Mejores prácticas a los ciberataques de la cadena de suministro
Lo que nos ha dejado los vientos solares o “Solar Winds” relacionado con el ataque a gran escala de proveedores de seguridad como, FireEye https://www.elconfidencial.com/tecnologia/2020-12-22/hackeo-solarwinds-ataque-eeuu-microsoft-cisco_2881071/ y que logró recopilar información importante de la infraestructura de seguridad, además de herramientas válidas para realizar auditorias y metodologías Red Team.
En esta misma vía muchos proveedores de seguridad emplearon las mejores herramientas para poder generar documentos (diagramas de flujo) del ciberataque y posteriormente para poder identificar las principales características de este actor importante en la seguridad de las organizaciones que utilizan suministros y recursos tecnológicos de terceros.
Como se puede observar, el grupo atacante pudo ingresar y acceder al Email Server de “Solar Winds” mediante vulnerabilidad en la fase 1 de “Infiltración” para poder introducirse dentro de la empresa de TI.
En su segunda y tercera fase, que corresponden a “Reconocimiento y la técnica usada de spearphishing”, tarea que involucró el envío de estos correos maliciosos hacia personas empleadas de Solar winds.
En la etapa 3 “Weaponization” se introduce el backdoor dentro del sistema, razón que conduce a pensar dentro del escenario real en el que la empresa de suministro no percibe la amenaza persistente y desconoce las accioens del #malware dentro del sistema.
Seguido de esto, poder comunicarse con el malware de manera sincrónica y asincrónica para poder afectar otras partes del sistema. Con los comandos enviados desde el atacante hacía la víctima (solar winds), procede a explotar el software de soporte y la nueva versión “Update” frente a usuarios finales de solar winds.
Una vez accede a instalarse el #malware de infiltración, procede a ejecutar tareas de exfiltración de datos al atacante.
Tareas mancomunadas frente a este tipo de ataques a las cadenas de suministro:
Es importante señalar que existen varios antecedentes de la creciente numero de ciberataques dirigidas a cadenas de suministro (https://blog.malwarebytes.com/cybercrime/2021/04/password-manager-hijacked-to-deliver-malware-in-supply-chain-attack/), en el que se involucra software de terceros y actualizaciones realizadas al “ciclo de desarrollo del software”.
Teniendo en cuenta esto, agencias internacionales de seguridad cibernética han decidido estrechar lazos técnicos para liberar un documento que condensa 6 ejemplos en los que se afecta el ciclo de vida de las cadenas suministro y se explican las recomendaciones fundamentales para poder mitigar este tipo de ataques:
Diseño
Desarrollo y Producción
Distribución
Adquisición y despliegue
Mantenimiento
Disposal
Estos seis elementos permiten que se prevengan acciones contra dispositivos, desarrollos, enfocadas en afectaciones al ciclo del software ( cadenas de suministro), y lo relacionado con técnicas como: “Hijacking updates, Undermining code signing, Compromising open-source code”.
Entre otras actividades de mitigación y prevención CISA GOV y NIST han lanzado a los consumidores de tecnología y de servicios tecnológicos donde invitan a poner en práctica las mejores prácticas para comunicar activamente y realizar una continua tarea de inteligencia de amenazas persistentes y desarrollo de https://csrc.nist.gov/publications/detail/sp/800-161/final practicas relacionadas en seguridad con OT y IOT.
Lecturas relacionadas:
