El objetivo de las APT
En los últimos tres meses, la principal actividad de los agentes de Amenazas Persistentes Avanzadas, APT, se ha centrado en los ataques a la cadena de suministro y exploits de día cero.
La introducción de una puerta trasera que comprometió el software para monitorización de infraestructuras, Orion IT de SolarWinds, afectó a las redes de más de 18.000 clientes, mientras que una vulnerabilidad en Microsoft Exchange Server llevó a nuevas campañas en Europa, Rusia y Estados Unidos. Estas son algunas de las conclusiones más importantes del informe sobre APT correspondiente al primer trimestre de 2021 de Kaspersky.
Los actores de amenazas APT cambian continuamente sus tácticas, perfeccionan sus herramientas y lanzan nuevas oleadas de actividad. Por eso, para mantener a los usuarios y a las organizaciones informados sobre las amenazas a las que se enfrentan, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) proporciona informes trimestrales sobre los desarrollos más importantes en el panorama de las amenazas persistentes avanzadas. Este último trimestre, tomaron nota de dos grandes oleadas de actividad.
La primera fue impulsada al verse comprometido el código de SolarWinds, proveedor de servicios gestionados de TI, y su plataforma de software Orion IT para la supervisión de infraestructuras de TI. Esto llevó a la instalación de una puerta trasera personalizada conocida como Sunburst en las redes de más de 18.000 clientes. Muchos de ellos eran grandes empresas y organismos gubernamentales de Norteamérica, Europa, Oriente Medio y Asia.
Tras un examen más detallado, los investigadores de Kaspersky encontraron similitudes con otra puerta trasera previamente identificada como Kazuar, descubierta por primera vez en 2017 y vinculada presuntamente al grupo APT Turla. Esto sugiere que los atacantes detrás de Kazuar y Sunburst podrían estar relacionados de alguna forma.
La segunda oleada de actividad se originó por exploits de día cero, ya parcheados, en Microsoft Exchange Server. A principios de marzo, un nuevo actor de APT conocido como HAFNIUM fue descubierto aprovechando estos exploits para lanzar una serie de "ataques limitados y dirigidos". Durante la primera semana de marzo, aproximadamente 1.400 servidores únicos fueron atacados, la mayoría en Europa y Estados Unidos. Algunos de ellos, incluso varias veces, lo que indica que fueron varios los grupos que estaban utilizando las vulnerabilidades. De hecho, a mediados de marzo, descubrimos otra campaña que usaba estos mismos exploits dirigidos a Rusia y que mostraba algunos vínculos con HAFNIUM, así como con grupos de actividad previamente conocidos que Kaspersky ha estado investigando.
Asimismo, se informó de un nuevo grupo de actividad del grupo APT Lazarus, que también utilizaba exploits de día cero. Esta vez, el grupo utilizó la ingeniería social para convencer a los investigadores de seguridad de que descargaran un archivo de proyecto de Visual Studio comprometido o para atraer a las víctimas a su blog, tras lo cual se instalaba un exploit de Chrome. Los señuelos solían girar en torno a los ataques de día cero y se orientaban a robar investigaciones sobre vulnerabilidades. La primera oleada se produjo en enero y la segunda en marzo, a la que se sumó una nueva de perfiles falsos en redes sociales y una empresa falsa para engañar eficazmente a las víctimas previstas.
Tras un examen más detallado, los investigadores de Kaspersky observaron que el malware utilizado en la campaña coincidía con ThreatNeedle, un backdoor desarrollado por Lazarus y visto recientemente dirigido a la industria de la defensa a mediados de 2020.
Otra interesante campaña de exploits de día cero -denominada TurtlePower- se ha visto dirigida a entidades gubernamentales y de telecomunicaciones en Pakistán y China y se cree que está vinculada con el grupo BitterAPT. El origen de la vulnerabilidad, ahora parcheada, parece estar relacionado con "Moses", un broker que ha desarrollado al menos cinco exploits en los últimos dos años, algunos de los cuales han sido utilizados tanto por BitterAPT como por DarkHotel.
"Quizás la mayor conclusión del último trimestre es lo destructivos que pueden ser los ataques a la cadena de suministro. Es probable que pasen varios meses antes de que se conozca el alcance total del ataque de SolarWinds. La buena noticia es que toda la comunidad de seguridad está hablando ahora de este tipo de ataques y de lo que podemos hacer al respecto. Lo ocurrido en estos tres primeros meses del año también nos ha recordado la importancia de parchear los dispositivos lo antes posible. Los exploits de día cero seguirán siendo una forma muy eficaz y habitual para que los grupos APT comprometan a sus víctimas, incluso de forma sorprendentemente creativa, como ha demostrado la reciente campaña de Lazarus", comenta Ariel Jungheit, investigador de seguridad senior de GReAT.