Las explotaciones de día cero cada vez más mercantilizadas, dicen los investigadores

Según Kathleen Metrick, Parnian Najafi y Jared, el acceso y la explotación de vulnerabilidades «válidas» de día cero demuestran cada vez más que los actores de amenazas tienen acceso al dinero en lugar de las habilidades de piratería. Semrau de FireEye Threat Intelligence.

Cero días – fallas en el firmware, hardware o software desconocidos por los responsables de parchearlo o repararlo – pueden referirse a vulnerabilidades en sí mismas o ataques con días cero entre el descubrimiento de la vulnerabilidad y el primer ataque registrado que la explota.

En una nueva investigación publicada esta semana, FireEye dijo que había documentado más explotaciones de día cero en 2019 que en los tres años anteriores, y aunque no todos los ataques se pueden atribuir a un grupo conocido y rastreado, parece haber una gama más amplia de actores rastreados. han obtenido acceso a estas capacidades.

Los investigadores dijeron que habían visto un aumento significativo, con el tiempo, en el número de días cero aprovechados por actores de amenazas que sospechan que son «clientes» de empresas privadas que ofrecen capacidades cibernéticas ofensivas a los gobiernos o agencias de aplicación de la ley.

Deberías leer:   Infinix Hot 9, Infinix Hot 9 Pro se lanzará en India hoy a las 12 del mediodía: especificaciones esperadas

«Suponemos que el acceso a las capacidades de día cero se está convirtiendo cada vez más en un producto basado en la proporción de días cero explotados en la naturaleza por clientes sospechosos de empresas privadas», dijeron.

«Es probable que las empresas privadas creen y suministren una mayor proporción de días cero que en el pasado, lo que da como resultado una concentración de capacidades de día cero entre los grupos de altos recursos.

«Las compañías privadas pueden proporcionar cada vez más capacidades ofensivas a grupos con una capacidad general más baja y / o grupos con menos preocupación por la seguridad operativa, lo que hace más probable que se observe el uso de días cero».

Los investigadores agregaron: «Es probable que los grupos estatales continúen apoyando el descubrimiento y desarrollo de exploits internos. Sin embargo, la disponibilidad de días cero a través de empresas privadas puede ofrecer una opción más atractiva que confiar en soluciones nacionales o mercados subterráneos.

“Como resultado, esperamos que el número de adversarios que demuestren acceso a este tipo de vulnerabilidades casi seguramente aumente y lo hará a un ritmo más rápido que el crecimiento de sus capacidades cibernéticas ofensivas generales, siempre que tengan la capacidad y la voluntad de gastar los fondos necesarios «.

Deberías leer:   Guía de compra de computadoras portátiles: qué buscar en 2020 y qué evitar

Como ejemplo, FireEye se refirió a una serie de ataques con malware desarrollado por Grupo NSO, un proveedor de capacidades de inteligencia cibernética (o spyware) con sede en Israel, aparentemente para agencias gubernamentales.

Uno de los grupos de crimen cibernético más prolíficos, conocido como Stealth Falcon o FruityArmour, ha estado atacando ampliamente a periodistas y activistas políticos en todo el Medio Oriente usando malware vendido por NSO que aprovechó tres días cero de Apple iOS. FireEye dijo que este grupo había usado más días cero que cualquier otro entre 2016 y 2019.

Se sospecha que otro cliente de NSO, denominado SandCat, está vinculado a la inteligencia estatal uzbeka, y también ha estado utilizando herramientas desarrolladas por NSO contra objetivos en el Medio Oriente.

FireEye también observó ejemplos de exploits de día cero que no fueron atribuidos a grupos rastreados, pero que parecen estar utilizando herramientas desarrolladas por compañías de seguridad ofensivas. Estos incluyen una vulnerabilidad de desbordamiento de búfer en 2019 en WhatsApp (CVE-2019-3568) que se utilizó para distribuir spyware desarrollado por NSO, mientras que la actividad estaba dirigida a un organismo de salud ruso que utilizaba una vulnerabilidad Adobe Flash 2018 (CVE-2018-15982) se puede vincular con el código fuente filtrado desarrollado en Hacking Team, un proveedor italiano de herramientas cibernéticas intrusivas, que de nuevo suele venderse a los gobiernos y las fuerzas del orden.

Deberías leer:   13 razones por qué, oscuro y más: guía de televisión de junio de 2020 para Netflix, Disney + Hotstar y Prime Video

Mientras tanto, los grupos vinculados al estado, incluidos el APT3 de China, el APT37 de Corea del Norte y el APT28 de Rusia y Turla, parecen estar desarrollando una mayor capacidad para explotar los cero días muy poco después de su divulgación.

«En múltiples casos, los grupos vinculados a estos países han podido crear vulnerabilidades e incorporarlas en sus operaciones, con el objetivo de aprovechar la ventana entre la divulgación y la aplicación de parches», dijo el equipo de investigación.

Investigación completa de FireEye se puede leer en línea aquí.

Dejar respuesta

Please enter your comment!
Please enter your name here