Búsqueda de Ciberamenazas

Lo que sabemos del ataque contra Uber y cómo protegerse

Según todos los indicios, y por desgracia hay muchos, un hacker (en el sentido entrar en una red de forma ilegal, no en el de resolver problemas de codificación muy complicados) ha entrado en la empresa de transporte compartido Uber.

Según un informe de la BBC, el pirata informático tiene sólo 18 años y parece haber realizado el ataque por la misma  razón que llevó al alpinista británico George Mallory a seguir intentando (y finalmente a morir en el intento) coronar el Monte Everest en la década de 1920: porque está ahí.

Uber, comprensiblemente, no ha dicho mucho más hasta ahora [2022-09-16T15:45Z] que anunciar en Twitter:

¿Qué sabemos hasta ahora?

Si la escala de la intrusión es tan amplia como ha sugerido el presunto hacker, basándonos en las capturas de pantalla que hemos visto en Twitter, no nos sorprende que Uber no haya ofrecido todavía ninguna información específica, especialmente teniendo en cuenta que las fuerzas del orden están involucradas en la investigación.

Cuando se trata de análisis forenses de ciberincidentes, lo importante está en los detalles.

Sin embargo, los datos disponibles públicamente, publicados por el propio atacante y distribuidos ampliamente, parecen sugerir que este ataque tuvo dos causas subyacentes, que describiremos con una analogía medieval.

El intruso:

  • Engañó a un infiltrado para que le dejara entrar en el patio. Esa es el área dentro de la muralla del castillo, pero separada de la parte mejor defendida.
  • Encontró detalles desatendidos que explicaban cómo acceder a la torre del homenaje. Como su nombre indica, la torre del homenaje es la fortaleza defensiva central de un castillo medieval tradicional europeo.

El ataque inicial

El término de la jerga para abrirse camino en el equivalente del patio del castillo del siglo XXI es ingeniería social.

Como todos sabemos, hay muchas maneras en que los atacantes con tiempo, paciencia y el don de la palabra pueden persuadir incluso a un usuario bien informado y con buenas intenciones para ayudarlos a eludir los procesos de seguridad que se supone que deben mantenerlos fuera.

Los trucos de ingeniería social automatizados o semiautomatizados incluyen correo electrónico y estafas de phishing basadas en mensajería instantánea.

Estas estafas atraen a los usuarios para que introduzcan sus datos de inicio de sesión, que a menudo incluyen sus códigos 2FA, en sitios web falsificados que parecen reales pero que en realidad entregan los códigos de acceso necesarios a los atacantes.

Para un usuario que ya inició sesión y, por lo tanto, se autentica temporalmente para su sesión actual, los atacantes pueden intentar obtener las llamadas cookies o tokens de acceso en el ordenador del usuario.

Al implantar malware que secuestra sesiones existentes, por ejemplo, los atacantes pueden hacerse pasar por un usuario legítimo durante el tiempo suficiente para tomar el control por completo, sin necesidad de ninguna de las credenciales habituales que el propio usuario necesita para iniciar sesión desde cero:

Robo de cookies: la nueva violación del perímetro

Y si todo lo demás falla (o quizás incluso en lugar de intentar los métodos mecánicos descritos anteriormente) los atacantes pueden simplemente llamar a un usuario y engatusarlo, o rogarle, o sobornarlo, o engatusarlo, o amenazarlo, dependiendo de cómo se desarrolle la conversación.

Los ingenieros sociales hábiles a menudo son capaces de convencer a los usuarios bien intencionados no sólo de que abran la puerta en primer lugar, sino también de que la mantengan abierta para facilitar aún más la entrada de los atacantes, y tal vez incluso de que lleven las maletas de los atacantes y les muestren dónde ir después.

Así es como se llevó a cabo el ataque a Twitter de 2020, en el que 45 cuentas de Twitter de bandera azul, incluidas las de Bill Gates, Elon Musk y Apple, fueron tomadas y utilizadas para promover una estafa de criptodivisas.

Ese ataque no fue tanto técnico como cultural, llevado a cabo a través de personal de apoyo que se esforzó tanto por hacer lo correcto que terminó haciendo exactamente lo contrario:

Bitcoin scammer who hacked celeb Twitter accounts gets 3 years

Compromiso total

El término de la jerga para el equivalente a entrar en el torreón del castillo desde el patio es elevación de privilegios.

Normalmente, los atacantes buscan y utilizan deliberadamente las vulnerabilidades de seguridad conocidas internamente, aunque no puedan encontrar la forma de explotarlas desde el exterior porque los defensores se han tomado la molestia de protegerse contra ellas en el perímetro de la red.

Por ejemplo, en un estudio que publicamos recientemente sobre las intrusiones que el equipo de Sophos Rapid Response investigó en 2021, descubrimos que sólo en el 15% de las intrusiones iniciales (en las que los atacantes superan el muro externo y entran en el patio) los delincuentes pudieron entrar utilizando RDP.

RDP es la abreviatura de protocolo de escritorio remoto, y es un componente de Windows ampliamente utilizado que está diseñado para permitir que el usuario X trabaje de forma remota en el ordenador Y, donde Y es a menudo un servidor que no tiene una pantalla y un teclado propios, y de hecho puede estar tres pisos bajo tierra en una sala de servidores, o al otro lado del mundo en un centro de datos en la nube.

Pero en el 80% de los ataques, los delincuentes utilizaron el RDP una vez que estaban dentro para pasearse casi a voluntad por toda la red:

S3 Ep86: The crooks were in our network for HOW long?! [Podcast + Transcript]

Igualmente preocupante es que, cuando el ransomware no estaba involucrado (¡porque un ataque de ransomware hace que sea instantáneamente obvio que se ha producido una infracción!), la media que los delincuentes estuvieron vagando por la red sin ser detectados fue de 34 días, más de un mes natural:

The Active Adversary Playbook 2022

El incidente de Uber

Todavía no estamos seguros de cómo se llevó a cabo la ingeniería social inicial pero el investigador de amenazas Bill Demirkapi ha tuiteado una captura de pantalla que parece revelar (con detalles precisos) cómo se logró la elevación de privilegios.

Al parecer, aunque el hacker empezó como un usuario normal, y por tanto sólo tenía acceso a algunas partes de la red, tras explorar en los recursos compartidos no protegidos de la red descubrió un directorio de red abierto que incluía un montón de scripts de PowerShell que incluían credenciales de seguridad codificadas para el acceso administrativo a un producto conocido en la jerga como PAM, abreviatura de Privileged Access Manager.

Como su nombre indica, un PAM es un sistema utilizado para gestionar las credenciales y controlar el acceso a todos (o al menos a muchos) los demás productos y servicios utilizados por una organización.

Dicho con ironía, el atacante, que probablemente empezó con una cuenta de usuario humilde y quizás muy limitada, se topó con una contraseña que desbloqueaba muchas de las contraseñas de las operaciones globales de TI de Uber.

No estamos seguros de la amplitud de la acción del hacker una vez que abrió la base de datos PAM, pero las publicaciones en Twitter de numerosas fuentes sugieren que el atacante fue capaz de penetrar en gran parte de la infraestructura de TI de Uber.

El atacante supuestamente volcó datos para mostrar que había accedido al menos a los siguientes sistemas empresariales: Espacios de trabajo de Slack; el software de protección contra amenazas de Uber (lo que a menudo se sigue llamando un antivirus); una consola de AWS; información de viajes y gastos de la empresa (incluidos los nombres de los empleados); una consola de servidores virtuales de vSphere; una lista de espacios de trabajo de Google; e incluso el propio servicio de recompensa de errores de Uber.

Aparentemente, e irónicamente, el servicio de recompensas por errores fue donde el hacker se jactó en voz alta y en letras mayúsculas de que UBER HA SIDO HACKEADO.

¿Qué hacer?

Es fácil señalar con el dedo a Uber en este caso y dar a entender que esta brecha debería considerarse mucho peor que la mayoría, simplemente por la naturaleza ruidosa y muy pública de todo ello.

Pero la desafortunada verdad es que muchos, si no la mayoría, de los ciberataques actuales resultan haber implicado que los atacantes obtuvieran exactamente ese grado de acceso o al menos potencialmente tener ese nivel de acceso, incluso si al final no hurgaron en todos los lugares que podían acceder.

Después de todo, muchos ataques de ransomware hoy en día no representan el principio, sino el final de una intrusión que probablemente duró días o semanas, y puede haber durado meses, tiempo durante el cual los atacantes probablemente lograron promoverse a sí mismos para tener el mismo estatus que el administrador de sistemas de mayor rango en la empresa que habían violado.

Por eso los ataques de ransomware suelen ser tan devastadores: porque, cuando se produce el ataque, son pocos los portátiles, servidores o servicios a los que los delincuentes no han conseguido acceder, por lo que son capaces, casi literalmente, de revolverlo todo.

En otras palabras, lo que parece haber sucedido a Uber en este caso no es una historia nueva o única de violación de datos.

Así que aquí hay algunos consejos que invitan a la reflexión y que puedes utilizar como punto de partida para mejorar la seguridad general de tu propia red:

  • Los gestores de contraseñas y el 2FA no son la panacea. El uso de contraseñas bien elegidas impide que los delincuentes las adivinen, y la seguridad 2FA basada en códigos de un solo uso o tokens de acceso por hardware (normalmente pequeños dongles USB o NFC que el usuario tiene que llevar consigo) dificultan las cosas, a menudo mucho más, a los atacantes. Pero contra los llamados ataques dirigidos por humanos de hoy en día, en los que los “adversarios activos” se implican personal y directamente en la intrusión, hay que ayudar a los usuarios a cambiar su comportamiento general en línea, para que sea menos probable que se les convenza de que deben eludir los procedimientos, independientemente de lo completos y complejos que sean.
  • La seguridad debe estar presente en toda la red, no sólo en el extremo. Hoy en día, muchos usuarios necesitan acceder al menos a una parte de la red: empleados, contratistas, personal temporal, empleados de seguridad, proveedores, socios, personal de limpieza, clientes, etc. Si vale la pena reforzar una configuración de seguridad en lo que parece ser el perímetro de la red, es casi seguro que también hay que reforzarla “por dentro”. Esto se aplica especialmente a la aplicación de parches. Como nos gusta decir: “Parchea pronto, parchea a menudo, parchea en todas partes”.
  • Mide y prueba tu ciberseguridad de forma habitual. Nunca des por sentado que las precauciones que creías haber tomado realmente funcionan. No des por sentado; verifica siempre. Además, recuerda que, dado que constantemente aparecen nuevas herramientas, técnicas y procedimientos de ciberataque, las precauciones deben revisarse regularmente. En palabras sencillas, “la ciberseguridad es un viaje, no un destino”.
  • Considera la posibilidad de obtener ayuda de expertos. Contratar un servicio de Detección y Respuesta Gestionada (MDR) no es una admisión de fracaso, ni una señal de que no entiendes la ciberseguridad por ti mismo. El MDR no es una exención de tu responsabilidad, es simplemente una forma de tener expertos dedicados a mano cuando realmente los necesitas. La MDR también significa que en el caso de un ataque, tu propio personal no tiene que dejar todo lo que está haciendo (incluidas las tareas regulares que son vitales para la continuidad de su negocio), y por lo tanto potencialmente dejar otros agujeros de seguridad abiertos.
  • Adopta un enfoque de confianza cero. La confianza cero no significa literalmente que no confíes nunca en nadie para hacer nada. Es una metáfora de “no hagas suposiciones” y “nunca autorices a nadie a hacer más de lo estrictamente necesario”. Los productos de acceso a la red de confianza cero (ZTNA) no funcionan como las herramientas de seguridad de red tradicionales, como las VPN. Una VPN generalmente proporciona una forma segura para que alguien externo obtenga la admisión general a la red, después de lo cual suele disfrutar de mucha más libertad de la que realmente necesita, permitiéndole vagar, fisgonear y husmear en busca de las llaves del resto del castillo. El acceso de confianza cero adopta un enfoque mucho más granular, de modo que si todo lo que necesitas hacer es navegar por la última lista de precios interna, ese es el acceso que obtendrás. No tendrás derecho a pasearte por los foros de soporte, ni a rebuscar en los registros de ventas, ni a meter las narices en la base de datos del código fuente.
  • Establece una línea telefónica de ciberseguridad para el personal, si no la tienes ya. Facilita que cualquiera pueda informar de los problemas de ciberseguridad. Ya sea una llamada telefónica sospechosa, un archivo adjunto improbable en un correo electrónico, o incluso un archivo que probablemente no debería estar en la red, ten un único punto de contacto (por ejemplo, securityreport@yourbiz.example) que haga que tus colegas puedan llamar de forma rápida y sencilla.
  • Nunca renuncies a las personas. La tecnología por sí sola no puede resolver todos los problemas de ciberseguridad. Si tratas a tu personal con respeto, y si adoptas la actitud de ciberseguridad de que “no existe una pregunta tonta, sino una respuesta estúpida”, puedes convertir a todos los miembros de la organización en ojos y oídos para tu equipo de seguridad.

Dejar un comentario

Your email address will not be published. Required fields are marked *