01.10.2013
Seguridad

    Cristian Borghello, External Security Consultant de ZMA

    El ataque se vale de los mismos empleados de las compañías haciéndoles descargar involuntariamente malware a la red de la organización atacada cuando visitan una determinada página web controlada por el delincuente, que, en el caso particular de estas compañías, fue un popular sitio de descarga de aplicaciones para móviles utilizado por los desarrolladores de las empresas afectadas.

    El nombre dado al método de ataque, Watering Hole Attack, hace referencia a la manera en que un león embosca víctimas en un pozo de agua y, cuanto más grande sea el pozo -más popular sea el sitio web controlado-, más víctimas llegarán a él. Estas intrusiones están orientadas a robar información sensible de la organización y de sus usuarios, como sucedió con los datos de 250 mil usuarios de Twitter que fueron comprometidos [2].

    El proceso es el siguiente:

    1) Un delincuente modifica un sitio web y agrega scripts dañinos en él.

    2) Sin saberlo, la víctima visita el sitio web comprometido.

    3) El sitio web, a través del elemento dañino inyectado por el delincuente, redirige a la víctima a un sitio de descarga de malware. Mientras tanto, el sitio comprometido se utiliza como "trampolín" para llevar a cabo ataques de espionaje, quedando a la espera de usuarios que lo visiten, los cuales se infectarán.

    4) El malware comprueba las aplicaciones instaladas en el sistema afectado (Internet Explorer, Firefox, Java, Adobe Reader, Flash Player, etc.) y luego explota vulnerabilidades en dichas aplicaciones, pudiendo descargar malware específico para cada sistema operativo e infectar al usuario.

    5) El delincuente espía al usuario.

    6) Con el producto del espionaje: Tráfico ilegal de información, venta de datos, ciberdelitos, etc.

     



    El ataque es altamente efectivo ya que con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza y, de un simple golpe, controlar la información de toda una organización víctima. El éxito se incrementa porque los delincuentes -altamente especializados- utilizan vulnerabilidades 0-Day, no conocidas aun públicamente, que no han sido solucionadas por el fabricante y son por lo tanto 100% efectivas.

    Es importante destacar que en este tipo de ataque no importa el sistema operativo utilizado por la organización, ya que en la primera etapa se determina el mismo y luego se descargará un archivo ejecutable dañino acorde al sistema determinado.

    Si bien el procedimiento técnico es muy parecido al conocido Drive-by-download [3], utilizado por las Amenazas Persistentes y Avanzadas (APT por sus siglas en inglés [4]), la diferencia fundamental radica en el objetivo de este tipo de ataques: realizar espionaje internacional de grandes organizaciones del ámbito de defensa, político, religioso, energía, comunicaciones, armamento, transporte, tecnología, financieras, salud, etc. La información recogida -que puede ascender a miles de Terabytes- posteriormente será analizada para determinar el destino de la misma: para ser vendida en el mercado negro, como base para otros ataques, para determinar objetivos críticos de un país en una posible ciberguerra, y con cualquier otro propósito imaginable.

    Actualmente, ninguna empresa puede asegurar que no fue, está siendo o será víctima de este tipo de ataques, existen algunas medidas que deben ser analizadas para prevenirlos y mitigarlos. La primera medida es mantener actualizados los sistemas operativos y las aplicaciones de la organización [5]. Como ya se señaló, generalmente se utilizan vulnerabilidades desconocidas por lo que además deben utilizarse las clásicas aplicaciones de protección técnicas: la segmentación de redes, antivirus, firewall, herramientas de análisis de tráfico de red, filtros de navegación y control de fugas de información (DLP).

    Pero, sobre todo se debe incorporar la gestión de la seguridad como un proceso, analizar las posibles amenazas y los riesgos. Se debe ser consciente de que la organización toda no puede ser protegida con una única medida o herramienta de seguridad y debe implementarse la seguridad por capas o niveles: cada nivel por sí mismo podría ser violado, pero su actuación en conjunto fortalecen el sistema completo.

    [1] Ataques dirigidos a Microsoft, Twitter, Facebook y Apple

    http://blog.segu-info.com.ar/2013/02/microsoft-victima-watering-hole-attac.html

    [2] Comprometidos datos de 250.000 usuarios de Twitter

    http://blog.segu-info.com.ar/2013/02/datos-de-250000-usuarios-de-twitter.html

    [3] Ataques Drive-by-Download

    http://www.eset-la.com/centro-amenazas/articulo/drive-by-download-infeccion-web/1792

    [4] ¿Cuáles serán las seis principales amenazas de seguridad para su PC y "smartphone" en 2013?

    http://www.iprofesional.com/notas/151610-Cules-sern-las-seis-principales-amenazas-de-seguridad-para-su-PC-y-smartphone-en-2013

    [5] Instalación de actualizaciones

    http://www.iprofesional.com/notas/154700-Advierten-sobre-una-nueva-puerta-de-entrada-a-su-computadora-que-aprovechan-los-hackers


    Fuentes: www.zma.com.ar

     

    Compartir