‘DarkVishnya’: cuando un pincho USB se carga la seguridad de varias redes bancarias

Un pequeño dispositivo enchufado a un ordenador puede ser suficiente para comprometer una red bancaria. Es lo que ha sucedido en al menos ocho entidades financieras en varios países del este de Europa, según un informe de la compañía rusa de seguridad informática Kaspersky Lab. Nuevamente, la ingeniería social y la proliferación de dispositivos cada vez más pequeños y potentes fueron las claves para el éxito de este ciberataque.

Los daños, valorados en “decenas de millones de dólares”, tuvieron como denominador común la existencia de dispositivos físicos instalados en ordenadores con acceso a las redes internas de las entidades. “En algunos casos, se localizaron en la oficina central, en otros, en una oficina regional, e incluso a veces el alguna oficina ubicada en otro país”, dice el informe.

Los ataques, que han sido agrupados bajo la denominación de “DarkVishnya”, tuvieron lugar gracias a que una o varias personas instalaron dispositivos enchufados directamente a las redes de los bancos. Estos aparatos pudieron ser bien un netbook o portátil pequeño y barato, bien una Raspberry Pi, o bien un Bash Bunny, un dispositivo con apariencia de pincho USB diseñado específicamente para cargar ‘software’ malicioso en un ordenador.

La existencia de estos dispositivos físicos en los sistemas de los bancos fue descubierta por un dato clave: existía una diferencia entre el número de máquinas conectadas al sistema y el número de autorizaciones. Es decir, había más máquinas que permisos. Incluso en algunos casos tuvieron que rastrear para dar con algún dispositivo malicioso siguiendo los cables, comentó uno de los investigadores de la firma, Sergey Golovanov, en declaraciones a CyberScoop.

En todos los casos, el ‘modus operandi’ parecía ser siempre el mismo. En primer lugar, alguien tenía que ir en persona a la oficina o edificio del banco para conectar el dispositivo a la red local. Los investigadores creen que los ciberintrusos se hicieron pasar por mensajeros o incluso por solicitantes de empleo. Una vez dentro, lograron conectar los dispositivos en puertos USB accesibles, por ejemplo, en un terminal en una de las salas de reuniones. La idea es que pudiese confundirse con el entorno y quedar camuflado.

Una vez ‘enganchado’ el dispositivo, los intrusos podían escanear la red local para obtener acceso a las carpetas compartidas públicas, servidores web y cualquier otro recurso abierto. En este caso, el objetivo era recopilar información sobre la red, los servidores y los puestos de trabajo que se utilizaban para realizar pagos.

Tal y como explica a Público Dani Creus, analista senior de ciberseguridad de Kaspersky, “este dispositivo comienza a mapear la red que está en su mismo ámbito, de modo que abre una puerta trasera y van buscando en esa red otros puntos vulnerables, en lo que llamamos movimiento lateral: saltar de máquina en máquina hasta encontrar aquélla que sea más jugosa para los atacantes”.

De este modo, los atacantes utilizaron de forma remota los dispositivos plantados para buscar datos abiertamente disponibles relacionados con credenciales de inicio de sesión y pagos, según el informe. Y pusieron en marcha técnicas evasivas para ocultar su presencia en las redes de los bancos. Aparentemente, utilizaron una forma de ejecutar comandos sin usar archivos que pudieran activar ‘software’ defensivo, además de disfrazar sus dispositivos para que se vieran como ordenadores “desconocidos”, unidades flash externas y hasta teclados.

Un ataque con este tipo de vector —un dispositivo físico que se enchufa a una red interna—, en principio, es algo de entrada complejo por la sencilla razón de que el ciberatacante tiene que ir físicamente a plantar el apartao elegido. “Siempre hay un riesgo”, apunta Creus, “pero es más probable que se dé un ataque por otras vías, tipo ‘phishing’ (mediante un correo electrónico falso) o a través de alguna vulnerabilidad en el sistema ‘online’ que teniendo acceso directo a una infraestructura bancaria”.

No obstante, algunos de los más conocidos ataques potencialmente muy destructivos contra infraestructuras críticas (como el caso del gusano Stuxnet, que comenzó su infección de un modo similar), o más recientemente Olympic Destroyer, contra los servidores de la organización de los Juegos Olimpicos de invierno de Pyeongchang 2018 (Corea del Sur), evidencian la posibilidad de que este tipo de vector de infección es perfectamente factible, especialmente en aquellos sistemas aislados y que no tengan salida directa a la red.

“Eso sí, todo dependerá del control físico de acceso que tenga la compañía o la entidad objetivo del ataque, y de lo bueno que sea el atacante en ingeniería social” [es decir, en engañar a la víctima], recuerda Creus. Y ése es, precisamente, el principal punto débil para este ataque.

“No sé si yo consideraría esta vía como el vector de contagio más peligroso, ya que tenemos más evidencias de que hay más ataques por correo electrónico”, comenta el experto, que añade: “Sí es verdad que, a la hora de investigar, es más complicado de gestionar, ya que buscar el ‘paciente cero’ de la infección, el origen, es más difícil si se produce desde un dispositivo que, en principio, no está inventariado y no sabemos donde está”.

Fuente: publico.es






Calendario

agosto 2019
L M X J V S D
« Jul    
 1234
567891011
12131415161718
19202122232425
262728293031