IoT corporativo, un camino hacia la intrusión
Varias fuentes estiman que para el año 2020 se desplegarán unos 50 mil
millones de dispositivos IoT en todo el mundo. Los dispositivos IoT
están diseñados a propósito para conectarse a una red y muchos
simplemente están conectados a Internet con poca administración o
supervisión. Dichos dispositivos aún deben ser identificables,
mantenidos y monitoreados por equipos de seguridad, especialmente en
grandes empresas complejas. Algunos dispositivos IoT pueden incluso
comunicar la telemetría básica al fabricante del dispositivo o tener
medios para recibir actualizaciones de software. Sin embargo, en la
mayoría de los casos, el centro de operaciones de TI de los clientes no
sabe que existen en la red.
En 2016, el grupo de investigación de malware MalwareMustDie descubrió la botnet Mirai. La botnet inicialmente consistía en cámaras IP y routers domésticos básicos, dos tipos de dispositivos IoT que se encuentran comúnmente en el hogar. A medida que surgieron más variantes de Mirai, también surgió la lista de dispositivos IoT a los que apuntaba. El código fuente del malware que alimenta esta botnet finalmente se filtró en línea.
En 2018, cientos de miles de dispositivos de red y almacenamiento para el hogar y PyMEs se vieron comprometidos con el denominado malware VPN Filter. El FBI ha atribuido públicamente esta actividad a un actor de un estado-nación y tomó medidas posteriores para interrumpir esta red de bots, aunque los dispositivos seguirían siendo vulnerables a la reinfección a menos que el usuario establezca los controles de seguridad o firmware adecuados.
También hubo múltiples informes de prensa de ciberataques en varios dispositivos durante las ceremonias de apertura de los Juegos Olímpicos de 2018 en PyeongChang. Los funcionarios confirmaron unos días después que fueron víctimas de ataques maliciosos que impidieron a los asistentes imprimir sus boletos para los Juegos y las televisiones y el acceso a Internet en el centro de prensa principal simplemente dejaron de funcionar.
Estos dispositivos se convirtieron en puntos de entrada desde los cuales el actor estableció una presencia en la red y continuó buscando un mayor acceso. Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de la red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor. Después de obtener acceso a cada uno de los dispositivos IoT, el actor ejecutó tcpdump para detectar el tráfico de red en subredes locales.
También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor se movía de un dispositivo a otro, soltaban un simple script de shell para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar la caza. El análisis del tráfico de red mostró que los dispositivos también se comunicaban con un servidor externo de comando y control (C2).
En los últimos doce meses, Microsoft ha entregado cerca de 1.400
notificaciones de estado-nación a aquellos que han sido atacados o
comprometidos por Strontium / Fancy Bear / APT28.
Una de cada cinco notificaciones de actividad de Strontium estaba
vinculada a ataques contra organizaciones no gubernamentales, grupos de
expertos u organizaciones políticamente afiliadas en todo el mundo. El
80% restante de los ataques de Strontium se han dirigido principalmente a
organizaciones en los siguientes sectores: gobierno, informática,
militar, defensa, medicina, educación e ingeniería. También se ha
observado y notificado los ataques de Strontium contra los comités
organizadores olímpicos, las agencias antidopaje y la industria
hotelera.
Strontium está relacionado a uno de los grupos de hacking de élite patrocinados por el estado de Rusia como una forma de violar redes corporativas, desde donde pivotan a otros objetivos de mayor valor. Este grupo ha estado involucrado previamente en el ataque de DNC de 2016 y que, según una acusación presentada en 2018 por funcionarios estadounidenses, ha sido identificado como la Unidad 26165 y la Unidad 74455 de la agencia de inteligencia militar rusa GRU.
Pero además de Strontium, otros grupos patrocinados por el estado también han comenzado a apuntar a dispositivos IoT, y principalmente a routers. Los ejemplos incluyen los grupos LuckyMouse, Inception Framework, y Slingshot.
Es necesario para crear conciencia sobre estos riesgos en toda la industria y pedimos una mejor integración empresarial de los dispositivos IoT, particularmente la capacidad de monitorear la telemetría de dispositivos IoT dentro de las redes empresariales. Hoy, la cantidad de dispositivos IoT implementados supera en número a la población de computadoras personales y teléfonos móviles, combinados. Con cada dispositivo IoT en red que tiene su propia pila de red separada, es bastante fácil ver la necesidad de una mejor gestión empresarial, especialmente en el mundo actual de "traiga su propio dispositivo".
Fuente: Microsoft
En 2016, el grupo de investigación de malware MalwareMustDie descubrió la botnet Mirai. La botnet inicialmente consistía en cámaras IP y routers domésticos básicos, dos tipos de dispositivos IoT que se encuentran comúnmente en el hogar. A medida que surgieron más variantes de Mirai, también surgió la lista de dispositivos IoT a los que apuntaba. El código fuente del malware que alimenta esta botnet finalmente se filtró en línea.
En 2018, cientos de miles de dispositivos de red y almacenamiento para el hogar y PyMEs se vieron comprometidos con el denominado malware VPN Filter. El FBI ha atribuido públicamente esta actividad a un actor de un estado-nación y tomó medidas posteriores para interrumpir esta red de bots, aunque los dispositivos seguirían siendo vulnerables a la reinfección a menos que el usuario establezca los controles de seguridad o firmware adecuados.
También hubo múltiples informes de prensa de ciberataques en varios dispositivos durante las ceremonias de apertura de los Juegos Olímpicos de 2018 en PyeongChang. Los funcionarios confirmaron unos días después que fueron víctimas de ataques maliciosos que impidieron a los asistentes imprimir sus boletos para los Juegos y las televisiones y el acceso a Internet en el centro de prensa principal simplemente dejaron de funcionar.
Tres dispositivos de IoT
En abril, investigadores de seguridad del Centro de Inteligencia de Amenazas de Microsoft descubrieron la infraestructura de un adversario conocido como STRONTIUM que se comunicaba con varios dispositivos externos. Investigaciones posteriores descubrieron intentos para comprometer dispositivos IoT populares (un teléfono VOIP, una impresora de oficina y un decodificador de video) en múltiples ubicaciones de clientes. La investigación descubrió que un atacante había usado estos dispositivos para obtener acceso inicial a las redes corporativas. En dos de los casos, los dispositivos se implementaron sin cambiar las contraseñas predeterminadas del fabricante y, en tercera instancia, la última actualización de seguridad no se había aplicado al dispositivo.Estos dispositivos se convirtieron en puntos de entrada desde los cuales el actor estableció una presencia en la red y continuó buscando un mayor acceso. Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de la red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor. Después de obtener acceso a cada uno de los dispositivos IoT, el actor ejecutó tcpdump para detectar el tráfico de red en subredes locales.
También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor se movía de un dispositivo a otro, soltaban un simple script de shell para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar la caza. El análisis del tráfico de red mostró que los dispositivos también se comunicaban con un servidor externo de comando y control (C2).
Strontium / Fancy Bear / APT28
Strontium está relacionado a uno de los grupos de hacking de élite patrocinados por el estado de Rusia como una forma de violar redes corporativas, desde donde pivotan a otros objetivos de mayor valor. Este grupo ha estado involucrado previamente en el ataque de DNC de 2016 y que, según una acusación presentada en 2018 por funcionarios estadounidenses, ha sido identificado como la Unidad 26165 y la Unidad 74455 de la agencia de inteligencia militar rusa GRU.
Pero además de Strontium, otros grupos patrocinados por el estado también han comenzado a apuntar a dispositivos IoT, y principalmente a routers. Los ejemplos incluyen los grupos LuckyMouse, Inception Framework, y Slingshot.
Es necesario para crear conciencia sobre estos riesgos en toda la industria y pedimos una mejor integración empresarial de los dispositivos IoT, particularmente la capacidad de monitorear la telemetría de dispositivos IoT dentro de las redes empresariales. Hoy, la cantidad de dispositivos IoT implementados supera en número a la población de computadoras personales y teléfonos móviles, combinados. Con cada dispositivo IoT en red que tiene su propia pila de red separada, es bastante fácil ver la necesidad de una mejor gestión empresarial, especialmente en el mundo actual de "traiga su propio dispositivo".
Recomendaciones para asegurar IoT
Hay pasos adicionales que una organización puede tomar para proteger su infraestructura y red de actividades similares. Microsoft recomienda las siguientes acciones para proteger y administrar mejor el riesgo asociado con los dispositivos IoT:- Se requiere aprobación y catalogación de cualquier dispositivo IoT que se ejecute en su entorno corporativo.
- Desarrollar una política de seguridad personalizada para cada dispositivo IoT.
- Evitar exponer dispositivos IoT directamente a Internet o cree controles de acceso personalizados para limitar la exposición.
- Usar una red separada para dispositivos IoT si es posible.
- Realizar auditorías de configuración / parches de rutina contra dispositivos IoT implementados.
- Definir políticas para el aislamiento de dispositivos IoT, la preservación de los datos del dispositivo, la capacidad de mantener registros del tráfico del dispositivo y la captura de imágenes del dispositivo para la investigación forense.
- Incluir las debilidades de configuración del dispositivo IoT o los escenarios de intrusión basados en IoT como parte de las pruebas de Red Team.
- Supervisar la actividad del dispositivo IoT en busca de un comportamiento anormal (por ejemplo, una impresora que navega por sitios de SharePoint ...)
- Auditar las identidades y credenciales que tienen acceso autorizado a dispositivos, usuarios y procesos de IoT.
- Centralizar la gestión de activos / configuración / parches si es posible.
- Si los dispositivos son implementados / administrados por un tercero, se debe incluir Términos explícitos en sus contratos que detallen las prácticas de seguridad a seguir y las Auditorías que informan el estado de seguridad y el estado de todos los dispositivos administrados.
- Siempre que sea posible, definir los Términos de SLA en los contratos de proveedores de dispositivos IoT que establezcan una ventana mutuamente aceptable para la respuesta de investigación y el análisis forense a cualquier compromiso relacionado con su producto.
Fuente: Microsoft
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios