Cómo las APT están logrando la persistencia a través de dispositivos de crimson, IoT y OT



La mayoría de las noticias sobre ataques de Net de las cosas (IoT) se han centrado en botnets y malware de criptominería. Sin embargo, estos dispositivos también ofrecen un objetivo suitable para organizar ataques más dañinos desde el interior de la crimson de la víctima, equivalent a la metodología utilizada por UNC3524. Descrito en un Informe obligatorio, UNC3524 es una nueva táctica inteligente que explota la inseguridad de los dispositivos de pink, IoT y tecnología operativa (OT) para lograr una persistencia a largo plazo dentro de una red. Es probable que este tipo de amenaza persistente avanzada (APT) aumente en el futuro cercano, por lo que es importante que las empresas comprendan los riesgos.

Un punto ciego crítico

Los dispositivos IoT y OT especialmente diseñados que están conectados a la crimson y no permiten la instalación de software de seguridad de punto remaining pueden verse fácilmente comprometidos y usarse para una amplia variedad de propósitos maliciosos.

Una de las razones es que estos dispositivos no se controlan tan de cerca como los dispositivos de TI tradicionales. Mi empresa descubrió que más del 80 % de las organizaciones no pueden identificar la mayoría de los dispositivos IoT y OT en sus redes. También existe confusión sobre quién es el responsable de gestionarlos. ¿Es TI, seguridad de TI, operaciones de pink, instalaciones, seguridad física o un proveedor de dispositivos?

En consecuencia, los dispositivos no administrados suelen tener vulnerabilidades de nivel alto y crítico y carecen de actualizaciones de firmware, refuerzo y validación de certificados. Mi empresa ha analizado millones de dispositivos de IoT, OT y de crimson que se implementan en grandes organizaciones, y hemos encontrado que el 70 % tiene vulnerabilidades con una puntuación del Sistema de puntuación de vulnerabilidad común (CVSS) de 8 a 10. Además, encontramos que El 50 % united states contraseñas predeterminadas y el 25 % está al remaining de su vida útil y ya no es compatible.

Comprometer y mantener la persistencia en IoT, OT y dispositivos de pink

En conjunto, todos estos problemas caen directamente en manos de los atacantes. Debido a que los dispositivos de red, IoT y OT no son compatibles con el software program de seguridad basado en agentes, los atacantes pueden instalar herramientas maliciosas especialmente compiladas, modificar cuentas y activar servicios dentro de estos dispositivos sin ser detectados. Luego pueden mantener la persistencia porque las vulnerabilidades y las credenciales no se administran y el firmware no se actualiza.

Puesta en escena de los ataques dentro del entorno de la víctima

Debido a la baja seguridad y visibilidad de estos dispositivos, son un entorno suitable para realizar ataques secundarios a objetivos más valiosos dentro de la crimson de la víctima.

Para hacer esto, un atacante primero ingresará a la crimson de la empresa a través de enfoques tradicionales como el phishing. Los atacantes también pueden obtener acceso apuntando a un dispositivo IoT orientado a Net, como un teléfono VoIP, una impresora inteligente o un sistema de cámara, o un sistema OT, como un sistema de command de acceso a edificios. Dado que la mayoría de estos dispositivos usan contraseñas predeterminadas, este tipo de violación suele ser trivial de lograr.

Una vez en la pink, el atacante se moverá lateralmente y sigilosamente para buscar otros dispositivos IoT, OT y de pink vulnerables y no administrados. Una vez que esos dispositivos se han visto comprometidos, el atacante solo necesita establecer un túnel de comunicación entre el dispositivo comprometido y el entorno del atacante en una ubicación remota. En el caso de UNC3524, los atacantes utilizaron una versión especializada de Dropbear, que proporciona un túnel SSH cliente-servidor y está compilado para operar en las variantes de Linux, Android o BSD que son comunes en esos dispositivos.

En este punto, el atacante puede controlar de forma remota los dispositivos de la víctima para ir tras TI, la nube u otros activos de dispositivos de red, IoT y OT. Es probable que el atacante utilice la comunicación de pink ordinary y esperada, como las llamadas API y los protocolos de administración de dispositivos, para evitar la detección.

Respuesta a incidentes de supervivencia

Los mismos problemas que hacen que los dispositivos de crimson, IoT y OT sean un lugar excellent para organizar ataques secundarios también los hacen adecuados para sobrevivir a los esfuerzos de respuesta a incidentes.

Una de las principales propuestas de valor de IoT, en particular, para los adversarios sofisticados es que el modelo complica significativamente la respuesta y remediación de incidentes. Es muy difícil acabar con los atacantes por completo si han establecido la persistencia en solo uno de los cientos o miles de dispositivos vulnerables no administrados que residen en la mayoría de las redes comerciales, incluso si el malware y los conjuntos de herramientas del atacante se eliminan por completo de la purple de TI de la empresa, comando Los canales de management y management se interrumpen, las versiones de software package se actualizan para eliminar las vulnerabilidades explotables anteriormente y los puntos finales individuales se reemplazan físicamente.

Cómo reducir el riesgo corporativo

La única forma en que las empresas pueden prevenir estos ataques es tener visibilidad completa, acceso y administración de sus dispositivos de pink, IoT y OT dispares.

La buena noticia es que la seguridad a nivel de dispositivo es fácil de lograr. Si bien surgirán constantemente nuevas vulnerabilidades, la mayoría de estos problemas de seguridad se pueden abordar mediante la administración de contraseñas, credenciales y firmware, así como mediante el fortalecimiento básico del dispositivo. Dicho esto, las empresas con una gran cantidad de dispositivos tendrán el desafío de protegerlos manualmente, por lo que las empresas deberían considerar invertir en soluciones automatizadas.

El primer paso que deben tomar las empresas es crear un inventario de todos los dispositivos especialmente diseñados e identificar las vulnerabilidades. A continuación, las empresas deben remediar los riesgos a escala relacionados con contraseñas débiles, firmware desactualizado, servicios extraños, certificados caducados y vulnerabilidades de nivel alto a crítico. Finalmente, las organizaciones deben monitorear continuamente estos dispositivos en busca de cambios ambientales para garantizar que lo que está arreglado permanezca fijo.

Estos son los mismos pasos básicos que siguen las empresas para los activos de TI tradicionales. Es hora de mostrar el mismo nivel de atención a los dispositivos de pink, IoT y OT.



Enlace a la noticia authentic