A principios de abril, discutimos
el ataque ShadowHammer en las computadoras port谩tiles Asus como un ejemplo de una campa帽a de malware que utiliza una cadena de suministro. Los ataques a la cadena de suministro son de particular inter茅s para los investigadores y un peligro particular para las empresas precisamente porque comprometen canales de comunicaci贸n confiables. Comprar una computadora que ya est谩 infectada de alguna manera, piratear un subcontratista con acceso a los recursos corporativos del cliente, distribuir una versi贸n infectada del software desde el sitio oficial del desarrollador son ejemplos t铆picos de ataques a una cadena de proveedores.
A煤n m谩s grave puede ser el problema cuando la v铆ctima es una empresa que le brinda servicios de infraestructura de TI remotos o servicios de desarrollo de software e implementaci贸n de sistemas de TI. Subcontratar estas tareas a terceros es una pr谩ctica com煤n. La semana pasada, se supo sobre el ataque a la compa帽铆a india Wipro, un importante proveedor de servicios de TI. Primero, el periodista independiente Brian Krebs escribi贸 sobre el compromiso de la red corporativa de Wipro, y luego la informaci贸n se confirm贸 en la propia empresa (
noticia ,
art铆culo de Brian).
Wipro es un gran proveedor de servicios de TI con una facturaci贸n de $ 8 mil millones al a帽o y decenas de miles de clientes en todo el mundo, incluidas empresas y agencias gubernamentales de renombre. El n煤mero de empleados supera los 170 mil. Ejemplos de proyectos mencionados en los medios: implementaci贸n de un sistema ERP, actualizaci贸n de la infraestructura para el procesamiento de p贸lizas de seguro m茅dico, implementaci贸n de sistemas de atenci贸n al cliente. Los proyectos complejos de este nivel requieren un amplio acceso para los representantes de la empresa a la red corporativa de clientes.
Se desconoce qu茅 sucedi贸 de manera confiable en la compa帽铆a en marzo de 2019: el periodista Brian Krebs se basa en fuentes an贸nimas del lado de los clientes de Wipro, y la compa帽铆a en s铆 no revela detalles en sus declaraciones. Excepto por uno: el phishing se convirti贸 en el m茅todo inicial para penetrar en la red corporativa de la empresa. Al parecer, los atacantes lograron acceder a la computadora de uno de los empleados de la compa帽铆a, que luego se utiliz贸 para atacar a otros empleados. El software leg铆timo ScreenConnect se us贸 para el control remoto de dispositivos finales; seg煤n una fuente que particip贸 en la investigaci贸n, se encontr贸 en cientos de computadoras que ten铆an acceso tanto a la red interna de Wipro como a la infraestructura de los clientes de la compa帽铆a. Tambi茅n se utiliz贸 la utilidad Mimikatz, un programa gratuito para extraer contrase帽as en computadoras con Windows.
Pero esto es seg煤n fuentes "an贸nimas". Oficialmente, en un
comentario al India Times, los representantes de Wipro solo reconocieron el 茅xito del ataque de phishing y anunciaron la contrataci贸n de expertos independientes para llevar a cabo la investigaci贸n. M谩s tarde, durante las negociaciones con los inversores (seg煤n Krebs), un representante de la compa帽铆a describi贸 el incidente como un "ataque de d铆a cero".
Las fuentes de Krebs insin煤an que no hubo nada complicado en este ataque. R谩pidamente (en varias semanas) se rastre贸 debido al hecho de que los atacantes comenzaron a usar el acceso reci茅n obtenido a la infraestructura de la compa帽铆a para el fraude con tarjetas de regalo de cadenas minoristas. Las personas con intenciones serias, que no cambian por tales peque帽eces, podr铆an permanecer sin ser detectadas por mucho m谩s tiempo.
Al menos en un campo p煤blico, la reacci贸n de Wipro al incidente fue, por decirlo suavemente, no ideal: no reconocieron el problema durante mucho tiempo, no proporcionaron detalles del ataque, hicieron declaraciones contrarias (phishing, luego ziro-dei). La m谩xima transparencia posible en la divulgaci贸n de informaci贸n sobre incidentes cibern茅ticos se convierte no solo en la norma 茅tica para los negocios, sino que tambi茅n se convierte gradualmente en un requisito legislativo en muchos pa铆ses. De una forma u otra, al menos un cliente de la compa帽铆a eligi贸 bloquear el acceso a sus propios sistemas de TI a todos los empleados de Wipro hasta que se complete la investigaci贸n. La propia organizaci贸n india est谩 trabajando para introducir un correo electr贸nico corporativo m谩s seguro.
Para los ataques de la cadena de suministro, una descripci贸n detallada del ataque y una evaluaci贸n sobria del da帽o hecho son especialmente importantes. No es para que los medios escriban sobre esto, es importante que los clientes de la compa帽铆a afectada entiendan lo que sucedi贸 y qu茅 pasos deben tomarse para protegerse. Un estudio reciente
muestra que en aproximadamente la mitad de los casos, los atacantes intentan utilizar la infraestructura pirateada de una empresa para atacar a otras organizaciones.
Para protegerse contra tales ataques, vale la pena reevaluar el grado de confianza en las empresas de servicios de terceros. Un ejemplo es el incidente con los servicios de correo electr贸nico de Microsoft la semana pasada (
noticias ). La compa帽铆a envi贸 proactivamente recomendaciones para cambiar la contrase帽a de algunos usuarios de los servicios de correo electr贸nico Outloook, Hotmail y MSN. Al final result贸 que, los atacantes piratearon la cuenta de una de las contrapartes que proporcionan servicios de soporte t茅cnico a los usuarios. Dichas contrapartes no tienen acceso a las contrase帽as de los buzones, pero pueden ver parte del contenido: temas de mensajes, direcciones de encuestados, listas de carpetas de correo. En algunos casos, seg煤n el sitio web de Motherboard, los atacantes pueden acceder al contenido de las cartas. Aunque el acceso de los atacantes estaba bloqueado, es imposible evaluar cu谩ntos datos ten铆an en sus manos y c贸mo se utilizar谩n en el futuro.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posici贸n oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opini贸n con escepticismo saludable.