¿Por qué los ataques de “Watering Hole” son tan peligrosos?
Los ataques de Watering Hole o ataques de abrevadero no son nuevos en ciberseguridad. Recientemente, dos eventos separados arrojan luz sobre este término nuevamente, pero son cosas totalmente distintas. Es una metáfora del mundo natural que describe a los depredadores que esperan a sus presas cerca de los abrevaderos.
El primero pertenece a la técnica de ataque típico. Un ciberdelincuente busca comprometer a un grupo específico de usuarios infectando sitios que sabe que visita el grupo objetivo. El segundo fue literalmente un ataque de abrevadero en el que se apuntó a un sistema de suministro de agua.
Ataque Watering Hole recientes
El problema más fundamental sigue siendo la relación de confianza. Un ataque de Watering Hole es tan eficaz que el descubrimiento siempre requiere cierto grado de una nueva perspectiva.
Sunbursts
El presidente de Microsoft, Brad Smith, dijo:
“Creo que, desde la perspectiva de la ingeniería de software, probablemente sea justo decir que este es el ataque más grande y sofisticado que jamás haya visto el mundo “.
Él se refiere al incidente de seguridad más grande de esta década, Sunbursts, descubierto en diciembre del año pasado. Los detalles sobre el incidente de SolarWinds aún surgirán meses después de descubrirse por primera vez la mega infracción de la cadena de suministro.
El ataque causó una gran destrucción. Los atacantes utilizaron los canales de actualización de SolarWinds como Watering Hole. Estos permanecieron ocultos durante meses robando datos de las redes y sistemas infectados de múltiples organizaciones que accedían “al agua”.
Lo peor es que casi todas las empresas pensaron que “el agua estaba limpia”. Nadie, absolutamente nadie desafió el código de Solarwind e instaló a ciegas la actualización, que resultó ayudar a difundir el código infectado. Esto incluía a proveedores de seguridad como FireEye y las empresas más grandes, como Microsoft.
Confusión de dependencia
La semana pasada, Alex Birsan introdujo una técnica de prueba de concepto llamada confusión de dependencia. Esta técnica fue probada como efectiva por Apple, Paypal y Shopify. Cada uno pagó $30,000.
El descubrimiento de Alex es muy alarmante e interrumpió cosas que nosotros, como profesionales de la seguridad, a menudo pasamos por alto. El truco se basa en las adquisiciones en plataformas como pip y npm para la carga de un paquete con el mismo nombre de un paquete local. En muchos casos, se utiliza el paquete con el número de versión más alto.
Los paquetes falsos son extraídos de forma innata por plataformas y utilizados por organizaciones que aprovechan los feeds de paquetes públicos. Como resultado, las organizaciones no tratan estos feeds como una fuente potencial de amenaza.
El escáner de código de barras malicioso y extensión maliciosa
Actualmente las aplicaciones de cámara incorporadas en dispositivos móviles admiten códigos QR o códigos de barras. Sin embargo, sorprende que una aplicación de escáner de código de barras fuese una aplicación popular para teléfonos móviles.
Una de las aplicaciones de escáner de códigos de barras más popular en Android ha iniciado recientemente una amenazante campaña de adware. La aplicación cuenta con más de 10 millones de instalaciones. El editor de esa aplicación fue LavaBird LTD. La aplicación fue eliminada de la Play Store, pero esto no elimina la aplicación instalada en los dispositivos. Por lo tanto, si tienes aplicaciones de este editor, considera eliminarla ahora.
Según Malwarebytes, el adware malicioso fue el resultado de una biblioteca publicitaria de terceros y no fue culpa del desarrollador de la aplicación. Es decir, el código malicioso estuvo instantáneamente en la aplicación y tiene la firma de la clave del desarrollador. Además, está ofuscado para ser difícil de descubrir.
Otra situación similar es el famoso incidente de la extensión para Chrome: The Great Suspender. Esta fue eliminada por Google la semana pasada. The Great Suspender fue originalmente una extensión útil para mantener tu navegador funcionando sin problemas.
El ataque “real” de Watering Hole
El 8 de febrero de 2021, autoridades hablaron sobre el intento de hackeo del sistema de tratamiento de agua de la ciudad de Oldsmar.
Comenzó con un cursor moviéndose solo en la pantalla en la planta de tratamiento de agua en Oldsmar, Florida. Alguien había obtenido acceso remoto a una máquina del operador en la planta. Y en solo unos minutos, aumentaron el nivel de hidróxido de sodio en el agua potable de la ciudad en un factor de 100.
Después de aumentar el químico cáustico a niveles alarmantes, el hacker abandonó inmediatamente el sistema. Afortunadamente, el operador de la planta restableció rápidamente el nivel a la normalidad antes de la amenaza real que representaba el suministro de agua de la ciudad. Este incidente de control remoto es un ataque cibernético de bioterrorismo que casi envenena una ciudad.
Resulta que el incidente se pudo evitar si el empleado siguiese una higiene cibernética básica. De acuerdo con el Departamento de Protección Ambiental de Massachusetts, esta asombrosa noticia fue causada por el software de acceso remoto. En este caso TeamViewer en una máquina con Windows 7.
Según las autoridades los ciberdelincuentes accedieron a los controles de la planta de tratamiento de agua a través del software de acceso remoto, TeamViewer. TeamViewer fue instalado en una de varias computadoras que el personal de la planta de tratamiento de agua utiliza para realizar verificaciones. Ellos realizan verificaciones del estado del sistema y responden a las alarmas o cualquier otro problema que surja durante el proceso de tratamiento del agua.
Todas las computadoras utilizadas por el personal de la planta de agua estaban conectadas al sistema SCADA. Asimismo, las computadoras usaban la versión de 32 bits del sistema operativo Windows 7. Además, todas las computadoras compartían la misma contraseña para el acceso remoto. Por si esto fuera poco, las computadoras parecían estar conectadas directamente a Internet sin ningún tipo de protección de firewall instalada.
Sin seguridad en las operaciones
El incidente también plantea la cuestión de la seguridad de la infraestructura de operaciones, que a menudo no es tomada lo suficientemente en serio. Los intentos de ataque como este podrían evitarse si se establece la segregación adecuada. Aunque lo más razonable es aplicar las recomendaciones básicas de seguridad como (parchear y actualizar)
La instalación de un firewall con registro es el mínimo esencial cuando hay una ventana para que la red operaciones se conecte con “el mundo”. Esto incluye los elementos no críticos como las máquinas de los operadores solo para monitoreo.
Asimismo, es fundamental asegurarse de que todos los sistemas de monitorización funcionen en una conexión unidireccional.Eso es solo recibir las señales del sistema SCADA, no al revés.
Seguramente, después de este evento, los proveedores de agua estarían más conscientes del software de acceso remoto. Pero en todo eso, el eslabón más débil sigue siendo, como siempre, el humano. La gente falla, y por eso se debe considerar hasta el escenario más improbable en las evaluaciones de seguridad.
Conclusión
Encontrar un exploit zero-day en una línea de código podría convertirse en un millón de dispositivos infectados. Es obvio que los ataques de Watering Hole están ganando terreno en las actividades de hacking. Esto porque los ciclos de actualización del software son los más cortos de todos los tiempos.
Hay que recalcar que las redes de operaciones y los sistemas médicos siguen siendo vulnerables a los ataques más fundamentales y antiguos. Esto es consecuencia de que la lucha por la estabilidad y la responsabilidad superan a la seguridad.