En 2009, vimos el comienzo de ataques de alto perfil realizados por un grupo que usó el troyano conocido como Hydraq (Aurora). El equipo de Symantec Security Response ha estado monitoreando los ataques que este grupo ha realizado durante los últimos tres años de forma consistente, los cuales se han dirigido a diversas industrias. Los ataques han utilizado un gran número de exploits de día cero, no sólo contra la empresa objetivo, sino que también tienen en la mira a las empresas de la cadena de suministros que abastecen a dicha empresa. Estos ataques son sistemáticos y reutilizan componentes de una infraestructura denominada "Plataforma Elderwood". El término "Elderwood" viene de la comunicación utilizada en algunos ataques. Esta plataforma de ataque les permite aprovechar rápidamente los exploits de día cero. La metodología de ataque siempre ha utilizado correos electrónicos de spear phishing, pero ahora estamos observando una mayor adopción de ataques tipo watering hole (que comprometen a ciertos sitios web que vayan a ser visitados por la empresa que es blanco del ataque).
Esta campaña realizada por este grupo se denomina como "Proyecto Elderwood".
Las vulnerabilidades serias de día cero que son aprovechadas libremente y afectan a un software de uso generalizado son poco comunes; aproximadamente ocho en 2011. Sin embargo, en los últimos meses se ha visto que cuatro de dichas vulnerabilidades fueron utilizadas por los atacantes Elderwood. Aunque hay otros atacantes que aprovechan los exploits de día cero (por ejemplo, los ataques Sykipot o Nitro), no hemos visto a ningún otro grupo utilizar tantos. El número de exploits de día-cero usados indica el acceso a un alto nivel de capacidad técnica. Aquí mostramos algunos de los exploits que se han usado recientemente:
(CVE-2012-0779)
Es probable que los atacantes hayan obtenido el acceso al código fuente para algunas aplicaciones de uso generalizado, o hayan realizado ingeniería inversa sobre las aplicaciones compiladas con el objeto de descubrir estas vulnerabilidades. Al parecer, el grupo tiene un suministro ilimitado de vulnerabilidades de día cero. Las vulnerabilidades se utilizan según las diferentes necesidades, habitualmente en forma sucesiva si la exposición de la vulnerabilidad actualmente utilizada es inminente.
Los objetivos principales identificados están dentro de la cadena de suministro de defensa, la mayoría de los cuales no son empresas con sistemas de protección de alto nivel. Estas empresas fabrican componentes electrónicos o mecánicos que se venden a otras organizaciones con sistemas de seguridad mucho más avanzados. Los atacantes esperan que aparezcan marcos de seguridad más débiles en estas organizaciones menos preparadas y utilizar a estos fabricantes como escalón para acceder a los contratistas que poseen sistemas de defensa de máximo nivel; u obtener la propiedad intelectual utilizada en la producción de partes. La siguiente ilustración muestra algunas de las industrias que forman parte de la cadena del suministro de defensa.
Blancos por sector
Uno de los vectores de infección en donde observamos un incremento sustancial, denominado ataque tipo watering hole, es un claro cambio en el método de operación del grupo atacante. El concepto del ataque es similar al de un depredador que espera en un oasis (watering hole en inglés) en el desierto. El depredador sabe que las víctimas finalmente tendrán que acercarse al oasis por agua, de modo que en lugar de salir a cazar, espera que sus víctimas vengan a él. De manera similar, los atacantes encuentran un sitio web que atiende a un público en particular, incluido el público objetivo. Habiendo identificado este sitio web, es hackeado por los atacantes utilizando una variedad de métodos. Luego, los atacantes inyectan una amenaza en páginas públicas del sitio web esperando que sean visitadas por su objetivo. Se ve afectado cualquier visitante susceptible a la amenaza y se instala un troyano backdoor en su computadora. Hasta la fecha, Se han utilizado tres exploits de de día cero: CVE-2012-0779, CVE-2012- 1875 y CVE-2012-1889, dentro de un período de 30 días para instalar troyanos backdoor desde sitios web afectados. El aumento en el uso de esta técnica de ataque requiere que los atacantes examinen una cantidad de información robada mucho más grande que en un ataque dirigido mediante un mensaje de correo electrónico, porque el número de víctimas afectadas por un ataque de infiltración Web será mucho mayor.
Figure 2. Web injection process used in watering hole attacks
Proceso de inyección Web utilizado en los ataques tipo “watering hole”
Los fabricantes que se encuentran en la cadena de suministro deben tener cuidado con los ataques que provienen de subsidiarias, socios comerciales y empresas asociadas porque pueden verse afectados y ser utilizados como escalón para acceder al verdadero objetivo. Las empresas deben prepararse para una nueva serie de ataques en 2013, particularmente en el caso de las empresas que se han visto afectadas en el pasado y que han logrado deshacerse de los atacantes. El conocimiento que han ganado los atacantes en sus ataques anteriores los ayudará en sus ataques futuros.
La investigación de Symantec detalla los vínculos entre varios exploits utilizados por este grupo de ataque, su método para dirigirse a las organizaciones y la Plataforma Elderwood. Esto también pone en perspectiva la continua evolución y capacidad de resistencia de las organizaciones detrás de los ataques dirigidos.