Llegamos a ustedes gracias a:



Alertas de Seguridad

Ciberespías rusos apuntan a los proveedores de servicios en la nube

Para abusar del acceso delegado

[27/10/2021] El grupo de hackers responsable del ataque a la cadena de suministro de software de SolarWinds ha seguido buscando formas de acceder indirectamente a las redes de las empresas, apuntando a los proveedores de servicios de TI y en la nube que tienen derechos de administración en los sistemas de sus clientes en virtud de su relación comercial.

En un nuevo informe de esta semana, Microsoft advierte que, desde mayo, el grupo conocido como Nobelium ha atacado a más de 140 revendedores de servicios en la nube y proveedores de tecnología, y ha logrado comprometer hasta 14. Nobelium, también conocido como APT29 o Cozy Bear, es considerado el brazo de hacking del servicio de inteligencia exterior ruso, el SVR.

"Esta actividad reciente es otro indicador de que Rusia está tratando de obtener un acceso sistemático a largo plazo a diversos puntos de la cadena de suministro de tecnología, y establecer un mecanismo para vigilar -ahora o en el futuro- objetivos de interés para el gobierno ruso", señaló Tom Burt, vicepresidente corporativo de Seguridad y Confianza del Cliente de Microsoft, en una entrada de blog.

Comprometer a uno para comprometer a muchos en la cadena de suministro

Los ataques a la cadena de suministro pueden adoptar muchas formas. Pueden consistir en actualizaciones de software troyanizadas, como en los incidentes de SolarWinds, CCleaner (Winnti), NetSarang (ShadowPad) o M.E.Doc (NotPetya); o pueden implicar el abuso del acceso privilegiado concedido a contratistas externos, socios comerciales o proveedores de servicios de TI. La brecha en las tarjetas de crédito de Target en el 2013 se remonta a las credenciales comprometidas de un subcontratista de HVAC. En los últimos años, muchos proveedores de servicios gestionados (MSP) de todo el mundo fueron objetivo de grupos de ransomware para abusar de su acceso a las redes corporativas.

Aunque los expertos en seguridad llevan tiempo advirtiendo de los riesgos de la cadena de suministro, las empresas se han quedado atrás a la hora de establecer los controles y la supervisión necesarios para detectarlos. Parte de la razón por la que estos ataques pueden ser un gran punto ciego, es porque la defensa contra ellos requiere una combinación de tecnologías, incluyendo inventarios actualizados de activos de TI y de software, análisis de registros, monitorización del comportamiento, tráfico de red y uso de credenciales, aplicación de los principios de mínimo privilegio para las cuentas y el software, autenticación multifactorial y más. No es tan fácil como poner un parche a una vulnerabilidad o desplegar la detección de malware en el punto final.

De hecho, la mayoría de los ataques de Nobelium que ha visto Microsoft no aprovechan ninguna vulnerabilidad. En su lugar, el grupo utiliza técnicas bien conocidas como el spear phishing, el robo de tokens de acceso, el abuso de APIs desprotegidas y el password spraying (es decir, probar contraseñas comunes con una lista de nombres de usuario presentes en el sistema). De hecho, un ataque exitoso a la cadena de suministro puede recopilar credenciales para otros ataques a la cadena de suministro.

En un caso, los investigadores de Microsoft rastrearon un ataque Nobelium a través de cuatro proveedores distintos antes de llegar a un cliente posterior. El grupo obtuvo acceso a un proveedor de servicios en la nube y lanzó un ataque de spear-phishing contra un MSP. Con las credenciales obtenidas del MSP saltaron a otro proveedor de servicios en la nube, donde explotaron una relación de confianza de AD Azure para acceder a un proveedor de TI y finalmente saltar a la red de la víctima final.

"Al robar las credenciales y comprometer las cuentas a nivel del proveedor de servicios, Nobelium puede aprovechar varios vectores potenciales; incluyendo, pero no limitado, a los privilegios administrativos delegados (DAP), y luego aprovechar ese acceso para extender los ataques descendentes a través de canales de confianza como VPNs de cara al exterior o soluciones únicas de proveedor-cliente que permiten el acceso a la red", advirtieron los investigadores en un aviso.

Los hackers son muy hábiles en la investigación y comprensión de las relaciones comerciales y de acceso entre varios proveedores de servicios, revendedores de suscripciones y sus clientes o socios. Las organizaciones que finalmente se ven comprometidas son cuidadosamente seleccionadas en función de su valor para los esfuerzos de recopilación de información.

"Microsoft evalúa que las organizaciones, como los proveedores de servicios en la nube y otras organizaciones tecnológicas que gestionan servicios en nombre de los clientes descendentes, serán de interés continuo para los actores de amenazas persistentes y corren el riesgo de ser atacados a través de una variedad de métodos, desde el acceso a credenciales hasta la ingeniería social dirigida a través de procesos y procedimientos comerciales legítimos", señaló la compañía.

Comportamientos y características de Nobelium

Según la empresa, los siguientes comportamientos y características son comunes a las intrusiones de Nobelium:

  • Nobelium aprovecha la infraestructura "anónima", que puede incluir servicios proxy de baja reputación, servicios de alojamiento en la nube y TOR, para autenticar a las víctimas.
  • Se ha observado a Nobelium aprovechando las capacidades de scripting; incluyendo, pero no limitándose, a RoadTools o AADInternals, para llevar a cabo la enumeración de Azure AD, lo que puede resultar en la autenticación con agentes de usuario de entornos de scripting.
  • Se ha observado que Nobelium se autentifica en cuentas de ubicaciones anómalas que podrían activar análisis de viajes imposibles o no pasar las políticas de acceso condicional desplegadas.
  • Se ha observado a Nobelium modificando Azure AD para permitir la persistencia a largo plazo y el acceso a información sensible. Esto puede incluir la creación de usuarios, el consentimiento de las aplicaciones de Azure AD, la concesión de roles a los usuarios y aplicaciones, y la creación de credenciales principales de servicio adicionales.
  • En un incidente, MSTIC observó el uso de Azure RunCommand, emparejado con Azure admin-on-behalf-of (AOBO), como técnica para obtener acceso a máquinas virtuales y cambiar el acceso de la nube a las instalaciones.
  • Nobelium ha demostrado un interés constante en atacar a los usuarios privilegiados, incluidos los administradores globales. La seguridad de las organizaciones de riesgo se ve reforzada en gran medida por la priorización de los eventos que se detectan en las cuentas privilegiadas.
  • A menudo se observa a Nobelium realizando actividades consistentes con la recopilación de inteligencia. La supervisión rutinaria de varias fuentes de registro en busca de anomalías consistentes con la exfiltración de datos puede servir como una alerta temprana para el compromiso.
  • Las organizaciones que ya han sido objetivo de Nobelium podrían experimentar una actividad recurrente y se beneficiarían de la implementación de una supervisión proactiva de nuevos ataques.

Cómo mitigar los ataques a la cadena de suministro de Nobelium

Microsoft ha publicado una guía específica para los socios y revendedores que operan en sus plataformas en la nube. Los requisitos de seguridad del Centro de Socios de Microsoft incluyen el uso de la autenticación multifactor y las políticas de acceso condicional para el acceso entre inquilinos, así como la supervisión del registro de actividad del Centro de Socios para cualquier actividad sospechosa de los usuarios, la creación de usuarios con altos privilegios y la asignación de roles, etc.

De forma más general, se aconseja a todos los socios que eliminen los privilegios administrativos delegados que ya no estén en uso. Los clientes finales proporcionan DAP a sus proveedores de servicios para que gestionen sus suscripciones en su nombre. Microsoft tiene previsto introducir una herramienta que ayudará a los socios a descubrir las conexiones DAP no utilizadas, así como a revisar cómo se utilizan sus conexiones DAP activas.

Los clientes de servicios en la nube también deben revisar, auditar y minimizar los privilegios de acceso y los permisos delegados que han concedido a los socios, así como revisar todas las cuentas de administrador y los dispositivos autorizados para el uso de MFA en esas cuentas.

"Además de utilizar las capacidades de privilegios administrativos delegados, algunos proveedores de servicios en la nube utilizan cuentas de empresa a empresa (B2B) o cuentas de administrador local en los inquilinos de los clientes", sostuvo Microsoft. "Recomendamos que identifique si sus proveedores de servicios en la nube utilizan estas cuentas y, en caso afirmativo, se asegure de que esas cuentas estén bien administradas y tengan acceso con los mínimos privilegios en su tenant". Microsoft desaconseja el uso de cuentas de administrador "compartidas"."

Los inicios de sesión de Azure AD y los cambios de configuración deben revisarse periódicamente a través de los registros de inicio de sesión de Azure AD, los registros de auditoría y el centro de cumplimiento de Microsoft 365. Las organizaciones deben entender las opciones de registro disponibles en sus plataformas en la nube, así como preguntar a los socios que gestionan dichos servicios para ellos sobre sus propias políticas de registro y uso.

Microsoft también ha publicado en GitHub detecciones y consultas de caza para Azure Sentinel, así como detecciones para Microsoft 365 Defender y Microsoft Cloud App Security que pueden utilizarse para detectar algunos de los comportamientos y técnicas asociados a los ataques a la cadena de suministro como los realizados por Nobelium.