Ataque a los servicios en la nube
La gran amenaza que representa el creciente ataque a los servicios en la nube
Paolo Passeri, Director de Ciberinteligencia, Netskope
Las estadísticas de Netskope Threat Labs muestran que en marzo de 2024 se batieron récords en cuanto a ataques a servicios en la nube legítimos por parte de actores de amenazas patrocinados por Estados y también con fines oportunistas. Por primera vez en el año 2024, más de la mitad de todo el malware enviado desde HTTP o HTTPS llegó desde un servicio en la nube legítimo, lo que supuso el récord de los últimos 10 meses.
Al mismo tiempo, los piratas han seguido diversificando el número de aplicaciones en la nube de las que se sirven con fines maliciosos, buscando nuevos servicios que utilizar además de los sospechosos habituales como Microsoft OneDrive, Microsoft SharePoint y GitHub, y lanzando sofisticadas campañas que se aprovechan de múltiples servicios legítimos a lo largo de la cadena de ataque.
Como resultado, el 59% del malware originado en la nube procedía de 235 aplicaciones distintas, la cifra más alta registrada hasta la fecha.
El ejemplo reciente de APT43
Un ejemplo de cómo muchos servicios en la nube legítimos pueden combinarse dentro de una cadena de ataque sofisticada y evasiva, y cómo son explotados por grupos patrocinados por Estados, es una campaña reciente dirigida contra personas surcoreanas que trabajan en el sector de la seguridad.
APT43 es un prolífico actor de amenazas vinculado a Corea del Norte y centrado en el ciberespionaje contra gobiernos, servicios empresariales, industrias manufactureras, educación y centros de investigación, así como grupos de expertos en política geopolítica y nuclear. Su interés se centra en Corea del Sur, Japón, Europa y Estados Unidos.
A pesar de estar focalizado en el ciberespionaje, el grupo también se dedica a la ciberdelincuencia como forma de financiar sus operaciones de espionaje.
Al igual que muchas campañas con objetivos concretos, el señuelo inicial de APT43 era una trampa de ingeniería social: una invitación por correo electrónico. Al parecer, procedía de la Embajada de Corea en China y contenía una solicitud para asistir a una reunión política a puerta cerrada.
La carga útil inicial, simulada en un documento del orden del día de la reunión, se entregaba a través de enlaces de Google Drive y Microsoft OneDrive incrustados en el cuerpo del correo electrónico, en dos variantes diferentes de la misma campaña.
El motivo oficial de esta campaña de phishing era eludir el Gran Cortafuegos de China, pero es bien sabido que alojar la carga maliciosa en un servicio de almacenamiento en la nube ofrece múltiples ventajas a los atacantes. No sólo se simplifican las tareas operativas y prácticamente no hay límite en el número de instancias que se pueden crear, sino que un servicio en la nube también supone una infraestructura resistente y una forma muy eficaz de ocultar el tráfico malicioso dentro de sesiones legítimas.
Se trata de una táctica evasiva que resulta aún más eficaz cuando los atacantes utilizan una cuenta legítima comprometida para hacer llegar la carga maliciosa. También es muy útil cuando la organización objetivo cumple con las prácticas recomendadas de algunos proveedores de servicios en la nube, que recomiendan eludir la inspección TLS. Se trata de una recomendación que hace imposible detectar cargas maliciosas dentro del tráfico legítimo.
En el caso de la campaña lanzada por APT43, la explotación de servicios legítimos no terminó con la entrega de la carga útil inicial. El motivo fue que otro conocido servicio legítimo, Dropbox, fue instrumentalizado para alojar y distribuir el malware Babyshark al final de esta campaña de varias fases.
Dropbox es particularmente eficaz porque proporciona un conjunto de API que sirven para múltiples propósitos: entregar malware pero también alojar la infraestructura de mando y control (C2) o la zona de entrega de los datos robados. Esta campaña es un claro ejemplo de cómo se pueden emplear varios servicios legítimos diferentes para proporcionar capas adicionales de evasión. Lamentablemente, existen muchas otras formas de aprovecharse de un servicio legítimo en una operación de ciberdelincuencia o de ciberespionaje.
Caso real del UNC1549 iraní
Los delincuentes pueden crear un número casi ilimitado de casos maliciosos utilizando un servicio en la nube legítimo. Además, distribuir y entregar no es la única forma en la que se puede explotar una plataforma legítima en la nube. Es más, alojar la infraestructura C2 en un servicio legítimo es otro escenario habitual, como ha quedado demostrado en una campaña que lleva activa desde enero de 2022.
Esta campaña tiene como objetivo las industrias aeroespacial, de aviación y defensa en Oriente Medio, y está siendo llevada a cabo por el actor de amenazas UNC1549, vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC).
En este caso, los atacantes emplearon 125 subdominios Azure C2 para alojar la infraestructura C2. La intención era hacer que fuera difícil diferenciar la actividad maliciosa del tráfico de red legítimo. La ubicuidad de la infraestructura Azure proporcionó una ventaja adicional a los atacantes porque, en algunos casos, los servidores estaban geolocalizados en los países objetivo (Israel y los EAU), lo que disimulaba aún más su actividad.
Los autores del ataque añadieron un nivel adicional de legitimidad a su campaña, utilizando nombres de dominio que incluían cadenas que parecían legítimas para sus víctimas. Esto implica países, nombres de organizaciones, idiomas o descripciones relacionadas con el sector al que se dirigen. Además, para registrar un dominio no es necesario disponer de un servicio en la nube, lo que facilita mucho las cosas a los atacantes y les proporciona formas adicionales de dar rienda suelta a su creatividad.
Cómo protegerse contra los ataques desde la nube
Las soluciones heredadas de protección web no se crearon para un Internet caracterizado por la nube. Se necesita una nueva política de seguridad para hacer frente con eficacia a este paisaje de amenazas. La protección contra los ataques a las aplicaciones en la nube debe apoyarse en los siguientes elementos:
• Educar: El usuario medio interactúa con 20 aplicaciones en la nube, por lo que debe ser educado en lo que constituye un uso responsable de las aplicaciones corporativas y personales en la nube.
• Inspeccionar: Todas las descargas HTTP y HTTPS deben inspeccionarse con la misma efectividad de seguridad, incluyendo todo el tráfico web y en la nube, para identificar y contener las conexiones C2 y también para evitar que el malware se infiltre en la red. Y ello con independencia de que el ataque se lance desde un dominio tradicional o desde un servicio legítimo en la nube de confianza.
• Configurar: Las políticas de seguridad deben adoptar un enfoque de confianza cero y bloquear las conexiones a aplicaciones en la nube o instancias de aplicaciones en la nube que no se utilicen en la organización, para reducir la exposición al riesgo únicamente aquellas aplicaciones e instancias que sean necesarias para la empresa.
• Armonizar: Garantizar que todas las defensas de seguridad compartan inteligencia y trabajen juntas para racionalizar las operaciones de seguridad.
Las técnicas más sofisticadas empleadas por los ciberdelincuentes, como las de APT43 y UNC1549, ponen de relieve la necesidad de una estrategia de seguridad sólida y adaptable. A medida que la explotación de los servicios en la nube siga creciendo, será esencial mantenerse vigilante y proactivo en las mejores prácticas de ciberseguridad para salvaguardar los datos y las infraestructuras críticas.
