{"id":20303,"date":"2020-10-19T12:26:58","date_gmt":"2020-10-19T18:26:58","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?post_type=emagazine&#038;p=20303"},"modified":"2020-10-19T12:26:58","modified_gmt":"2020-10-19T18:26:58","slug":"supply-chain-attack-evolution","status":"publish","type":"emagazine","link":"https:\/\/latam.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/20303\/","title":{"rendered":"Prevenir es mejor que remediar: descubriendo y previniendo ataques cibern\u00e9ticos a la cadena productiva"},"content":{"rendered":"<p>Ataques a la cadena de suministros de empresas representan un cambio entre los hackers. Ese tipo de ataque no es algo nuevo, pero se ha vuelto cada vez m\u00e1s com\u00fan y evoluciona lo suficiente para no ser detectado por los m\u00e9todos de seguridad m\u00e1s b\u00e1sicos.<\/p>\n<p>Esos ataques funcionan con la implantaci\u00f3n de un payload, la parte de un malware que ejecuta ataques, dentro de softwares, firmwares y hardwares. Ese payload escondido por el hacker termina infiltrado como parte del producto final y, de esa forma, las compa\u00f1\u00edas que desarrollan ese producto se vuelven distribuidores involuntarios de malwares. Esos invasores se ocultan en las computadoras y las redes de los consumidores hasta que alg\u00fan disparador lo haga lanzar su proceso malicioso.<\/p>\n<p>El objetivo de este art\u00edculo son los ataques a la cadena de suministros de softwares, pero tambi\u00e9n vamos a abordar otros dos tipos de ataques, para que sea posible entender la escala y el alcance de las vulnerabilidades de las cadenas de suministros.<\/p>\n<h2>Ataques a hardwares<\/h2>\n<p>Invasiones a la cadena de suministros de hardwares son, en su mayor\u00eda, amadoras y baratas. Un buen ejemplo son los drives USB con keyloggers instalados, programas capaces de grabar m\u00e1s de 8 mil p\u00e1ginas de toques del teclado. Otro caso com\u00fan son los micr\u00f3fonos instalados en los conectores de red Ethernet (plugs RJ45), que ayudan a robar contrase\u00f1as y otros datos sensibles.<strong>\u00a0<\/strong><\/p>\n<h2>Ataques a firmwares<\/h2>\n<p>Hackers tambi\u00e9n tienen la costumbre de manipular el firmware de diferentes equipos al aplicar c\u00f3digos maliciosos que se infiltran en esos equipos. El objetivo m\u00e1s com\u00fan es el firmware de inicializaci\u00f3n. Con eso, el usuario ejecuta el malware involuntariamente solo con encender su equipo.<\/p>\n<h2>Ataques a softwares<\/h2>\n<p>Hackers prefieren atacar la cadena productiva de softwares porque de esa manera con manipular un solo link dentro de la cadena pueden inserir un malware en todos los productos de esa compa\u00f1\u00eda y, por lo tanto, en miles de computadoras. Ese c\u00f3digo malicioso puede ser aplicado en m\u00faltiples etapas del desarrollo de un software, desde su creaci\u00f3n hasta la compilaci\u00f3n, distribuci\u00f3n y actualizaciones. La evoluci\u00f3n y la mayor complejidad de los softwares empresariales tambi\u00e9n ayud\u00f3 para que los hackers tuvieran m\u00e1s opciones de ataque.<\/p>\n<p>Esos ataques pueden tener como objetivo el c\u00f3digo fuente de un software, infiltrando c\u00f3digos maliciosos en la creaci\u00f3n de aplicaciones supuestamente confiables, por ejemplo. A veces, ese c\u00f3digo es aplicado en un archivo ejecutable por medio de un compilador (programa que traduce c\u00f3digo de un lenguaje para otro) o por un <em>linker<\/em> (programa que combina datos que el compilador genera en archivos ejecutables) que est\u00e9 infectado. Otro objetivo frecuente son los mecanismos de actualizaci\u00f3n de los softwares.<\/p>\n<p>Mientras los desarrolladores de softwares confiables tienen la costumbre de \u201cfirmar\u201d sus archivos ejecutables y sus scripts con certificados digitales para confirmar que sus c\u00f3digos no han sido manipulados, los ataques a ese tipo de software tienen la costumbre de incluir certificados robados y que se pasan por genuinos.<\/p>\n<p>Por eso, generalmente las empresas chicas y otros desarrolladores de software que dependen de c\u00f3digos abiertos son los agentes m\u00e1s vulnerables a ese tipo de ataque.<\/p>\n<h2>Los principales ataques (hasta ahora)<\/h2>\n<h3>Un ataque para definir los pr\u00f3ximos<\/h3>\n<p>Algunas invasiones de hackers a cadenas de suministros de softwares cuentan con una planificaci\u00f3n previa extremadamente sofisticada. todo para identificar las mejores v\u00edctimas para futuros ataques.<\/p>\n<p>Un ejemplo de esa complejidad fue <a href=\"https:\/\/www.darkreading.com\/pharmaceuticals-not-energy-may-have-been-true-target-of-dragonfly-energetic-bear\/d\/d-id\/1316869\" target=\"_blank\" rel=\"noopener nofollow\">uno de los principales ataques a la infraestructura <\/a>de una compa\u00f1\u00eda: el caso de Energetic Bear. En \u00e9l, los hackers usaron una campa\u00f1a de <a href=\"https:\/\/www.kaspersky.com\/resource-center\/definitions\/spear-phishing\" target=\"_blank\" rel=\"noopener nofollow\">spear-phishing<\/a> (e-mails infectados con malwares) para obtener informaciones de los proveedores de la compa\u00f1\u00eda y establecer una lista de blancos para atacar.<\/p>\n<h3>El Fantasma de la Herramienta de Creaci\u00f3n<\/h3>\n<p>Toda empresa est\u00e1 vulnerable. Hasta <a href=\"https:\/\/www.wired.com\/2015\/09\/hack-brief-malware-sneaks-chinese-ios-app-store\/\" target=\"_blank\" rel=\"noopener nofollow\">Apple, famosa por su resistencia contra virus, ha sido v\u00edctima de un ataque a su cadena productiva<\/a>. Hackers usaron el Xcode, una herramienta para crear aplicaciones para iOS y OS X, para infiltrar c\u00f3digos maliciosos dentro de m\u00faltiples aplicaciones. Y Apple ofreci\u00f3 esas apps en su App Store sin saber que estaban infectados. a mayor parte de los desarrolladores generalmente descargan el Xcode de una forma segura, directamente de Apple. Pero el programa tambi\u00e9n est\u00e1 disponible para download en diversos foros online de desarrolladores. Hackers entonces infiltran c\u00f3digos maliciosos en las versiones disponibles en esas fuentes alternativas. Especialistas en seguridad del gigante del e-commerce Alibaba detectaron las variaciones manipuladas y las llamaron \u201cXcodeGhost\u201d. Esas versiones conten\u00edan solamente algunas l\u00edneas extra de c\u00f3digo, dif\u00edciles de detectar, pero suficientes para penetrar y propagar un malware.<\/p>\n<h3>Entrado por el backdoor de un popular gerente de servidores<\/h3>\n<p>El incidente de ShadowPad es uno de los m\u00e1s conocidos y sofisticados ataques a cadenas de suministros ya visto. En 2017, <a href=\"https:\/\/securelist.com\/shadowpad-in-corporate-networks\/81432\/\" target=\"_blank\" rel=\"noopener\">investigadores de Kaspersky descubrieron un backdoor, llamado ShadowPad<\/a>, implantado en un software de gesti\u00f3n de servidores usado por cientos de grandes empresas en todo el mundo. Cuando es activado, o mejor, abierto, ese backdoor permite que hackers instalen otros m\u00f3dulos infectados y roben datos del sistema.<\/p>\n<p>En este caso, los hackers verificaron el c\u00f3digo malicioso con un certificado leg\u00edtimo. Todo aquello que llevaba hacia la funci\u00f3n infectada fue ocultado y hecho invisible para los usuarios y los invasores no solo ten\u00edan acceso a los certificados, como tambi\u00e9n al c\u00f3digo fuente y al sistema de creaci\u00f3n del software.<\/p>\n<p>Investigadores del Equipo de An\u00e1lisis y Estudios Globales de Kaspersky, llamado GReAT, notificaron inmediatamente al proveedor <a href=\"https:\/\/www.netsarang.com\/en\/\" target=\"_blank\" rel=\"noopener nofollow\">NetSarang<\/a>, que r\u00e1pidamente sac\u00f3 el software infectado de su plataforma de descargas y lo sustituy\u00f3 por una versi\u00f3n anterior limpia. En este caso, NetSarang mostr\u00f3 que una respuesta r\u00e1pida a ataques cibern\u00e9ticos como este es lo que hace la diferencia. Junto a Kaspersky, la compa\u00f1\u00eda encontr\u00f3 solo un payload infectado lo que es un excelente resultado, considerando la gran popularidad del producto.<\/p>\n<h2>El ataque m\u00e1s amplio: un ataque al limpiador<\/h2>\n<p>CCleaner es un programa muy popular para limpiar archivos, con m\u00e1s de 2 mil millones de descargas. Pero despu\u00e9s de un ataque a su cadena productiva en septiembre de 2017, una versi\u00f3n infectada de su software fue descargada en m\u00e1s de 2 millones de computadoras.<\/p>\n<p>El ataque se hizo a trav\u00e9s de una peque\u00f1a laguna, pero los hackers cifraron todos los c\u00f3digos, haci\u00e9ndolos mucho m\u00e1s dif\u00edciles de detectar. As\u00ed como en el caso del ShadowPad, los invasores verificaron sus c\u00f3digos maliciosos con certificados digitales leg\u00edtimos.<\/p>\n<p>Los hackers de este ataque ten\u00edan un nivel m\u00e1s alto como objetivo, por eso incluyeron en el malware una funci\u00f3n para detectar si el usuario infectado ten\u00eda credenciales de administrador. De esa forma, el ataque solo segu\u00eda adelante si aquel usuario tuviera acceso a funciones de comando y control de la empresa.<\/p>\n<p>Como el ataque era extremadamente selectivo, la versi\u00f3n completa del malware solo fue descargada en 40 computadoras. Pero las v\u00edctimas del ataque al CCleaner incluyen algunos de los principales nombres de la industria de la tecnolog\u00eda, como Samsung, Fujitsu, Intel Sony y Asus, y eso hace que sea uno de los ataques m\u00e1s destruidores y eficientes descubiertos hasta hoy.<\/p>\n<h2>Infiltr\u00e1ndose en funciones autom\u00e1ticas de actualizaci\u00f3n<\/h2>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-20316\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/10\/19121242\/058_evolution_of_supply_chain_attacks_ghost1-1024x724-1.jpg\" alt=\"\" width=\"1024\" height=\"724\">Investigadores de Kaspersky descubrieron el malware <a href=\"https:\/\/securelist.com\/operation-shadowhammer\/89992\/\" target=\"_blank\" rel=\"noopener\">Operation ShadowHammer<\/a> en enero de 2019 en un archivo sospechoso con un certificado original de la marca Asus. El archivo era distribuido por el servidor oficial de Asus, pero conten\u00eda un backdoor.<\/p>\n<p>Eso es porque muchas veces los ataques a la cadena productiva tienen como objetivo las actualizaciones autom\u00e1ticas del sistema. Para empezar, los hackers plantaron el c\u00f3digo Operation ShadowHammer en la herramienta de actualizaciones en tiempo real de Asus. Pero la complejidad de ese ataque s\u00f3lo sigui\u00f3 aumentando.<\/p>\n<p>Luego, el Operation ShadowHammer fue disparado para m\u00e1s de 400 computadoras, infectando 230 de ellas.<\/p>\n<p>Pero Asus no fue el \u00fanico blanco. Desde la primer descubierta, el equipo de Kaspersky ha descubierto m\u00faltiples otros casos, incluyendo otras 3 empresas de softwares, todas con archivos digitalmente certificados, donde los hackers verificaron las entradas de acceso con diferente certificados para cada uno de sus ataques.<\/p>\n<h2>Detectar es mejor que curar<\/h2>\n<p>Detectar ataques a la cadena de suministros es un trabajo con muchos matices. Muchas veces, esos ataques no manipulan directamente el c\u00f3digo original, pero si manipulan las actualizaciones descargadas, que son ejecutadas directamente por la memoria del sistema.<\/p>\n<p>Los videojuegos est\u00e1n entre los objetivos m\u00e1s atractivos para ataques a la cadena de suministros, porque en ellos se hace m\u00e1s dif\u00edcil saber si los malwares son o no parte de las funcionalidades originales del software. Herramientas contra cheat codes o de protecci\u00f3n de IP son algunos ejemplos de manipulaci\u00f3n de c\u00f3digos comunes en esos juegos y que pueden confundir el sistema y disparar procesos de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/behavioral-analysis\/\" target=\"_blank\" rel=\"noopener\">an\u00e1lisis de comportamiento.<\/a><\/p>\n<p>Los c\u00f3digos maliciosos de ataques a la cadena productiva son una parte min\u00fascula dentro de un archivo ejecutable. Por eso, tratar de encontrarlos es como buscar una aguja en un pajar. Y eso se vuelve a\u00fan m\u00e1s dif\u00edcil cuando esos malwares est\u00e1n verificados con el mismo certificados que los archivos originales.<\/p>\n<h2>\u00bfC\u00f3mo las empresas pueden defenderse contra ataques a su cadena de suministros?<\/h2>\n<p>Los proveedores son blancos menos resistentes que los fabricantes, porque los productos finalizados son m\u00e1s extensos y complejos.<\/p>\n<blockquote><p>A partir de una \u00fanica y peque\u00f1a laguna escondida en un proveedor, los criminales pueden hacer da\u00f1o a blancos mucho m\u00e1s grandes.<\/p><\/blockquote>\n<p>Pero, \u00bfy qu\u00e9 pueden hacer las empresas sobre eso?<\/p>\n<h3>1.\u00a0 Usar las mejores soluciones en seguridad digital<\/h3>\n<p>Soluciones de seguridad b\u00e1sicas dan prioridad a la velocidad en lugar del rigor, abriendo\u00a0 espacio para que sus sistemas sean enga\u00f1ados por certificados supuestamente verdaderos o confundiendo archivos sospechosos por falsos positivos.<\/p>\n<p>Soluciones completas y dedicadas solamente a la seguridad digital hacen un mejor trabajo. Una soluci\u00f3n de nivel corporativo con buena reputaci\u00f3n es esencial para poder detectar y capturar invasores avanzados, ya que ese tipo de soluci\u00f3n analiza todas las anomal\u00edas y provee al equipo de seguridad digital de las compa\u00f1\u00edas una visi\u00f3n completa de su red, con derecho a respuesta autom\u00e1tica.<\/p>\n<h3>2.\u00a0 Contrata un equipo capacitado. Y un equipo rojo tambi\u00e9n<\/h3>\n<p>Las empresas deben contratar funcionarios de seguridad de T.I. altamente capacitados, incluyendo especialista de seguridad, analista de <a href=\"https:\/\/www.kaspersky.com\/blog\/secure-futures-magazine\/security-operations-center-sme\/28070\/\" target=\"_blank\" rel=\"noopener nofollow\">SOC (Security Operations Center)<\/a> y un Red Team (Equipo Rojo).<\/p>\n<p>El Red Team hace la funci\u00f3n de \u201cabogado del Diablo\u201d. Ellos simulan situaciones de peligro y act\u00faan para obligar a las empresas a repensar sus estrategias, analizando tambi\u00e9n el trabajo de la propia compa\u00f1\u00eda y entregando un punto de vista cr\u00edtico y distinto sobre sus procesos.<\/p>\n<h3>3.\u00a0 Usa modelos de amenazas a la hora de desarrollar un software<\/h3>\n<p>Durante el desarrollo de un software, lo ideal es que las empresas creen un modelo de amenaza en su sector de creaci\u00f3n para simular posibles problemas y as\u00ed identificar y eliminar potenciales riesgos futuros. Adem\u00e1s, el modelo de acceso elegido debe aplicar el <a href=\"https:\/\/kb.iu.edu\/d\/amsv\" target=\"_blank\" rel=\"noopener nofollow\">Principio del Menor Privilegio, en ingl\u00e9s <\/a><a href=\"https:\/\/kb.iu.edu\/d\/amsv\" target=\"_blank\" rel=\"noopener nofollow\"><em>Principle of Least Privilege<\/em><\/a><a href=\"https:\/\/kb.iu.edu\/d\/amsv\" target=\"_blank\" rel=\"noopener nofollow\"> o PoLP<\/a>. As\u00ed se restringir\u00e1 el riesgo a accesos indeseados.<\/p>\n<h3>4.\u00a0 Mant\u00e9n una buena relaci\u00f3n con tus proveedores<\/h3>\n<p>Es simple: crea una relaci\u00f3n de confianza con tus socios que sea m\u00e1s fuerte de lo normal.<\/p>\n<h3>5.\u00a0 Invierte en dar respuestas<\/h3>\n<p>C\u00f3mo es posible notar en el caso de NetSarang y su respuesta r\u00e1pida en el caso ShadowPad, es igual de importante que los negocios inviertan en la gesti\u00f3n de riesgos, as\u00ed como en seguridad. Si tu empresa no tiene la capacidad interna para manejar eso, lo ideal es involucrar a <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/incident-response\" target=\"_blank\" rel=\"noopener nofollow\">un equipo externo de respuestas<\/a> a incidentes para investigar posibles ataques o cualquier tipo de actividades sospechosas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ataques a las cadenas productivas se han vuelto populares entre hackers, sofisticados y dif\u00edciles de detectar. Pero a\u00fan con m\u00faltiples compa\u00f1\u00edas como v\u00edctimas de ese tipo de golpe, las empresas pueden actuar previamente para protegerse. <\/p>\n","protected":false},"author":2541,"featured_media":20315,"template":"","coauthors":[4476,4078],"class_list":{"0":"post-20303","1":"emagazine","2":"type-emagazine","3":"status-publish","4":"has-post-thumbnail","6":"emagazine-category-ciberseguridad-empresarial","7":"emagazine-category-filtracion-de-datos","8":"emagazine-category-negocio-seguro","9":"emagazine-tag-ataques-a-la-cadena-productiva","10":"emagazine-tag-encuesta","11":"emagazine-tag-malware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/20303\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/21791\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/32165\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/16114\/"}],"acf":[],"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/emagazine\/20303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/emagazine"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/emagazine"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2541"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/20315"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=20303"}],"wp:term":[{"taxonomy":"author","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/coauthors?post=20303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}