beebright - Fotolia
Cómo una campaña de ingeniería social engañó a investigadores de seguridad informática
Las tácticas de suplantación de identidad en los ataques de ingeniería social se han vuelto tan elaboradas que incluso algunos miembros muy conscientes de la comunidad de seguridad informática pueden ser víctimas de ellas.
La ingeniería social explota el aspecto de la seguridad que no puede protegerse con métodos estándar: la naturaleza humana. Y algunos ataques están tan bien diseñados que incluso engañan a los investigadores de seguridad.
En una publicación de blog la semana pasada, el Grupo de Análisis de Amenazas de Google detalló una campaña de ingeniería social patrocinada por un estado nación que se dirigió a la comunidad de seguridad de información. La campaña, que Google atribuyó a una entidad respaldada por el gobierno con sede en Corea del Norte, tardó varios meses en establecer conexiones personales con sus víctimas, haciéndose pasar por profesionales de la seguridad de la información que trabajan para una empresa ficticia conocida en Twitter como @BrownSec3Labs.
Según el blog, los actores de amenazas atacaron a los investigadores de seguridad con "un método novedoso de ingeniería social". Esto se logró mediante la publicación de un blog de investigación falso, la construcción de una presencia en Twitter y la creación de perfiles de apariencia legítima en las redes sociales y plataformas de comunicaciones para conectarse con investigadores de seguridad, trabajando en investigación y desarrollo de vulnerabilidades en diferentes empresas y organizaciones.
"Después de establecer las comunicaciones iniciales, los actores preguntarían al investigador objetivo si querían colaborar juntos en la investigación de vulnerabilidades, y luego proporcionarían al investigador un Proyecto de Visual Studio. Dentro del Proyecto de Visual Studio habría código fuente para explotar la vulnerabilidad, así como una DLL adicional que se ejecutaría a través de Visual Studio Bild Events. La DLL es un malware personalizado que comenzaría a comunicarse inmediatamente con los dominios C2 controlados por actores", dice el blog.
Además, el ataque comprometió a los investigadores que visitaron el blog de los actores.
"En cada uno de estos casos, los investigadores siguieron un enlace en Twitter a un artículo alojado en blog.br0vvnn[.]io, y poco después, se instaló un servicio malicioso en el sistema del investigador y una puerta trasera en la memoria comenzó a enviar señales a un servidor de comando y control propiedad del actor. En el momento de estas visitas, los sistemas de las víctimas estaban ejecutando versiones de navegador Windows 10 y Chrome completamente parcheadas y actualizadas", dijo el blog de Google. "Su blog contiene reseñas y análisis de vulnerabilidades que se han divulgado públicamente, incluidas publicaciones de ‘invitados’ que aparentaban ser investigadores de seguridad legítimos involuntarios, probablemente en un intento de generar credibilidad adicional con otros investigadores de seguridad".
Según el blog, esta es una "campaña en curso". Un objetivo, Richard Johnson, un especialista en seguridad informática en Fuzzing IO con un enfoque en el análisis de vulnerabilidades de software, confirmó la validez del ataque.
"¡ADVERTENCIA! Puedo confirmar que esto es cierto y fui golpeado por @z0x55g quien me envió un disparador de PoC del kernel de Windows. La vulnerabilidad era real y compleja de disparar. Afortunadamente solo la ejecuté en una VM... al final, el VMDK que uso estaba realmente corrupto y no se podía arrancar, por lo que realizó una auto implosión", escribió en Twitter @richinseattle.
Johnson proporcionó una actualización positiva al día siguiente.
"He recuperado y descifrado las claves de registro que contienen config y neutralizado el servicio, estoy RE'ing el controlador. He confirmado con colegas que solo visitar el blog fue suficiente para ser explotado a través de Chrome/Brave. He confirmado que mi máquina se conectó a su C&C muchas veces", escribió en Twitter.
¿Cómo lograron los actores de amenazas patrocinados por el estado engañar a algunas de las personas más preparadas y menos confiadas del planeta?
La persistencia es clave
Lo que hizo que esta campaña fuera exitosa, según la directora ejecutiva de SocialProof Security, Rachel Tobac, es que la ingeniería social y la construcción de relaciones comenzaron muy temprano, mucho antes de lo observado en muchas otras campañas.
"Muchas veces verá a los atacantes ir directamente al señuelo, directamente al malware en su típico ataque de phishing. Eso no es lo que sucedió aquí. A mediados del año 2020, los atacantes comenzaron a construir una buena relación, construyendo una reputación con sus objetivos, la comunidad de seguridad en general, y conseguir esa confianza era algo que se podía ver que era muy importante para ellos".
Tobac le dijo a SearchSecurity que estos actores de estado-nación usaban lo que en el campo de la ingeniería social se denomina como principios de persuasión.
"Lo primero que vimos fue que aprovecharon su autoridad. Crearon autoridad sobre el tema para poder dirigir a las personas a su blog malicioso. Comenzaron con contenido real y auténtico y luego pasaron al ataque. En segundo lugar, los vimos usar la reciprocidad, que es donde discuten detalles personales sobre sí mismos para obtener detalles personales sobre su objetivo", dijo. "Luego vimos la prueba social en acción en la que mencionaron a las personas adecuadas en los blogs y utilizaron su blog como arma, lo que probablemente hicieron todo el tiempo. La comunidad de seguridad confió en el contenido porque parecía real y no debían revisar si estaban comprometidos".
La cuarta táctica que observó Tobac fue el compromiso y la coherencia. "Se trata de hacer preguntas aparentemente inocuas para realmente construir una buena relación, de modo que cuando lleguen a las preguntas espeluznantes se siente bien, un poco en confianza como 'ya he estado hablando con esta persona durante mucho tiempo'".
Un ejemplo que proporcionó Tobac fue preguntarle a un investigador si está usando Chrome.
"Si esa persona dice 'sí', entonces, por supuesto, ese señuelo y el malware que van a usar es un día cero de Chrome contra ese objetivo. Por lo tanto, personalizan su enfoque en función del sistema operativo que está buscando el investigador, el campo de investigación para asegurarse de que el malware funcione en su máquina. Es extremadamente inteligente".
En general, los ataques patrocinados por el estado suelen ser más intensos. Una cosa hace que su metodología de ataque sea única: la persistencia.
"Realmente se congraciaron y ganaron confianza con la comunidad de seguridad y la comunidad de investigadores. Tenían como 2.000 seguidores en todas las cuentas de Twitter. Señalarían un impulso a su propio trabajo entre las cuentas de Twitter. Estos tweets generaron cientos de me gusta y retweets incluso antes de que los atacantes pasaran a enviar mensajes directos a las personas. Tienen la reputación de hablar sobre investigación y publicar buenas investigaciones".
Reed Loden, evangelista jefe de seguridad de código abierto de HackerOne, dijo a SearchSecurity que la plataforma de recompensas de errores (bug bounty) nunca antes había visto investigadores de seguridad siendo el blanco específico de actores estatales a este nivel de detalle y persistencia. Sin embargo, dijo, no es de extrañar.
"Muchos miembros del personal de seguridad tienen acceso privilegiado debido a la necesidad de investigar posibles problemas de seguridad en todos los niveles, por lo que de hecho son objetivos excelentes para los actores estatales", dijo en un correo electrónico a SearchSecurity.
Además, las redes sociales proporcionan una gran cantidad de información que facilita a los actores de amenazas llevar a cabo ataques de ingeniería social.
"Tienen mucho más éxito cuando se alinean con el interés de un objetivo, y toda esta información se puede encontrar en Twitter o Instagram. Otro vector de ataque proviene de lo que los empleados filtran inadvertidamente, por ejemplo, una foto de ellos en el trabajo en LinkedIn puede dar a un ciberdelincuente una guía perfecta de cómo deben verse un uniforme y una insignia", dijo Loden.
Según Tobac, cualquiera que tenga el pretexto adecuado, el momento adecuado y el señuelo adecuado puede verse comprometido. "No nos burlamos de la gente por ser blanco de la ingeniería social porque atrae a quienes somos fundamentalmente como humanos. Simplemente decimos que es así. Los piratas informáticos humanos [van] a piratear humanos".
Esta campaña más reciente atrajo un interés adicional porque es un buen ejemplo de los actores de amenazas que se toman su tiempo, se familiarizan con sus objetivos y desarrollan conexiones con ellos con paciencia, dijo Tobac. "En lugar de construir persistencia en una red y esperar tranquilamente en la red, realmente estamos viendo persistencia en el lado de la ingeniería social, en lugar del lado técnico".
Protección contra el hackeo humano
En muchos casos, la capacitación en concientización sobre seguridad prepara a las personas para lo que pueden esperar de un ataque de ingeniería social. Eso puede funcionar para los correos electrónicos de phishing tradicionales y las tácticas de suplantación de identidad menores, pero cuando se trata de actores del estado-nación capacitados, no es suficiente.
Tim Sadler, cofundador de la empresa de seguridad de correo electrónico Tessian, dijo a SearchSecurity que la formación tradicional de concienciación sobre seguridad ya no es suficiente.
"En este ataque, los ciberdelincuentes utilizaron sofisticadas tácticas de suplantación de identidad para generar confianza a lo largo del tiempo y engañar a los investigadores para que instalaran sin saberlo código malicioso", dijo en un correo electrónico a SearchSecurity. "El entrenamiento tradicional de concientización sobre seguridad no resolvería esto. ¿Por qué? Debido a que muchos de los signos reveladores de una estafa, que a las personas se les enseña a tener en cuenta durante las sesiones de capacitación, simplemente no estaban presentes. El otro problema es que la formación única no tiene en cuenta el hecho de que los piratas informáticos juegan a largo plazo, utilizando múltiples puntos de contacto para dirigirse a sus víctimas. ¿Cómo pueden las empresas esperar que sus empleados recuerden la formación impartida hace más de seis meses, por ejemplo?"
Según Sadler, la capacitación debe evolucionar para mantenerse al día con el panorama de amenazas en evolución.
"Debe entregarse de forma automática y continua, concienciando a los empleados sobre las amenazas potenciales en el momento y aconsejándoles qué acciones tomar. La capacitación en conciencia de seguridad debe utilizar las amenazas del mundo real que enfrentan los empleados para proporcionar contexto. Las plataformas de formación se basan en la simulación de amenazas de phishing y utilizan plantillas predefinidas de amenazas comunes. Si bien este es un enfoque justo para la conciencia de phishing genérica, es ineficaz para preparar a los empleados para las amenazas de phishing altamente específicas y las estafas de suplantación de identidad que probablemente vean hoy".
Tobac estuvo de acuerdo en que la solución no es más capacitación en concientización sobre seguridad, sino más ejemplos de cómo los actores de estado nación usan la ingeniería social. "Yo diría que todos los investigadores de seguridad son muy conscientes de la forma en que funciona la ingeniería social".
Al igual que Johnson en Fuzzing IO, los investigadores de seguridad pueden protegerse mediante el uso de máquinas virtuales que están aisladas de otros sistemas para acceder a recursos o abrir archivos de partes que no son de confianza. Existen otras herramientas técnicas, incluidos los administradores de contraseñas y la autenticación multifactor, así como las mejores prácticas básicas, como no reutilizar las credenciales en cuentas y máquinas.
"Sabemos de un investigador que se vio comprometido, quien mencionó que cree que el hecho de que usaran credenciales similares o idénticas de una máquina a la siguiente en su red, llevó a los cambios dentro de la red a otra máquina. Esas son soluciones técnicas que se pueden usar, pero cuando tienes un actor de estado-nación, van a intentar persistir a través de las herramientas técnicas que tengas", dijo Tobac.
Pero ninguna de las defensas técnicas evita que las personas sean víctimas de la estafa en primer lugar, por lo que los ataques de ingeniería social son un desafío. Estar atento, especialmente en máquinas o cuentas de usuario con permisos elevados, es importante para todas las personas, independientemente de su profesión, dijo Loden.
"Incluso si se está ejecutando un sistema y un navegador completamente parcheados, los exploits de día cero se pueden usar en su contra. Es mejor ser paranoico y tal vez usar una máquina virtual sin privilegios (o un Chromebook o similar) sin acceso especial para cualquier tipo de navegación pausada, separada de cualquier sistema de trabajo que pueda permitir el acceso de un actor malintencionado dedicado a los recursos internos de una empresa".
Además, Loden recomendó la formación proactiva de los empleados y las pruebas de rutina.
"Depende de los equipos de TI y seguridad permitir y capacitar a los usuarios para que comprendan cómo mantenerse seguros y cómo construir un camino mejor, más directo y deseable para ellos. Si un empleado cae en la ingeniería social, no lo culpe. Mire en su reflejo y comprenda qué hizo que el empleado doblara en una esquina, y cómo puede alentarlo. En la práctica, esto significa brindar soluciones técnicas fácilmente utilizables a esos investigadores para garantizar que puedan protegerse mejor de las campañas de ingeniería social exitosas al segmentar cualquier trabajo de investigación de seguridad de otras actividades del día a día".
Tobac dijo que este ataque fue una llamada de atención para muchas personas. "En última instancia, veremos los impactos de este ataque en los próximos años".