Por: Rob Lefferts, vicepresidente corporativo de seguridad en Microsoft 365.
Esta es la publicación final de una serie de cuatro partes sobre el ciberataque del estado-nación NOBELIUM. En diciembre de 2020, Microsoft comenzó a compartir detalles con el mundo sobre lo que se conoció como el ciberataque de estado-nación más sofisticado de la historia. La serie de videos de cuatro partes de Microsoft «Decoding NOBELIUM» abre el telón sobre el incidente de NOBELIUM y cómo los cazadores de amenazas de clase mundial de Microsoft y de la industria se unieron para enfrentar el ataque de estado-nación más sofisticado de la historia. En esta última publicación, reflexionaremos sobre las lecciones aprendidas que se tratan en el cuarto episodio de la serie documental.
Los ataques del estado-nación son una amenaza seria y creciente a la que se enfrentan las organizaciones de todos los tamaños. Su objetivo principal es obtener una ventaja estratégica para su país, como robar secretos, recopilar inteligencia cibernética, realizar reconocimientos o interrumpir operaciones. Por lo general, estos esfuerzos los llevan a cabo actores patrocinados por el estado con gran experiencia y financiamiento, lo que los convierte en un adversario en particular desafiante contra el que defenderse.
NOBELIUM, un grupo vinculado a Rusia, es quizás más conocido por la violación generalizada de la cadena de suministro de SolarWinds. El incidente fue parte de una campaña aún mayor y más avanzada que se había llevado a cabo de manera silenciosa durante más de un año. A medida que se descubrieron los detalles de este ataque, quedó claro que era el ataque cibernético de estado-nación más sofisticado de la historia.
En el episodio final de nuestra serie «Decoding NOBELIUM», proporcionamos un informe posterior a la acción que explora los hallazgos de Microsoft y analiza las lecciones aprendidas.
NOBELIUM desplegó tácticas extensas
Comencemos por revisar las etapas clave del ataque.
La intrusión
Es fundamental comprender cómo NOBELIUM logró penetrar en los entornos. Al ir más allá del compromiso de la cadena de suministro, este actor también implementó muchas tácticas comunes, como la propagación de contraseñas o la explotación de las vulnerabilidades de los dispositivos sin parches para robar credenciales y obtener acceso a los sistemas. En última instancia, NOBELIUM aprovechó una amplia gama de técnicas para lograr la penetración y adaptó su conjunto de herramientas al entorno único de cada víctima para lograr sus objetivos.
La explotación
Una vez que NOBELIUM ingresó, siguieron el patrón típico de reconocimiento interno: descubrir las cuentas elevadas, averiguar qué máquinas estaban allí y crear un mapa sofisticado para comprender cómo alcanzar sus objetivos. Demostraron un amplio conocimiento de los entornos empresariales y los sistemas de ciberseguridad al evadir las defensas, enmascarar las actividades en los procesos habituales del sistema y ocultar el malware en muchas capas de código.
La exfiltración
Armados con una comprensión del entorno de su objetivo, NOBELIUM ejecutó su plan: obtener acceso a sus códigos fuente, recolectar correos electrónicos o robar secretos de producción.
NOBELIUM demostró paciencia y sigilo
El grupo NOBELIUM se movió de manera metódica para evitar ser atrapado. “Fueron tan deliberados y cuidadosos con lo que hicieron. No fue algo del tipo golpear y tomar lo que sea, donde entraron y tan solo aspiraron todo y huyeron», dijo la analista de seguridad Joanne del equipo de búsqueda del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) de Seguridad Digital y Resiliencia (DSR, por sus siglas en inglés) de Microsoft.
Llevó tiempo moverse sin ser detectados a través de las redes, recopilando información y obteniendo acceso a redes privilegiadas. Por ejemplo, deshabilitaron las soluciones de detección y respuesta de puntos finales (EDR, por sus siglas en inglés) de las organizaciones para que no fueran lanzadas al iniciar el sistema. NOBELIUM luego esperó hasta un mes para que las computadoras se reiniciaran en un día de parche y aprovechó las máquinas vulnerables que no habían sido parcheadas.
“El adversario mostró disciplina al agrupar todos los indicadores técnicos que alertarían sobre su presencia”, dijo John Lambert, Gerente General del Centro de Inteligencia de Amenazas de Microsoft. “El malware se llamaba de diferentes formas. Fue compilado de diferentes formas. Los dominios de mando y control que utilizarían diferían según la víctima. Mientras se movían de manera lateral dentro de una red de una máquina a otra, NOBELIUM se esforzó mucho en limpiar después de cada paso».
Prepararse para futuros ataques de estados-nación
Cuando los adversarios tienen tanto cuidado al ocultar sus actividades, puede ser necesario detectar muchas actividades en apariencia benignas en diferentes vectores reunidos para resaltar una técnica general.
“Para responder a un ataque como NOBELIUM, con su alcance, amplitud y sofisticación, necesitas tener visibilidad de varias entidades en todo tu estado digital”, explica Sarah Fender, Gerente de Programas del Grupo de Socios de Microsoft Sentinel. «Necesitas tener visibilidad de los datos de seguridad y los eventos relacionados con los usuarios y los puntos finales, la infraestructura, en las instalaciones y en la nube, y la capacidad de analizar esos datos con rapidez».
NOBELIUM aprovechó los usuarios y las credenciales como un vector crítico para la intrusión y la escalada. Los ataques basados en la identidad van en aumento. «Una vez que puedo autenticarme en tu entorno, ya no necesito malware, por lo que eso significa monitorear comportamientos», dice Roberto, consultor principal e investigador principal del equipo de detección y respuesta de Microsoft. “Al construir un perfil para cuando Roberto usa su máquina, accede a estos 25 recursos, hace este tipo de cosas y nunca ha estado en estos cuatro países. Si alguna vez veo algo que no se ajusta a ese patrón, necesito alertarlo».
En pocas palabras: asegúrense de proteger sus identidades.
Por último, si hemos aprendido algo, es que debemos cuidar de nuestros equipos de seguridad, en especial durante un incidente de ciberseguridad.
“La fatiga del defensor es algo real”, dice Lambert. “Tienes que poder invertir en esos defensores para que puedan aumentar cuando lo necesiten. La seguridad, como otras profesiones, no es solo un trabajo, también es una vocación. Pero también provoca fatiga y agotamiento si el golpe de tambor del incidente es demasiado fuerte. Debes tener reservas y planificar eso para poder apoyar a tus defensores y descansar entre incidentes».
Mientras nos preparamos para futuros ataques, todo se reduce a unir fuerzas.
“Cuando pienso en lo que significa este incidente en el futuro, refuerza la necesidad de que el mundo trabaje junto en estas amenazas”, explica Lambert. “Ninguna empresa lo ve todo y es muy importante, en especial con amenazas sofisticadas, poder trabajar de manera rápida con líneas de confianza establecidas. No se trata solo de que las empresas trabajen juntas, también se trata de personas que confían entre sí, empresas afectadas, empresas del sector de la seguridad e instituciones gubernamentales».
¿Cómo pueden proteger a su organización y a sus defensores?
Obtengan más información en el episodio final de nuestra serie de videos de cuatro partes «Decoding NOBELIUM», donde los profesionales de seguridad brindan información del informe posterior a la acción sobre NOBELIUM. Gracias por acompañarnos en esta serie y no olviden revisar las otras publicaciones de la serie:
- Cómo los atacantes de estado-nación como NOBELIUM han comenzado a cambiar la ciberseguridad
- La caza de NOBELIUM, el ataque más sofisticado de la historia de un estado-nación
- Detrás del esfuerzo sin precedentes para proteger a los clientes contra el ataque del estado-nación NOBELIUM
Microsoft se compromete a ayudar a las organizaciones a mantenerse protegidas de los ciberataques, ya sean ciberdelincuentes o estados-nación. De acuerdo con nuestra misión de brindar seguridad para todos, Microsoft utilizará nuestra inteligencia de amenazas líder y un equipo global de defensores de la ciberseguridad dedicados para asociarse en la industria de la seguridad y ayudar a proteger a nuestros clientes y al mundo. Algunos ejemplos recientes de los esfuerzos de Microsoft para combatir los ataques de estados nacionales incluyen:
- La investigación de la actividad en curso dirigida por NOBELIUM contra cuentas privilegiadas de proveedores de servicios para obtener acceso a clientes intermedios.
- El descubrimiento e investigación de septiembre de 2021 de un malware NOBELIUM denominado FoggyWeb.
- El perfil de mayo de 2021 del conjunto de herramientas de la etapa inicial de NOBELIUM de EnvyScout, BoomBox, NativeZone y VaporRage.
- Emitir más de 1,600 notificaciones a más de 40 empresas de TI para alertarlas sobre ataques de varios grupos de amenazas iraníes (de mayo a octubre, esas amenazas fueron del 10 al 13 por ciento del total de notificaciones).
- La incautación de sitios web operados por NICKEL, un actor de amenazas con sede en China, y la interrupción de los ataques en curso dirigidos a organizaciones en 29 países.
- La investigación del DEV-0343 vinculado a Irán, que realizó la fumigación de contraseñas centrada en las empresas de tecnología de defensa de Estados Unidos e Israel, los puertos de entrada del Golfo Pérsico y las empresas de transporte marítimo global con presencia comercial en el Medio Oriente.
Para soporte inmediato, visiten el Centro de Respuesta de Seguridad de Microsoft (MSRC, por sus siglas en inglés), donde pueden informar un problema y obtener orientación de los informes de seguridad más recientes y las publicaciones del blog del Centro de Respuesta de Seguridad de Microsoft.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen el blog de Seguridad a sus Favoritos para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
