Los piratas informáticos estatales rusos están adaptando sus técnicas para atacar a las organizaciones que se trasladan a la nube, advirtió un aviso del Centro Nacional de Seguridad Cibernética del Reino Unido y agencias de seguridad internacionales.
El aviso detalla cómo el grupo de ciberespionaje APT29 está apuntando directamente a las debilidades en los servicios en la nube utilizados por las organizaciones víctimas para obtener acceso inicial a sus sistemas. APT29 también está ampliando el alcance de sus ataques más allá de los gobiernos, los grupos de expertos, los proveedores de atención médica y de energía para incluir víctimas en la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares. APT29 ha sido vinculado al Servicio de Inteligencia Exterior de Rusia.
El aviso insta a las organizaciones a abordar las vulnerabilidades comunes en sus entornos de nube eliminando cuentas inactivas, habilitando la autenticación multifactor y creando cuentas canary para monitorear actividades sospechosas.
¿Quién es APT29?
APT29, también conocido como Cozy Bear, Midnight Blizzard o The Dukes, es un grupo de ciberespionaje que se cree que es el autor del infame ataque SolarWinds de 2020, que aprovechó las vulnerabilidades de la red Orion y tuvo un impacto devastador en las agencias gubernamentales de EE. UU. y varias empresas del sector privado.
El grupo de hackers también fue culpado por el reciente ataque de difusión de contraseñas a Microsoft que resultó en el compromiso de una pequeña cantidad de cuentas de correo electrónico corporativas.
Cómo APT29 está adaptando sus ciberataques para centrarse en entornos basados en la nube y el “bombardeo MFA”
Según el aviso, se ha observado que APT29 utiliza una serie de técnicas durante los últimos 12 meses que sugieren que se está adaptando al cambio hacia entornos operativos basados en la nube en los sectores público y privado.
Específicamente, el grupo está explotando cada vez más las debilidades de los servicios en la nube utilizados por las organizaciones para obtener acceso inicial a las redes. Esto marca un alejamiento de los métodos de ataque tradicionales utilizados por el grupo, es decir, aquellos que apuntan a equipos locales.
Las técnicas utilizadas por APT29 incluyen la difusión de contraseñas y ataques de fuerza bruta dirigidos a cuentas que están inactivas o no son operadas por una persona y se utilizan para administrar otras aplicaciones en la red.
“Este tipo de cuenta se utiliza normalmente para ejecutar y administrar aplicaciones y servicios. No hay ningún usuario humano detrás de ellas, por lo que no pueden protegerse fácilmente con autenticación multifactor (MFA), lo que hace que estas cuentas sean más susceptibles a un compromiso exitoso”, señala el aviso.
“Las cuentas de servicio a menudo también tienen muchos privilegios dependiendo de qué aplicaciones y servicios son responsables de administrar. Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red para lanzar más operaciones”.
APT29 también está explotando las debilidades de los protocolos MFA a través del “bombardeo MFA”, que implica bombardear el dispositivo de la víctima con solicitudes de autenticación hasta que se cansa de aceptar, ya sea accidentalmente o no.
Después de eludir MFA, los piratas informáticos pueden registrar su propio dispositivo en la red y obtener un acceso más profundo a los sistemas de la organización víctima. También se ha observado que los actores de SVR roban tokens de autenticación emitidos por el sistema, lo que les permite acceder a las cuentas de las víctimas sin necesidad de una contraseña.
Toby Lewis, jefe de análisis de amenazas de la empresa británica de ciberseguridad Darktrace, dijo que el cambio en las tácticas de APT29 destacó algunos de los “desafíos inherentes” a la seguridad de la infraestructura de la nube.
“La creciente migración de datos y cargas de trabajo a la nube ha abierto nuevas superficies de ataque que los ciberdelincuentes están ansiosos por explotar”, dijo Lewis a TechRepublic por correo electrónico.
“Los entornos de nube contienen enormes cantidades de datos confidenciales que atraen tanto a los malos actores como a los grupos de estados-nación. La naturaleza distribuida de la infraestructura de la nube, el rápido aprovisionamiento de recursos y la prevalencia de configuraciones erróneas han planteado importantes desafíos de seguridad”.
Cómo los hackers de SVR pasan desapercibidos
Los proxies residenciales y las cuentas inactivas también están demostrando ser herramientas muy útiles para los piratas informáticos de SVR, señala el aviso.
Las cuentas inactivas generalmente se crean cuando un empleado deja una organización pero su cuenta permanece activa. Los piratas informáticos que tienen acceso a una cuenta inactiva pueden eludir cualquier restablecimiento de contraseña impuesto por una organización luego de una violación de seguridad, señala el aviso; simplemente inician sesión en la cuenta inactiva o inactiva y siguen las instrucciones para restablecer la contraseña. “Esto ha permitido al actor recuperar el acceso tras las actividades de desalojo en respuesta a incidentes”, dice.
Del mismo modo, los actores de SVR utilizan servidores proxy residenciales para enmascarar su ubicación y hacer que parezca que el tráfico de su red se origina en una dirección IP cercana. Esto hace que sea más difícil para una organización víctima detectar actividad sospechosa en la red y hace que las defensas de ciberseguridad que utilizan direcciones IP como indicadores de actividad sospechosa sean menos efectivas.
“A medida que las defensas a nivel de red mejoran la detección de actividades sospechosas, los actores de SVR han buscado otras formas de permanecer encubiertos en Internet”, dice el aviso.
Los desafíos de proteger las redes en la nube
Aunque no se menciona específicamente en el aviso, Lewis dijo que los avances en la inteligencia artificial generativa plantean desafíos adicionales para proteger los entornos de nube, es decir, que los atacantes están aprovechando la tecnología para crear ataques de phishing y técnicas de ingeniería social más sofisticados.
También sugirió que muchas organizaciones rebasan la seguridad en la nube porque asumen que es responsabilidad del proveedor de servicios en la nube, cuando en realidad es una responsabilidad compartida.
DESCARGAR: Esta política de capacitación y concientización sobre seguridad de TechRepublic Premium
“Muchas organizaciones suponen erróneamente que el proveedor de la nube se encargará de todos los aspectos de la seguridad. Sin embargo, aunque el proveedor protege la infraestructura subyacente, el cliente sigue siendo responsable de configurar adecuadamente los recursos, la gestión de identidades y accesos y la seguridad a nivel de aplicaciones”, dijo.
“Los líderes empresariales deben tomarse en serio la seguridad en la nube invirtiendo en habilidades, herramientas y procesos adecuados. Deben asegurarse de que los empleados tengan capacitación en seguridad y arquitectura de la nube para evitar configuraciones erróneas básicas. También deberían adoptar el modelo de responsabilidad compartida, para saber exactamente qué es de su competencia”.
Consejos del NCSC para mantenerse seguro con respecto al aviso SVR
El aviso del NCSC enfatiza la importancia de los fundamentos de la ciberseguridad, que incluyen:
- Implementación de AMF.
- Usar contraseñas seguras y únicas para las cuentas.
- Reducir la duración de las sesiones para tokens y sesiones de usuario.
- Implementar un principio de privilegio mínimo para las cuentas de sistema y servicio, mediante el cual a cada cuenta se le otorgan solo los niveles mínimos de acceso necesarios para realizar sus funciones.
Esto minimiza el daño potencial de las cuentas comprometidas y restringe el nivel de acceso que podrían obtener los atacantes. “Una buena base de los fundamentos de la seguridad cibernética puede negar incluso una amenaza tan sofisticada como el SVR, un actor capaz de llevar a cabo un compromiso de la cadena de suministro global como el compromiso de SolarWinds de 2020”, señala el aviso.
DESCARGAR: Esta política de seguridad en la nube de TechRepublic Premium
Más allá de esto, el aviso sugiere configurar cuentas de servicio canary, es decir, cuentas que parecen legítimas pero que en realidad se utilizan para monitorear actividades sospechosas en la red. Se deben implementar políticas de inscripción sin intervención siempre que sea posible para que solo los dispositivos autorizados puedan agregarse automáticamente a la red, y las organizaciones deben “considerar una variedad de fuentes de información, como eventos de aplicaciones y registros basados en host, para ayudar a prevenir, detectar e investigar posibles ataques maliciosos”. comportamiento.”
Lewis destacó la importancia de la colaboración para responder al panorama de amenazas en evolución, así como para garantizar que las empresas cuenten con las habilidades, las personas y los procesos adecuados para defenderse contra amenazas nuevas y emergentes.
“La colaboración global entre agencias y empresas de ciberseguridad es fundamental para identificar y responder a amenazas sofisticadas. Los atacantes como APT29 piensan globalmente, por lo que los defensores también deben hacerlo”, dijo.
“Compartir inteligencia sobre nuevas tácticas permite a las organizaciones de todo el mundo mejorar sus defensas y responder rápidamente. Ninguna agencia o empresa tiene visibilidad completa por sí sola”.
