El desvío del firewall de Cloud Snooper puede ser trabajo del estado nación

El desvío del firewall de Cloud Snooper puede ser trabajo del estado nación


Sophos, especialista en seguridad de última generación, reveló detalles de un nuevo ataque sofisticado conocido como Cloud Snooper, que permite que el malware en los servidores se comunique libremente con sus servidores de comando y control (C2) a través de los firewalls de sus víctimas, y puede haber sido desarrollado por una nación actor estatal

La técnica de ataque fue descubierta por el gerente de investigación de amenazas de SophosLabs Sergei Shevchenko mientras investigaba una infección de malware de algunos servidores en la nube alojados por AWS. Sin embargo, no es un ataque específico de AWS, sino que representa un método de llevar a cuestas Tráfico C2 en tráfico legítimo para pasar firewalls y filtrar datos.

Cloud Snooper utiliza tres tácticas, técnicas y procedimientos principales. (TTP) en tándem. Estos consisten en un rootkit para eludir los firewalls, una técnica rara para obtener acceso a los servidores mientras se disfraza de tráfico legítimo, esencialmente un lobo disfrazado de oveja, y una carga útil de puerta trasera que comparte el código malicioso entre los sistemas Windows y Linux. Cada uno de estos elementos se ha visto antes, pero nunca todos a la vez.

Deberías leer:   PreciTaste obtiene efectivo por tecnología que verifica la precisión de los pedidos de restaurantes – Tecno

«Esta es la primera vez que vemos una fórmula de ataque que combina una técnica de derivación con una carga útil multiplataforma dirigida a sistemas Windows y Linux», dijo Shevchenko.

“Los equipos de seguridad de TI y los administradores de red deben ser diligentes para parchar todos los servicios externos para evitar que los atacantes evadan las políticas de seguridad de la nube y el firewall.

“Los equipos de seguridad de TI también deben protegerse contra ataques multiplataforma. Hasta ahora, los activos basados ​​en Windows han sido el objetivo típico, pero los atacantes consideran con mayor frecuencia los sistemas Linux porque los servicios en la nube se han convertido en lugares de caza populares. Es cuestión de tiempo antes de que más ciberdelincuentes adopten estas técnicas «.

Deberías leer:   Resumen de Apple: las últimas noticias sobre iPhone 14, Apple Watch, HomePod, Mac mini y iPad

Shevchenko dijo que la complejidad del ataque y el uso del kit de herramientas de amenaza persistente avanzada (APT) a medida sugiere fuertemente que el malware y sus operadores están muy avanzados y posiblemente estén respaldados por un actor del estado nación.

Agregó que es posible, de hecho muy probable, que el paquete específico de TTP se filtre «hasta los peldaños más bajos» de la jerarquía ciberdelincuente, y eventualmente forme un plan para ataques generalizados de omisión de firewall.

«Este caso es extremadamente interesante, ya que demuestra la verdadera naturaleza multiplataforma de un ataque moderno», dijo Shevchenko.

«Es poco probable que un atacante bien financiado, competente y determinado se vea restringido por los límites impuestos por las diferentes plataformas: construir una infraestructura de servidor unificada que sirva a varios agentes que trabajan en diferentes plataformas tiene mucho sentido», agregó.

Shevchenko dijo que en términos de prevención contra este o ataques similares, mientras que los grupos de seguridad (SG) de AWS proporcionan un firewall de límites robusto para Instancias EC2, esto no elimina por sí solo la necesidad de que los administradores de red apliquen un parche completo a todos sus servicios externos.

Deberías leer:   ¿Cuál es el asteroide con más posibilidades de impactar sobre la Tierra? | Life

Agregó que la instalación predeterminada para el Servidor SSH También necesita pasos adicionales para endurecerlo, «convirtiéndolo en un demonio de comunicación sólido como una roca».

Sophos compartió varios pasos que los administradores proactivos deberían tomar. Esto incluye crear un inventario completo de todos los dispositivos conectados a la red y mantener actualizado su software de seguridad; servicios externos totalmente parcheados más allá de lo que Amazon o su servicio en la nube de elección podrían proporcionar; verificar y verificar dos veces todas las configuraciones en la nube; y habilite la autenticación multifactor en paneles de seguridad o paneles de control para detener a los atacantes que deshabilitan sus defensas, o al menos para que sea más difícil para ellos hacerlo.

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.