Lectura oscura | Seguridad | Proteja el negocio



Cuando los equipos de inteligencia de seguridad hablan de errores humanos, la conversación normalmente se centra en la víctima de un ciberataque. ¿Qué podrían aprender si analizaran los errores de los atacantes?

En su investigación de un grupo rastreado como ITG18, también conocido como Charming Kitten and Phosphorous, un equipo de investigadores de seguridad de IBM X-Drive investigó los errores de seguridad operativa de los atacantes para revelar los detalles internos de cómo funciona el grupo y lanza ataques.

ITG18, asociado con las operaciones del gobierno iraní, tiene un historial de apuntar a víctimas de alto perfil, periodistas, científicos nucleares y personas involucradas en el desarrollo de la vacuna COVID-19. A finales de 2019, se vinculó a un ataque dirigido
una campaña presidencial de Estados Unidos A principios de ese año, Microsoft eliminó 99 sitios web que el grupo usaba para lanzar ataques de phishing.

«La forma en que definimos a este grupo es que se centran principalmente en el phishing y en las cuentas personales, aunque hay evidencia de que también pueden ir tras las cuentas corporativas», dice Richard Emerson, analista senior de caza de amenazas de IBM X-Power. Los investigadores estiman que es una «organización bastante considerable» en función de la cantidad de infraestructura que ha registrado Emerson señala que tienen unos 2.000 indicadores vinculados a este grupo solo en los últimos dos años.

Fue cuando el equipo estaba investigando un ataque a ejecutivos en una instalación de investigación de COVID-19 cuando tuvo «un gran avance» en el análisis de la actividad de ITG18, dice Allison Wikoff, analista sénior de ciberamenazas estratégicas de IBM X-Power. Los investigadores recopilan de forma rutinaria indicadores asociados con las operaciones de los atacantes Mientras el equipo investigaba la actividad de ITG18, encontraron errores en la configuración de la infraestructura de los atacantes, lo que generó una gran cantidad de información nueva.

«Cuando vimos este servidor abierto, recopilamos movies y exfiltramos información», continúa. «En el transcurso de los últimos 18 meses, hemos visto continuamente los mismos errores de este grupo». Estos errores tienen el doble efecto de resaltar los errores que cometen los adversarios y cómo esto les da una ventaja a los investigadores y defensores, agrega.

Entre la información que encontraron los investigadores se encontraban movies de capacitación utilizados dentro del grupo. Estos cubren específicamente cómo el grupo configura las cuentas de correo electrónico comprometidas para mantener el acceso, cómo los atacantes exfiltran los datos y cómo amplían los compromisos con la información robada. Los films ayudaron a los investigadores a obtener más información sobre las operaciones, pero los errores continuaron.

[Wikoff y Emerson discutirán sus hallazgos y mostrarán los videos de capacitación que descubrieron en una próxima reunión informativa de Black Hat USA ".El gatito que me encantó: las 9 vidas de un atacante del estado-nación, "el 4 y 5 de agosto]

Una de las marcas persistentes que hace ITG18 es la configuración incorrecta de sus servidores para dejar directorios listables, dice Emerson. Cuando alguien navega a la dirección IP o al dominio, puede ver los archivos sin autenticación. «Están abiertos al público, esencialmente, para que cualquiera los vea», señala.

El grupo almacena su información extraída en varios de estos servidores, donde cualquiera puede encontrar archivos archivados de gran tamaño que van desde 1 GB a 100-150 GB, y todo esto podría pertenecer a un solo individuo objetivo, agrega Emerson.

Los investigadores también han visto herramientas de almacenamiento de ITG18, algunas legítimas y otras personalizadas, en estos servidores mal configurados. Emerson y Wikoff apuntan al nuevo troyano de acceso remoto Android del grupo, que se utiliza para infectar a las víctimas que siguen a diario. Apodaron el código «LittleLooter». Tener acceso a esto, así como a sus otros hallazgos, ha ayudado al equipo de investigación a comprender mejor los aspectos tácticos de cómo funciona el grupo de ataque.

Qué pueden aprender los investigadores y los defensores
Los errores de ITG18 han ayudado a Emerson y Wikoff a pintar una imagen más detallada de cómo opera el grupo y a formular hipótesis sobre cómo será su actividad en el futuro. Los ataques no son tan sofisticados, señala Wikoff, y la investigación sugiere que es poco probable que evolucionen.

«Lo interesante de este grupo en particular es que las tácticas no han cambiado mucho en los cuatro o cinco años que hemos estado enfocados en él», dice. Otros han informado sobre servidores mal configurados de ITG18 en el pasado, por lo que es possible que los atacantes estén al tanto del problema pero no lo hayan abordado. Parece que al grupo no le importa abordar el error, no quiere cambiar su cadencia operativa o podría haber otro element en juego.

Si bien muchos consejos defensivos no son exclusivos de ITG18 [la autenticación multifactor es un gran impedimento para estos atacantes], este grupo es complicado porque se dirigen principalmente a los recursos personales, señala Wikoff.

«Tenemos información muy, muy personal sobre los lugares a los que la gente se ha ido de vacaciones, tenemos grabaciones de voz, toda esta información fue extraída de varias víctimas», dice. «Eso crea un perfil muy fuerte que se puede utilizar para futuras campañas de ingeniería social contra el individuo o la organización con la que trabaja».

Si bien las organizaciones son propietarias de los recursos personales de sus empleados, estos ataques podrían afectar la seguridad empresarial. Emerson aconseja a las empresas que consideren cómo podrían responder si un empleado se ve afectado por uno de estos ataques y cómo pueden capacitar a los empleados para que sean conscientes de las amenazas a las que se enfrentan.



Enlace a la noticia primary