Ataques a la cadena de suministro


Cadena de Suministro

Cadena de Suministro

El Equipo Global de Investigación y Análisis de Kaspersky Lab sigue
el rastro de más de 100 grupos y operaciones de APT (amenaza
persistente avanzada). Algunos son increíblemente sofisticados
y poseen grandes arsenales que incluyen vulnerabilidades
de día cero explotables (zero-day exploits), herramientas de
ataques sin archivos (fileless) y ataques combinados de piratería
tradicional con traspasos a equipos más sofisticados que se
encargan de la parte de exfiltración. Hemos visto que a menudo
los actores de amenazas avanzadas han intentado vulnerar a un
cierto objetivo por un largo período de tiempo sin éxito. Esto se
debe a que el objetivo utiliza resistentes paquetes de software de
seguridad para Internet, a que los empleados estaban informados
para no ser víctimas de la ingeniería social o se siguieron las
estrategias de mitigación australianas DSD TOP35 para ataques
APT.

En general, no es fácil que un actor avanzado y persistente
se dé por vencido, porque seguirá forzando las defensas hasta
encontrar la manera de entrar.
Cuando todo lo demás falla, es probable que den un paso atrás
y vuelvan a evaluar la situación. Al hacerlo, los actores pueden
decidir que un ataque a la cadena de suministro puede ser más
efectivo que intentar ingresar a su objetivo de forma directa. Es
probable, incluso, que un objetivo cuyas redes están protegidas
con las mejores defensas use software de un tercero. El tercero
podría ser un objetivo más fácil y se lo puede aprovechar para
sobrepasar la protección de la empresa objetivo.
Durante 2017, hemos visto varios casos similares, entre ellos:
Shadowpad
CCleaner
ExPetr / NotPetya

Estos ataques pueden ser muy difíciles de identificar o mitigar.
Por ejemplo, en el caso de Shadowpad, los atacantes introdujeron
Troyanos en una cantidad de paquetes de Netsarang de
amplio uso en todo el mundo: en bancos, grandes empresas y
demás sectores industriales. La diferencia entre los paquetes limpios
y los que contienen troyanos puede ser difícil de notar; en
muchos casos es el tráfico de comando y control (C&C, por sus
siglas en inglés) lo que los delata.
Se estima que más de dos millones de computadoras recibieron
la actualización infectada de CCleaner, lo que lo convirtió en
uno de los ataques más grandes de 2017. El análisis del código
malicioso de CCleaner nos permitió correlacionarlo con un par
de otras puertas traseras conocidas por haber sido utilizadas en
el pasado por grupos de APT pertenecientes al “Axiom umbrella”,
como APT17, también conocido como Aurora. Esto prueba los
largos caminos que los grupos de APT están dispuestos a recorrer
para cumplir con sus objetivos.
Consideramos que en la actualidad la cantidad de ataques a la
cadena de suministro puede mucho más alta que lo que suponemos,
pero que aún no se los ha detectado. Durante 2018 esperamos
ver más ataques a la cadena de suministro, tanto reales
como detectados. El uso de programas especializados infectados
con troyanos en regiones y sectores específicos se convertirá
en un movimiento similar al de los ataques de abrevadero
(waterholing) dirigidos a sitios y víctimas específicas y que, por
ende, resultarán vulnerables a ciertos tipos de atacantes.

Fuente: Kaspersky

Saludos

Mario Meneses

 

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.