Sacando A La Luz A Dark Halo de Ciberseguridad

Apr 4, 2021 | Sin categorizar

La Amenaza de Dark Halo 

Para entender mejor la amenaza de Dark Halo, vale la pena mencionar para poder entender la rutina de postura de seguridad que ha sido implementada hasta ahoraCasi todas las redes están con poquísima defensa contra la amenaza de determinados ciberataquesPara muchos negocios americanos, “lo suficientemente bueno” ha sido el mantra. Si un firewall está en su lugarun buen antivirus está instalado y las instalaciones por defecto de todos los componentes están bien hechas, entonces todo está bienPara una postura ligeramente mejoruna herramienta de monitoreo de red de SolarWinds es instalada de tal manera que la disponibilidad del servicio puede ser garantizada. 

Hasta ahorala mayoría de los ciberataques se deben a programación deficiente que ha sido diseñada para vulnerar exactamente uno o posiblemente dos defectos en el software. Una vulnerabilidad de seguridad PHP por aquí y otra vulnerabilidad IOS por allá han estado limitando la huella de un ciberataque a un pequeño puñado de víctimasLos triajes como los ataques limitan el impacto y costos del negocio. Ciertamentealgunos impactos más grandes han ocurrido con víctimas de ransomwareAun asíla esparción del ransomware ha sido limitada a un pequeño número de negociosTípicamentelas aseguradoras y negocios han tomado la postura que el ransomware explotó una vulnerabilidad común y archivos encriptados para demandar pago. Debido a que las vulnerabilidades eran relativamente comunes y la supervisión de la red era laxala falla ha sido típicamente puesta en la administración del negocio. Similarmenteel ataque Experian fue culpa de los incompetentes CIO que no tenían experiencia en IT. 

SolarWinds y otras empresas se enorgullecen de sí mismas de ofrecer un análisis profundo de las actividades de la red. Las amenazas que ocurren son expuestas y canalizadas por estas herramientas de monitoreo para ofrecer un nivel de inteligencia agregada en las operaciones de red colectivaCuando una posible amenaza de ransomware está en progresoel personal de operaciones de red puede responder rápidamente y eliminar la amenaza. 

 

 

Las Personas Detrás del Ataque 

Todos esto sirve como un telón de fondo bastante intenso contra el sofisticado y extremo ataque en más de 18,000 empresasAnalizando en detalles este ataqueuno puede casi imaginar que JIRA estuvo detrás de este ataqueEl grupo APT29 meticulosamente formaron su ataque para tener acceso a la red, extrayendo la información y limpiando todos los rastros de su ataqueAdemásel ataque fue tan sofisticado que los confiables métodos de Autenticación Multi Factor de Duo fueron utilizados sin dejar ningún rastroEsto significa que esas personas con alto nivel de inteligencia fueron usadas para crear el ataque en las redes de las víctimasSabiendo queesto no fue un éxito arrollador y fueron atrapados por un rufián de bajo niveleste ataque fue planeado un equipo con estilo de Oceans 11 que fue patrocinado por el gobierno de Putin. 

Analizando las revelaciones del componente de Duo y el nivel profundo de entendimiento que tienen los atacantes. 

Casi todos los protocolos de las federaciones usan criptografía,” manifestó nuestro Jefe de Desarrollo, Connor Peoples, “para validar la identidad de la autoridad de la federaciónCuando estas claves son guardadas seguramenteun token de autenticaciópuede be pasado en limpio porque la firma puede ser validada para probar que los contenidos no han sido manipulados.” 

En este caso,” Peoples continúa, “los atacantes tienen tenían la clave firmante la cual les permitió hacer su propia solicitud de autenticaciópor medio de OWA como si Duo lo hubiera hechoEn términos de SSO, esto probablemente habría venido como una solicitud iniciada por un proveedor de identidad en vez como una solicitud de servicio iniciado por el proveedor. Microsoft, siguiendo el protocolopudo validar la información de la sesión iniciada porque el secreto no era más secreto y había sido usado por una tercera parte maliciosaPor lo tantoDuo no tenía registros de la sesión y Microsoft validó la solicitud.” 

Esto quiere decir que el ataque contra Duo puede ser utilizado en donde sea. Esto no es realmente una fallaen sí mismaEl sistema trabajó tal como estaba diseñado para hacerlo y arquitectuadoDe nuevoel atacante había explotado una rutina que funciona exactamente como lo mencionamosPara defenderse contra tales amenazasnosotros debemos aumentar nuestro estándar de cuidado contra estas amenazas que son patrocinadas por el estadoLos sistemas de análisis de Tecnologías de Siriux permite una postura más elevada contra estos tipos de amenazas. 

 

¿Qué Se Puede Hacer Desde Aquí? 

Por lo tantola postura típica “suficientemente bueno” relacionada con la seguridad de la información es simplemente no tan suficientemente buenaLa posturcorrecta para defenderse contra ciber ataques de guerra es implementar un análisis de seguridad moderno y protocolos de remediación de amenazas que elevan la vigilancia en la defensa y amenazas al nivel que un administrador de redes puede entonces inmediatamente resolverlo. 

Dark Halo ha aumentado la seguridad por encima y más allá de todo lo que haya sido previamente considerado seguroLas redes corporativas y gubernamentales requieren de niveles profundos de análisis para probar y resolver contra las amenazas descubiertas anteriores y más recientesPara ir lo más lejos posibledebemos considerar que todas las acciones que un actor de una amenaza potencial puede tomarEsta postura de seguridad de información en el futuro será algo que debe ser incluido en la arquitectura para considerar a los actores de amenazas que son bien versados en arquitectura de sistemas. Para descifrar a este enemigodebemos utilizar niveles profundos de conocimiento que están a nuestro alcanceAl tomar la seguridad de la información seriamentela defensa de nuestros usuarios va más allá de Dark Halo. 

Los análisis de Siriux Technology se toman estas amenazas en serioAdemásesto les permite la transferencia de conocimiento necesaria para remediar y protegerse contra estas amenazas. 

 

Para ver como Siriux puede mejorar tu postura de seguridad, programa una demostración con nosotros.  

Jefferson Nunn

Jefferson Nunn

El desarrollo de Software no solo es mi trabajo sino mi pasión. Estoy orgulloso de mi mismo de trabajar duro y entregar los mejores resultados a tiempo, todas las veces. Tengo el conocimiento y experiencia necesaria para completar una gran variedad de proyectos complejos. Resido en Dallas, Texas con mi esposa y dos hijos y disfruto de las películas de Ciencia Ficción en mi tiempo libre.