Los intentos de los ciberdelincuentes de amenazar los sistemas de TI evolucionan constantemente. Por ejemplo, entre las técnicas que vimos este año, vale la pena señalar la
introducción de código malicioso en miles de sitios de comercio electrónico para robar datos personales y usar LinkedIn para instalar spyware. Además, estas técnicas funcionan: el daño de los delitos cibernéticos en 2018 alcanzó los
$ 45 mil millones .
Los investigadores de X-Force Red de IBM han desarrollado una verificación de concepto (PoC) que podría ser el próximo paso en la evolución del delito cibernético. Se llama
buque de guerra y combina métodos técnicos con otros métodos más tradicionales.
Cómo funciona el buque de guerra
Warshipping utiliza una
computadora asequible, económica y de baja potencia para ejecutar ataques de forma remota cerca de la víctima, independientemente de la ubicación de los ciberdelincuentes. Para hacer esto, por correo ordinario en forma de paquete, se envía un pequeño dispositivo que contiene un módem con una conexión 3G a la oficina de la víctima. Tener un módem significa que el dispositivo se puede controlar de forma remota.
Gracias al chip inalámbrico incorporado, el dispositivo busca redes cercanas para rastrear sus paquetes de red. Charles Henderson, jefe de X-Force Red en IBM, explica: "Tan pronto como vemos que nuestro" buque de guerra "llega a la puerta principal de la víctima, a la sala de correo o al sitio de descarga de correo, ya podemos controlar el sistema de forma remota y ejecutar herramientas pasivas o un ataque activo por la red inalámbrica de la víctima ".
Ataque de buque de guerra
Tan pronto como el llamado "buque de guerra" está físicamente dentro de la oficina de la víctima, el dispositivo comienza a escuchar paquetes de datos a través de la red inalámbrica, que puede usar para penetrar en la red. También escucha los procesos de autorización del usuario para conectarse a la red Wi-Fi de la víctima y envía estos datos al ciberdelincuente a través de la comunicación celular para que pueda descifrar esta información y obtener la contraseña de Wi-Fi de la víctima.
Con esta conexión inalámbrica, un atacante ahora puede moverse por la red de la víctima, buscar sistemas vulnerables, datos disponibles y robar información confidencial o contraseñas de usuario.
Una amenaza con gran potencial.
Según Henderson, este ataque puede convertirse en una amenaza interna oculta y efectiva: es económico y no es difícil de implementar, y la víctima también puede pasar desapercibido. Además, un atacante puede organizar esta amenaza desde lejos, estando a una distancia considerable. En una serie de empresas donde se realiza un gran volumen de correspondencia y paquetes diariamente, es bastante fácil no darse cuenta o no prestar atención a un paquete pequeño.
Uno de los aspectos que hace que el buque de guerra sea extremadamente peligroso es que puede evitar la protección de correo electrónico que la víctima tiene para prevenir el malware y otros ataques que se propagan a través de archivos adjuntos.
Protección empresarial contra esta amenaza
Dado que en este caso estamos hablando de un vector de ataque físico sobre el cual no hay control, podría parecer que no hay nada que pueda detener esta amenaza. Este es uno de esos casos donde no funcionará la precaución al trabajar con el correo electrónico y la desconfianza de los archivos adjuntos en los correos electrónicos. Sin embargo, hay soluciones que pueden detener esta amenaza.
Los equipos de gestión provienen del propio buque de guerra. Y esto significa que este proceso es externo al sistema de TI de la organización.
Las soluciones de seguridad de la información detienen automáticamente cualquier proceso desconocido en el sistema de TI. Conectarse al servidor de control de un atacante usando este "buque de guerra" es un proceso que no se conoce para la
solución de seguridad, por lo tanto, dicho proceso se bloqueará y el sistema permanecerá seguro.
Por el momento, el buque de guerra es solo una verificación de concepto (PoC), y no se usa en ataques reales. Sin embargo, el trabajo constante de los ciberdelincuentes significa que en un futuro cercano este método puede convertirse en realidad.