT, notificaron inmediatamente al proveedor NetSarang, que rápidamente sacó el software infectado de su plataforma de descargas y lo sustituyó por una versión anterior limpia. En este caso, NetSarang mostró que una respuesta rápida a ataques cibernéticos como este es lo que hace la diferencia. Junto a Kaspersky, la compañía encontró solo un payload infectado lo que es un excelente resultado, considerando la gran popularidad del producto.
El ataque más amplio: un ataque al limpiador
CCleaner es un programa muy popular para limpiar archivos, con más de 2 mil millones de descargas. Pero después de un ataque a su cadena productiva en septiembre de 2017, una versión infectada de su software fue descargada en más de 2 millones de computadoras.
El ataque se hizo a través de una pequeña laguna, pero los hackers cifraron todos los códigos, haciéndolos mucho más difíciles de detectar. Así como en el caso del ShadowPad, los invasores verificaron sus códigos maliciosos con certificados digitales legítimos.
Los hackers de este ataque tenían un nivel más alto como objetivo, por eso incluyeron en el malware una función para detectar si el usuario infectado tenía credenciales de administrador. De esa forma, el ataque solo seguía adelante si aquel usuario tuviera acceso a funciones de comando y control de la empresa.
Como el ataque era extremadamente selectivo, la versión completa del malware solo fue descargada en 40 computadoras. Pero las víctimas del ataque al CCleaner incluyen algunos de los principales nombres de la industria de la tecnología, como Samsung, Fujitsu, Intel Sony y Asus, y eso hace que sea uno de los ataques más destruidores y eficientes descubiertos hasta hoy.
Infiltrándose en funciones automáticas de actualización
Investigadores de Kaspersky descubrieron el malware Operation ShadowHammer en enero de 2019 en un archivo sospechoso con un certificado original de la marca Asus. El archivo era distribuido por el servidor oficial de Asus, pero contenía un backdoor.
Eso es porque muchas veces los ataques a la cadena productiva tienen como objetivo las actualizaciones automáticas del sistema. Para empezar, los hackers plantaron el código Operation ShadowHammer en la herramienta de actualizaciones en tiempo real de Asus. Pero la complejidad de ese ataque sólo siguió aumentando.
Luego, el Operation ShadowHammer fue disparado para más de 400 computadoras, infectando 230 de ellas.
Pero Asus no fue el único blanco. Desde la primer descubierta, el equipo de Kaspersky ha descubierto múltiples otros casos, incluyendo otras 3 empresas de softwares, todas con archivos digitalmente certificados, donde los hackers verificaron las entradas de acceso con diferente certificados para cada uno de sus ataques.
Detectar es mejor que curar
Detectar ataques a la cadena de suministros es un trabajo con muchos matices. Muchas veces, esos ataques no manipulan directamente el código original, pero si manipulan las actualizaciones descargadas, que son ejecutadas directamente por la memoria del sistema.
Los videojuegos están entre los objetivos más atractivos para ataques a la cadena de suministros, porque en ellos se hace más difícil saber si los malwares son o no parte de las funcionalidades originales del software. Herramientas contra cheat codes o de protección de IP son algunos ejemplos de manipulación de códigos comunes en esos juegos y que pueden confundir el sistema y disparar procesos de análisis de comportamiento.
Los códigos maliciosos de ataques a la cadena productiva son una parte minúscula dentro de un archivo ejecutable. Por eso, tratar de encontrarlos es como buscar una aguja en un pajar. Y eso se vuelve aún más difícil cuando esos malwares están verificados con el mismo certificados que los archivos originales.
¿Cómo las empresas pueden defenderse contra ataques a su cadena de suministros?
Los proveedores son blancos menos resistentes que los fabricantes, porque los productos finalizados son más extensos y complejos.
A partir de una única y pequeña laguna escondida en un proveedor, los criminales pueden hacer daño a blancos mucho más grandes.
Pero, ¿y qué pueden hacer las empresas sobre eso?
1. Usar las mejores soluciones en seguridad digital
Soluciones de seguridad básicas dan prioridad a la velocidad en lugar del rigor, abriendo espacio para que sus sistemas sean engañados por certificados supuestamente verdaderos o confundiendo archivos sospechosos por falsos positivos.
Soluciones completas y dedicadas solamente a la seguridad digital hacen un mejor trabajo. Una solución de nivel corporativo con buena reputación es esencial para poder detectar y capturar invasores avanzados, ya que ese tipo de solución analiza todas las anomalías y provee al equipo de seguridad digital de las compañías una visión completa de su red, con derecho a respuesta automática.
2. Contrata un equipo capacitado. Y un equipo rojo también
Las empresas deben contratar funcionarios de seguridad de T.I. altamente capacitados, incluyendo especialista de seguridad, analista de SOC (Security Operations Center) y un Red Team (Equipo Rojo).
El Red Team hace la función de “abogado del Diablo”. Ellos simulan situaciones de peligro y actúan para obligar a las empresas a repensar sus estrategias, analizando también el trabajo de la propia compañía y entregando un punto de vista crítico y distinto sobre sus procesos.
3. Usa modelos de amenazas a la hora de desarrollar un software
Durante el desarrollo de un software, lo ideal es que las empresas creen un modelo de amenaza en su sector de creación para simular posibles problemas y así identificar y eliminar potenciales riesgos futuros. Además, el modelo de acceso elegido debe aplicar el Principio del Menor Privilegio, en inglés Principle of Least Privilege o PoLP. Así se restringirá el riesgo a accesos indeseados.
4. Mantén una buena relación con tus proveedores
Es simple: crea una relación de confianza con tus socios que sea más fuerte de lo normal.
5. Invierte en dar respuestas
Cómo es posible notar en el caso de NetSarang y su respuesta rápida en el caso ShadowPad, es igual de importante que los negocios inviertan en la gestión de riesgos, así como en seguridad. Si tu empresa no tiene la capacidad interna para manejar eso, lo ideal es involucrar a un equipo externo de respuestas a incidentes para investigar posibles ataques o cualquier tipo de actividades sospechosas.