Sacando A La Luz A Dark Halo de Ciberseguridad

La Amenaza de Dark Halo 

Para entender mejor la amenaza de Dark Halo, vale la pena mencionar para poder entender la rutina de postura de seguridad que ha sido implementada hasta ahora. Casi todas las redes están con poquísima defensa contra la amenaza de determinados ciberataques. Para muchos negocios americanos, “lo suficientemente bueno” ha sido el mantra. Si un firewall está en su lugar, un buen antivirus está instalado y las instalaciones por defecto de todos los componentes están bien hechas, entonces todo está bien. Para una postura ligeramente mejor, una herramienta de monitoreo de red de SolarWinds es instalada de tal manera que la disponibilidad del servicio puede ser garantizada. 

Hasta ahora, la mayoría de los ciberataques se deben a programación deficiente que ha sido diseñada para vulnerar exactamente uno o posiblemente dos defectos en el software. Una vulnerabilidad de seguridad PHP por aquí y otra vulnerabilidad IOS por allá han estado limitando la huella de un ciberataque a un pequeño puñado de víctimas. Los triajes como los ataques limitan el impacto y costos del negocio. Ciertamente, algunos impactos más grandes han ocurrido con víctimas de ransomware. Aun así, la esparción del ransomware ha sido limitada a un pequeño número de negocios. Típicamente, las aseguradoras y negocios han tomado la postura que el ransomware explotó una vulnerabilidad común y archivos encriptados para demandar pago. Debido a que las vulnerabilidades eran relativamente comunes y la supervisión de la red era laxa, la falla ha sido típicamente puesta en la administración del negocio. Similarmente, el ataque Experian fue culpa de los incompetentes CIO que no tenían experiencia en IT. 

SolarWinds y otras empresas se enorgullecen de sí mismas de ofrecer un análisis profundo de las actividades de la red. Las amenazas que ocurren son expuestas y canalizadas por estas herramientas de monitoreo para ofrecer un nivel de inteligencia agregada en las operaciones de red colectiva. Cuando una posible amenaza de ransomware está en progreso, el personal de operaciones de red puede responder rápidamente y eliminar la amenaza. 

Las Personas Detrás del Ataque 

Todos esto sirve como un telón de fondo bastante intenso contra el sofisticado y extremo ataque en más de 18,000 empresas. Analizando en detalles este ataque, uno puede casi imaginar que JIRA estuvo detrás de este ataque. El grupo APT29 meticulosamente formaron su ataque para tener acceso a la red, extrayendo la información y limpiando todos los rastros de su ataque. Además, el ataque fue tan sofisticado que los confiables métodos de Autenticación Multi Factor de Duo fueron utilizados sin dejar ningún rastro. Esto significa que esas personas con alto nivel de inteligencia fueron usadas para crear el ataque en las redes de las víctimas. Sabiendo que, esto no fue un éxito arrollador y fueron atrapados por un rufián de bajo nivel, este ataque fue planeado un equipo con estilo de Oceans 11 que fue patrocinado por el gobierno de Putin. 

Analizando las revelaciones del componente de Duo y el nivel profundo de entendimiento que tienen los atacantes. 

“Casi todos los protocolos de las federaciones usan criptografía,” manifestó nuestro Jefe de Desarrollo, Connor Peoples, “para validar la identidad de la autoridad de la federación. Cuando estas claves son guardadas seguramente, un token de autenticación puede be pasado en limpio porque la firma puede ser validada para probar que los contenidos no han sido manipulados.” 

“En este caso,” Peoples continúa, “los atacantes tienen tenían la clave firmante la cual les permitió hacer su propia solicitud de autenticación por medio de OWA como si Duo lo hubiera hecho. En términos de SSO, esto probablemente habría venido como una solicitud iniciada por un proveedor de identidad en vez como una solicitud de servicio iniciado por el proveedor. Microsoft, siguiendo el protocolo, pudo validar la información de la sesión iniciada porque el secreto no era más secreto y había sido usado por una tercera parte maliciosa. Por lo tanto, Duo no tenía registros de la sesión y Microsoft validó la solicitud.” 

Esto quiere decir que el ataque contra Duo puede ser utilizado en donde sea. Esto no es realmente una falla, en sí misma. El sistema trabajó tal como estaba diseñado para hacerlo y arquitectuado. De nuevo, el atacante había explotado una rutina que funciona exactamente como lo mencionamos. Para defenderse contra tales amenazas, nosotros debemos aumentar nuestro estándar de cuidado contra estas amenazas que son patrocinadas por el estado. Los sistemas de análisis de Tecnologías de Siriux permite una postura más elevada contra estos tipos de amenazas. 

¿Qué Se Puede Hacer Desde Aquí? 

Por lo tanto, la postura típica “suficientemente bueno” relacionada con la seguridad de la información es simplemente no tan suficientemente buena. La postura correcta para defenderse contra ciber ataques de guerra es implementar un análisis de seguridad moderno y protocolos de remediación de amenazas que elevan la vigilancia en la defensa y amenazas al nivel que un administrador de redes puede entonces inmediatamente resolverlo. 

Dark Halo ha aumentado la seguridad por encima y más allá de todo lo que haya sido previamente considerado seguro. Las redes corporativas y gubernamentales requieren de niveles profundos de análisis para probar y resolver contra las amenazas descubiertas anteriores y más recientes. Para ir lo más lejos posible, debemos considerar que todas las acciones que un actor de una amenaza potencial puede tomar. Esta postura de seguridad de información en el futuro será algo que debe ser incluido en la arquitectura para considerar a los actores de amenazas que son bien versados en arquitectura de sistemas. Para descifrar a este enemigo, debemos utilizar niveles profundos de conocimiento que están a nuestro alcance. Al tomar la seguridad de la información seriamente, la defensa de nuestros usuarios va más allá de Dark Halo. 

Los análisis de Siriux Technology se toman estas amenazas en serio. Además, esto les permite la transferencia de conocimiento necesaria para remediar y protegerse contra estas amenazas. 

Para ver como Siriux puede mejorar tu postura de seguridad, programa una demostración  con nosotros.