Reportes e investigaciones, Seguridad TI

Cómo se lucha contra el ciberespionaje

Cada vez más, las compañías globales de software son objeto de ataques disruptivos, ciberespionaje e incluso sabotaje a nivel estado-nación, como lo demuestran los numerosos informes de violaciones de datos y ataques en los últimos años.

El 23 de septiembre, Avasta identificó comportamientos sospechosos en su red e iniciaron una investigación inmediata y extensa. Esto incluyó colaborar con la agencia de inteligencia checa, el Servicio de Información de Seguridad (BIS), la división de seguridad cibernética de la policía local checa y un equipo forense externo para proporcionar herramientas adicionales para ayudar a nuestros esfuerzos y verificar la evidencia que estaban recopilando.

La evidencia que reunió apuntaba a actividad en Microsoft Advanced Threat Analytics (MS ATA) desde una VPN (Red Privada Virtual) el 1 de octubre, cuando volvieron a revisar una alerta de MS ATA de una réplica maliciosa de servicios de directorio desde una dirección IP interna que pertenecía a su rango de direcciones VPN, que originalmente se había descartado como un falso positivo.

El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la dirección IP, no tenía privilegios de administrador de dominio.

Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido y determinaron que el atacante también usó otros nodos a través del mismo proveedor de VPN.

Después de un análisis más detallado, descubrieron que se accedió con éxito a la red interna con credenciales comprometidas a través de un perfil VPN temporal que se mantuvo habilitado por error y no requería autenticación de dos factores (2FA), que requiere autorizar el inicio de sesión aún después de ingresar la contraseña.

El 4 de octubre, observaron esta actividad nuevamente. Las marcas de tiempo para la actividad sospechosa marcada por MS ATA son (todas las veces GMT+2):

  • 02:00 PM – 14 de mayo, 2019
  • 04:36 AM – 15 de mayo, 2019
  • 11:06 PM – 15 de mayo, 2019
  • 03:35 PM – 24 de julio, 2019
  • 03:45 PM – 24 de julio, 2019
  • 03:20 PM – 11 de septiembre, 2019
  • 11:57 AM – 4 de octubre, 2019

Los registros mostraron además que el perfil temporal había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que nos lleva a creer que estaban sujetos a robo de credenciales.

Para rastrear al infractor, dejamos abierto el perfil de VPN temporal, continuamos monitoreando e investigando todo el acceso que pasaba por el perfil hasta que estuviéran listos para llevar a cabo acciones correctivas.

Paralelamente a su monitoreo e investigación, llevaron a cabo medidas proactivas para proteger a los usuarios finales y garantizar la integridad tanto de su entorno de creación de productos como de su proceso de lanzamiento.

Aunque se creía que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso en una violación de CCleaner en 2017, lanzaron una red más amplia en acciones de remediación.

El 25 de septiembre, detuvieron las próximas versiones de CCleaner y comenzamos a verificar las versiones anteriores de CCleaner y verificaron que no se hubieran realizado modificaciones maliciosas.

Como dos medidas preventivas adicionales, primero volvieron a firmar una actualización limpia del producto, y la enviamos a los usuarios a través de una actualización automática el 15 de octubre y, en segundo lugar, revocaron el certificado anterior.

Después de tomar todas estas precauciones, los usuarios de CCleaner están protegidos y no se ven afectados.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>