Este año se presenta con esperanza e incertidumbre, tal vez a partes iguales, tal vez no. Si la amenaza biológica no es suficiente, se sigue sumando la tecnológica que también golpea los cimientos económicos de la sociedad.
El caso de FireEye
Hace unas semanas saltaban las alarmas. La empresa FireEye anunciaba públicamente que habías sido víctima de un robo de herramientas de ciberseguridad de carácter ofensivo; es decir, aquellas que permiten realizar ataques informáticos.
Kevin Mandia, CEO de FireEye, anunció el 8 de diciembre el descubrimiento y robo de herramientas de ciberseguridad muy especializadas. Estás son desarrolladas internamente para ser utilizadas por el Equipo Rojo.
(FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community)
Equipo Rojo contra Equipo Azul
En ciberseguridad, el Equipo Rojo (Red Team) es un conjunto recursos, personas y herramientas, que realizan un ataque a empresas objetivo. La finalidad es comprobar la viabilidad de los vectores de entrada, los desplazamientos transversales en el interior de la red, el acceso a la información y la facilidad de su extracción.
En el otro lado se encuentra el Equipo Azul (Blue Team). Su misión es detectar y evitar los ataques del equipo contrario. Evaluar las herramientas de defensa implantadas en el cliente, reconfigurar o desplegar aquellas que puedan cubrir las brechas de seguridad descubiertas.
Estas acciones están enmarcadas en contratos de servicios de seguridad muy concretos entre la empresa de seguridad, donde forma parte el Equipo Rojo (en este caso es FireEye) y la empresa cliente. Una vez concluido el servicio, el equipo redactará los oportunos informes técnicos donde se exponen las acciones realizadas y las debilidades descubiertas. Se complementará con recomendaciones de mejora o la propuesta de medidas correctoras para reforzar la seguridad.
Herramientas ofensivas de FireEye: CommandVM
Las herramientas comprometidas, según un comunicado de Kevin Mandia, son bastante comunes en el ámbito de ciberseguridad; es decir, no son nada excepcional.
Entre las mencionadas, destaca la máquina virtual Commando VM que aglutina todas las herramientas de ataque propias del Equipo Rojo. Esta máquina se puede descargar desde GitHub. (Commando VM,)
(Para más información de Commando VM Commando VM 2.0: Customization, Containers, and Kali, Oh My!)
Encontrar las herramientas robadas
No obstante, como la función de estas herramientas es ejecutar ataques e intrusiones, la compañía ha puesto a disposición de otras empresas del sector, las reglas para la detección de estas herramientas y prevenir sus acciones. Estos descubrimientos servirán para rastrear desde dónde se originan y quién las posee.
En el sector, esta respuesta de la compañía constituye un ejemplo de colaboración para combatir, dentro de lo posible, los ataques. Este es el camino a seguir por instituciones y compañías del sector.
(Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team)
FireEye ha puesto en la plataforma GitHub las reglas basadas en firmas: Snort, YARA, ClamAV, HXIOC
(Unauthorized Access of FireEye Red Team Tools, FireEye Red Team Tool Countermeasures )
Repasamos brevemente.
Reglas YARA. YARA es un lenguaje de programación de código abierto utilizado para la identificación de malware basada en firmas.
Es multiplataforma y se puede utilizar tanto desde su interfaz de línea de comandos como a través de sus propios scripts de Python.
La biblioteca de reglas es el repositorio Github YaraRules. Este es un conjunto de reglas bajo la licencia GNU-GPLv2 mantenido por un gran grupo de expertos en seguridad, dividido por categorías y actualizado con frecuencia.
Reglas Snort. Las reglas de Snort son agrupadas, por lo general, en conjuntos de firmas que categorizan los incidentes. Así, encontraremos conjuntos de reglas asociadas a la detección de troyanos, a la detección de ataques de tipo buffer overflows, etcétera. Snort posee una sintaxis propia que permite especificar hasta el más mínimo detalle las condiciones que han de cumplirse para que un paquete sea asociado a las acciones indicadas por cada una de la reglas.
Reglas HXIOC. Las reglas HXIOC se basan en el formato OpenIOC creado originalmente por Mandiant. Es una codificación extensible en XML ya preparada para ser tratada por sistemas de información como, por ejemplo, sistemas de detección de intrusiones y cortafuegos avanzados (capaces de filtrar la capa de aplicación). Mandiant estandarizó OpenIOC y lo puso a disposición de la comunidad haciéndolo código abierto (“open source”) en 2011.
Reglas ClamAV. ClamAV® es un motor antivirus de código abierto (GPL) que se utiliza en una variedad de situaciones que incluyen escaneo de correo electrónico, escaneo web y seguridad de punto final. Proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y una herramienta avanzada para actualizaciones automáticas de bases de datos.
Ataque selectivo y organizado
Tal como ha comunicado FireEye, el ataque fue “altamente sofisticado, cuya disciplina, seguridad operativa y técnicas nos llevan a creer que fue un ataque patrocinado por un estado”... “el atacante apuntó y accedió a ciertas herramientas de evaluación del Equipo Rojo que usamos para probar la seguridad de nuestros clientes. Estas herramientas imitan el comportamiento de muchos actores de amenazas cibernéticas”. Es posible deducir, que del conocimiento de las herramientas robadas, se crearían nuevos métodos de defensa más específicos y por otro; crear o rediseñar estas mismas herramientas o similares para perpretar ataques diferentes más complejos y ocultando las actuaciones. En resumen, conociendo cómo es la arma de ataque, es más fácil preparar la defensa.
La misma compañía, como hemos visto en los párrafos anteriores, ha preparado contramedidas para que bloquen el uso de las herramientas del Equipo Rojo robadas. Una respuesta que tranquiliza, si es que este concepto existe en ciberseguridad, tanto a los clientes de FireEye como a otras compañías.
Las sospechas de Rusia
El New York Times, publicaba el día 8 de diciembre que los ataques podrían tener un origen ruso. La División Cibernética del FBI está explorando esta línea de investigación. En el artículo del periódico se recogen los pasos que se están dando a otros niveles como la intervención de agencias gubernamentales, no podía faltar la NSA y otras empresas como Microsoft.
(FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State)
No nos queda más que esperar si las contramedidas publicadas por FireEye tienen efecto y detectan e impiden los ataques. También es posible que apareceran modificaciones que realicen ofensas más contundentes. En definitiva, estaremos atentos, durmiendo con un ojo abierto, aunque no sea de fuego.
L. F. Real
No hay comentarios:
Publicar un comentario