Etiqueta: FireEye

Así operaba el grupo de Hackers iraní llamado APT33

FireEye dio a conocer los detalles de un grupo de hackers iraní con capacidades potenciales de destrucción, al que FireEye ha designado como APT33.

Los análisis de FireEye revelan que APT33 ha llevado a cabo operaciones de ciber-espionaje desde al menos 2013 y probablemente trabaje para el gobierno de Irán. Esta información viene de investigaciones recientes por los consultores de FireEye Mandiant incident Response combinados con análisis de FireEye iSIGHT Threat Intelligence que descubrieron información de las operaciones, capacidades y motivaciones potenciales del APT33.

 

Objetivos

APT33 ha apuntado a organizaciones (a lo largo de múltiples industrias) con sede en Estados Unidos, Arabia Saudita y Corea del Sur, el grupo ha mostrado particular interés en organizaciones en el sector de aviación involucrados tanto en el sector militar como comercial, así como organizaciones en el sector energético con lazos a producción petroquímica.

Desde mediados de 2016 hasta inicios de 2017, APT33 comprometió a una organización en el sector de aviación de Estados Unidos y apuntó a un conglomerado de negocios localizado en Arabia Saudita ligado con la aviación. Durante el mismo periodo el grupo también atacó una empresa surcoreana de refinación de petróleo y petroquímicos. En mayo de 2017 APT33 atacó una organización de Arabia Saudita y un conglomerado de negocios de Corea del Sur usando un archivo malicioso que intentó atraer víctimas con vacantes de trabajo en una empresa petroquímica de Arabia Saudita.

Los analistas de FireEye creen que el ataque a la organización de Arabia Saudita pudo ser un intento de ganar conocimiento de los rivales regionales, mientras que el ataque a las empresas surcoreanas puede deberse a las sociedades de Corea del Sur con la industria petrolera de Irán, así como las relaciones de Corea del Sur con empresas de petroquímica de Arabia Saudita. APT33 pudo haber atacado a estas organizaciones como resultado del deseo de Irán de expandir su propia producción petroquímica y mejorar su competitividad dentro de la región.

 

Spear Phishing

El grupo envió una avanzada de fraude electrónico (spear phishing) en correos a empleados cuyos trabajos estuvieron relacionados con la industria de aviación, estos correos incluían señuelos de reclutamiento y contenían enlaces a archivos de aplicaciones HTML maliciosos. Los archivos contenían descripciones de puesto y enlaces a publicaciones de empleos legítimas en sitios de empleo populares que serían relevantes para los individuos objetivo.

En algunos casos, los operadores de APT33 dejaron en los valores por defecto de la superficie del módulo de phishing. Estos parecen ser errores ya que minutos después de enviar los correos con los valores, el grupo envió nuevos correos a los mismos destinatarios con los valores removidos.

 

Enmascarando Dominios

APT33 registró múltiples dominios enmascarados como compañías de aviación de Arabia Saudita y organizaciones occidentales que tienen sociedades para brindar capacitación, mantenimiento y soporte para la flota militar y comercial de Arabia Saudita. Basados en los patrones observados de los ataques, parece que APT33 usó estos dominios para los correos del spear phishing para atacar a las organizaciones víctimas.

 

Lazos adicionales refuerzan la atribución a Irán

El ataque de APT33 a las organizaciones involucradas en aviación y energía hace que se alinee con los intereses de la nación-estado, implicando que el actor de la amenaza es seguramente patrocinado por el gobierno. Esto a la par con los tiempos de las operaciones, que coinciden con las horas de trabajo en Irán, y el uso de múltiples herramientas de hackers iraníes, y los nombres de los servidores refuerzan la estimación de FireEye de que el APT33 es probable que haya operado de parte del gobierno de Irán.

John Hultquist, Director de Análisis de Ciber Espionaje en FireEye, agregó que “Irán ha demostrado repetidamente una voluntad para aprovechar globalmente estas capacidades de ciber espionaje. Su agresivo uso de esta herramienta, combinado con cambios geopolíticos, subrayan el peligro que APT33 representa para gobiernos e intereses comerciales en Medio Oriente y a lo largo del mundo. Identificar este grupo y su capacidad destructiva presenta una oportunidad para las organizaciones detectar cualquier asunto relacionado con estas amenazas proactivamente”.

 

Nota de Prensa.

El 96% de las empresas sufrieron ataques de malware en sus sistemas

FireEye da a conocer algunas recomendaciones puntuales para prevenir brechas de seguridad en la adopción de sistemas, para de esta forma poder construir un ecosistema de defensa completo dentro de la infraestructura de una organización, bajo el entendido que actualmente las violaciones de seguridad son inevitables.

Según explicó Robert Freeman, vicepresidente para Latinoamérica de FireEye, de acuerdo con un estudio el 96% de las implementaciones de defensa fueron violadas en empresas de los más variados segmentos, el 27% de las infecciones correspondieron a malware avanzados, lo que hace que las organizaciones de seguridad concentren más recursos en la construcción de sus defensas y en el desarrollo de un plan de respuesta para contrarrestar a los atacantes que ignoran estos factores.

“Ante ese panorama, nosotros recomendamos visualizar que en escenario de amenaza necesita desarrollar una estrategia detallada de respuesta a incidentes, la cual requiere tres pasos fundamentales: detección, respuesta (propia) y experiencia para la ejecución”. “Estos recursos son combinados con la práctica constante del equipo de trabajo, que también debe aplicar métricas múltiples para medir el grado de funcionamiento. A partir de esta visibilidad, se realizan los ajustes para que se tenga más éxito en el próximo incidente, y en el próximo, y en el siguiente, y así hacia adelante”, agregó Freeman.

Al observar muchos casos, FireEye ha concluido que aun cuando las organizaciones tengan definido, en papel, un excelente plan de respuesta a incidentes, lamentablemente no lo aplican en la realidad. “Este plan no puede ser tan solo un manual guardado en un cajón, al contrario, es una estrategia acordada por todos la cual puede y debe evolucionar a lo largo del tiempo, así como debe ser ensayada con frecuencia y ser puesta inmediatamente en práctica al descubrir que hay un invasor en la red, con el propósito de minimizar los daños, no solo a la infraestructura sino a la marca y a los clientes”.

Para FireEye, un plan de respuesta bien ejecutado comprende seis componentes fundamentales dentro de una organización. Por eso, antes de ser puesto en práctica, estos aspectos deben ser evaluados y contemplados en el plan de respuesta:

Gobernanza: La estructura organizacional debe estar alineada con la organización global de negocios y declarado en la misión. La política y la orientación de seguridad son claras y protegen los sistemas críticos, y debe compartirse la información entre entidades internas y externas.

Comunicación: Mecanismos y procesos que promueven un comportamiento eficaz de informaciones entre las entidades externas.

  • Visibilidad: Tecnologías y procesos que mantienen a las organizaciones conscientes de las actividades que ocurren en sus sistemas y redes, así como los métodos por los cuales el equipo de respuesta a incidentes informáticos (CIRT por sus siglas en inglés) continúa siendo consciente de la amenaza y utiliza esa comprensión para defender la infraestructura crítica.
  • Inteligencia: Las capacidades de inteligencia de amenazas cibernéticas permiten una comprensión detallada del adversario, como capacidades técnicas e intensión. Informa y mejora el plan de seguridad, gestión de vulnerabilidades y respuesta de incidentes.
  • Respuesta: Proceso y tecnologías que el equipo de respuesta a incidentes informáticos usa para identificar, categorizar, investigar y remediar los eventos adversos de seguridad.
  • Métricas: Medidas objetivas de eficiencia de las personas, procesos y tecnología a utilizar, un sistema que puede ser fácilmente rastreado y automatizado. Estas métricas focalizadas en respuesta a incidentes están ligadas a las metas globales del negocio y seguridad. Los objetivos implican la conducción de la mejora continua.
  • N de P.

Diez medidas para evitar ataques disruptivos

FireEye informó que desde 2013, el grupo FIN10 tenía como principal objetivo extorsionar financieramente casinos y organizaciones de minería en América del Norte, siendo Canadá el principal foco. De acuerdo con los investigadores de FireEye, estas operaciones de intrusión pretenden el robo de datos corporativos, archivos, registros, correspondencia y claves de seguridad. En algunos casos ha solicitado el rescate en Bitcoins por un equivalente desde alrededor de $125,000 y hasta $600,000 dólares.

Responder a los incidentes como los observados del FIN10, es un reto para las empresas de todo el mundo, ya que no se puede prever cuál será el plano de contención para detener a este atacante, ya que no se sabe cuál es la motivación o el daño ya causado por él. Para ayudar a las organizaciones con estos incidentes, FireEye dio a conocer diez lecciones aprendidas a partir de la observación del FIN10:

 

1. Asegúrese de que exista una brecha: Asegúrese del que el sistema fue realmente hackeado. Las tentativas de extorsión son comunes, por eso, examine el ambiente antes de considerar el pago de rescate. El FIN10, por ejemplo, acostumbra proporcionar datos como prueba de que hubo una invasión y ayuda a determinar que sean suyos.

 

2. Su adversario es un humano: Recuerde que los seres humanos son imprevisibles y pueden actuar con emociones. Considere, con cuidado, cómo un atacante puede reaccionar sobre su acción o inacción (puede ser más agresivo en caso de que se sienta amenazado) o puede conceder más tiempo si cree en usted.

 

3. El tiempo es crítico: Es preciso validar la violación rápidamente, lo que exigirá esfuerzo de todo el equipo, incluyendo periodos fuera del horario normal, como noches o fines de semana, lo cual puede generar cansancio y fatiga. Además de la aprobación de cambios de emergencia en cortos periodos de tiempo.

 

4. Permanezca enfocado: Las distracciones están latentes y usted está contra reloj. Por eso evalúe las tareas que ayuden a mitigar, detectar y responder para contener un ataque. Concéntrese no en lo que deba tener (los llamados “must-have”) sino a la inversa, en lo que sería bueno tener (los “nice-to-have”) y considere la implementación de soluciones temporales para detener esta invasión.

 

5. Evalúe a los atacantes cuidadosamente: Un ciberatacante no espera respuestas, así que considere sus respuestas, limite sus interacciones y sea cauteloso con sus palabras. Tenga un apoyo jurídico en todas sus comunicaciones.

 

6. Involucre a especialistas antes de la violación: Serán necesarios especialistas de tres áreas a priori: forense, jurídico y relaciones públicas, al obtener confirmación de una violación disruptiva. Por eso es importante ya tenerlos y mantenerlos sobre aviso.

 

7. Considere todas las opciones cuando el rescate sea pedido: Sea consciente de que el pago de rescate no garantiza que su atacante le devolverá todos los datos robados, de ahí la importancia de incluir especialistas para evaluación de escenarios y toma de decisiones.

 

8. Asegure la segmentación y controle sus respaldos: La mayor parte de las empresas no cuenta con políticas cautelosas de respaldos, para recuperarlos rápidamente en caso de una falla del sistema. Por lo tanto, es común que el respaldo esté en el mismo ambiente invadido y comprometido por el atacante. De esa forma se tendrá el riesgo de la destrucción de los mismos.

 

9. Después del incidente enfóquese en mejoras de seguridad: Sea cual sea el resultado, debe garantizar que los atacantes no regresen y dañen más su ambiente. Usted no querrá que un segundo invasor lo visite porque está dispuesto a pagar un rescate. Asegúrese que ha entendido cómo funciona una extensión de brechas de seguridad e implemente tácticas y acciones estratégicas para prevenir accesos de futuros atacantes.

 

10. Si usted piensa que están fuera, pueden volver de una manera diferente: No olvide el funcionamiento y la mejora del tiempo de implementación de soluciones inmediatamente después de contener el ataque. Garantice pruebas de conducta del “red team” con evaluaciones para validar los controles de seguridad e identificación de vulnerabilidades, con el fin de arreglarlos rápidamente.

 

N. de P.

FireEye detecta ciberespionaje organizado con intereses vietnamitas

La Firma de Ciberseguridad FireEye, informó que con operaciones identificadas desde 2014, el grupo APT32 hace intrusiones contra compañías extranjeras de varios sectores, gobiernos e incluso periodistas, a través de un solo conjunto de malware.

El espionaje económico es una amenaza real a empresas que buscan expandirse a otros países y sirve como motivación para grupos de hackers como el APT32, que es responsable de operaciones patrocinadas por el gobierno local contra el sector privado en Vietnam.

La amenaza descubierta por investigadores de FireEye, las acciones fueron con la intención de servir como una base para aplicación de la ley, robo de propiedad intelectual y medidas anticorrupción que pudieran poner fin a las ventajas competitivas de las organizaciones objetivo. Gobiernos y periodistas también eran blanco de este grupo que continúa amenazando el activismo político y la libertad de expresión en el sureste de Asia y el sector público alrededor del mundo.

Desde su comienzo en 2014, el APT32 ha estado realizando operaciones segmentadas que están en línea con los intereses del gobierno vietnamita, a través de un conjunto integrado de malware, de acuerdo al estimado de FireEye, que además apunta al prestigio de riesgo para compañías que tienen o están preparadas para hacer negocios e inversiones en el país.

Perfil de los ataques

Las intrusiones fueron identificadas en empresas extranjeras con intereses en los sectores de manufactura, productos de consumo y hotelería en Vietnam, así como organizaciones en sectores de la infraestructura de seguridad de red, la infraestructura de tecnología periférica y consultoras de relaciones con inversionistas extranjeros.

Cómo ocurre el ataque

Los responsables por el APT32 han usado varias técnicas innovadoras, con rastreo, monitoreo de distribución y establecimiento de mecanismos persistentes de phishing.

Despliegue de malware distintivo, con capacidad para desplegar recursos y personalizar una serie de backdoors, son desplegados. Creando documentos de atracción en múltiples idiomas, hechos para víctimas específicas, APT32 entrega archivos adjuntos maliciosos vía emails de phishing. Cuando son abiertos, los archivos de atracción despliegan mensajes de error falsos intentando confundir a los usuarios.

Finalmente, la firma señala que el ataque se completa después de acceder, entonces el APT32 borra las entradas de eventos regulares en la bitácora y ofusca las herramientas en el framework, también crea tareas programadas como mecanismos de persistencia para las backdoors del sistema infectado.

 

55 vulnerabilidades ha corregido Microsoft, tres de ellas explotadas por rusos

La prioridad de los administradores del sistema es abordar los dos parches de Microsoft Office porque abordan dos vulnerabilidades que los ciberespías han explotado en los últimos dos meses.

Según los investigadores de FireEye, la vulnerabilidad CVE-2017-0261 ha sido explotada desde finales de marzo por una banda no identificada de atacantes financieramente motivados y por un grupo ruso de ciberespionaje llamado Turla.

También conocido como Snake o Uroburos, el grupo Turla ha estado activo desde al menos 2007 y ha sido responsable de algunos de los ataques de ciberespionaje más complejos hasta la fecha. Sus objetivos son por lo general entidades gubernamentales, agencias de inteligencia, embajadas, organizaciones militares, instituciones académicas y grandes corporaciones.

Las explotaciones CVE-2017-0261 se produjeron en forma de documentos de Word con contenido EPS malicioso incrustado que se distribuyeron por correo electrónico.

Más tarde, en abril, investigadores de FireEye y ESET descubrieron una campaña diferente de ciberespionaje explotando la segunda vulnerabilidad de Microsoft Office relacionada con EPS que fue remendada el martes: CVE-2017-0262. Esos ataques se remontan a un grupo ruso de ciberespionaje conocido en la industria de seguridad como APT28, Fancy Bear o Pawn Storm.

APT28 es el grupo acusado de hackear al Comité Nacional Demócrata estadounidense el año pasado durante las elecciones presidenciales. La selección de objetivos del grupo a lo largo de los años ha reflejado los intereses geopolíticos de Rusia, lo que ha llevado a muchos investigadores a creer que el APT28 está vinculado al Servicio de Inteligencia Militar Ruso.

A pesar de que la vulnerabilidad de CVE-2017-0262 EPS fue técnicamente resuelta, los usuarios que instalaron las actualizaciones de Microsoft Office lanzadas en abril no tuvieron problema ya que estaban protegidos contra este malware. Esto se debe a que las actualizaciones deshabilitaron el filtro EPS en Office como medida de defensa en profundidad, aseguraron los investigadores de Microsoft.

Los administradores del sistema también deben priorizar las actualizaciones de seguridad de este mes para Internet Explorer y Edge, ya que corrigen vulnerabilidades críticas que podrían explotarse visitando sitios web maliciosos.

Por último, los usuarios de los productos anti-malware de Microsoft, incluyendo Windows Defender y Microsoft Security Essentials, deben asegurarse de que su motor esté actualizado a la versión 1.1.13704.0. Las versiones anteriores contienen una vulnerabilidad muy crítica que puede ser fácilmente explotada por los atacantes para tomar el control completo de los equipos.

Redacción

 

 

 

 

Se revelan las estrategias del grupo de hackers patrocinado por el gobierno ruso

El Departamento de Seguridad Interna de Estados Unidos y el FBI dieron a conocer el pasado 29 de diciembre un informe y análisis conjunto que confirma la larga investigación pública realizada por FireEye, el cual indica que el grupo APT28 es responsable por operaciones extensivas en apoyo a los intereses estratégicos rusos, principalmente los relacionados con defensa y geopolítica.

De acuerdo con Laura Galante, directora de inteligencia contra amenazas de FireEye, el contenido del informe revela mucho más de la posición política asumida por Rusia durante las elecciones presidenciales norteamericanas en 2016, que culminaron con la victoria del candidato republicano Donald Trump.

“Ahora el punto más importante es comprender cómo son ejecutadas las operaciones llevadas por Rusia para alterar información – incluyendo intrusiones y ataques – con el objetivo de debilitar instituciones, gobiernos y demás actores que, de acuerdo con la percepción del gobierno ruso, constriñen y condenan sus actividades”, comentó.

91844362
91844362

 

Activo desde 2007, el grupo APT28 ganó mayor relevancia en los últimos dos años al realizar actividades de intrusión. “Las operaciones destinadas a las elecciones americanas son apenas el último ejemplo de una capacidad poco comprendida que ya fue utilizada contra la OTAN (Organización del Tratado del Atlántico Norte), el gobierno alemán, organizaciones de medios e individuos clave”, concluyó Laura Galante, de FireEye.

 

El malware y las tácticas de APT28

Se utiliza un conjunto de malware con características indicativas de los planos de grupo para operaciones continuas, bien como acceso de grupo a recursos y desarrolladores calificados, realizados con ayuda de un framework modular, ambiente de código formal y capacidad de incorporar análisis de resultados.

Estas herramientas utilizadas para llevar a cabo las operaciones, ponen en evidencia el apoyo del gobierno de Rusia, una vez que el 97% de las muestras de malware fueron compiladas durante los días de la semana de trabajo, el 88% de éstas fueron en el periodo entre las 8 y las 18 horas del uso horarios de ciudades como Moscú y San Petersburgo. Además de eso, los desarrolladores de APT28 construyen malware con configuración en idioma ruso desde 2013.

El ataque se sucede normalmente en cuatro principales formas: infección con malware vía spear-phish; acceso a un webmail vía spear-pish; malware a través de comprometer estratégicamente la web (SWC por sus siglas en inglés); y acceso a servidores de internet. Cada una de estas tácticas suceden en cuatro o cinco etapas hasta que la red de la víctima queda completamente invadida.

Después de comprometer la organización víctima, el APT28 roba datos internos, los cuales son compartidos y alineados a las políticas y intereses rusos.

Desde 2014 fueron observados traslados en formato de ataque: exploración de vulnerabilidades zero-day; utilización de script de perfil para implantar zero-day y herramientas como forma de dificultar los accesos a los instrumentos de grupo; aumento de uso de depositos de códigos públicos como Carberp y PowerShell Empire; obtención de credenciales a través de pedidos de autorización de acceso fabricados en Google App y Oauth, que permiten al grupo transportar factores de doble autentificación y otras medidas de seguridad; movimientos laterales en red utilizando apenas herramientas legítimas ya existentes en el sistema de la víctima.

Ahora existen otras naciones con presupuestos y sofisticación técnica para desarrollar y mantener la calidad de las herramientas utilizadas en las operaciones de APT28, ninguno de estos gobiernos se ha beneficiado con el compromiso y entrega de información perjudicial sobre las metas perseguidas por el grupo, como el foco de actuación y cooperación de seguridad europea, el gobierno de Estados Unidos, instituciones democráticas occidentales y puestos diplomáticos, observan a Rusia como el más probable soporte.

ciberataque-ciberguerra-militar-guerra-cibernetica

Por otro lado, la infraestructura usada para controlar las operaciones de APT28 había sido fácilmente interrumpida por Moscú, en caso de que un gobierno no aprobara las acciones independientes llevadas a cabo solamente por los rusos. Las explicaciones alternativas para el financiamiento de APT28 solo parecen posibles cuando son presentadas para explicar un incidente aislado, y no son creíbles al analizar la totalidad de las operaciones.

Al combinar una amplia gama de inteligencia técnica, soluciones prácticas de sistemas comprometidos, análisis de redes sociales controlados por Rusia y la comprensión de objetivos geopolíticos con base en las propias declaraciones públicas del gobierno ruso, se le puede atribuir a los rusos el financiamiento y control del APT28.

 

N. de P. Fireye

El papel de la comunicación después de un ciberataque

¿Cuál sería su reacción al descubrir por fuentes externas que su empresa fue blanco de un ataque cibernético? ¿Y si los sistemas fueran derrumbados porque un cibercriminal pide un rescate de un millón de pesos por los datos críticos robados a la compañía? ¿Usted estaría preparado para lidiar con ese escenario? ¿Sabría cómo comunicar ese incidente? ¿Tendría un plan de comunicación para tratar ese problema?

En este último punto se encuentra el mayor error que veo que las empresas cometen: no tener un plan de comunicación de crisis establecido. Además, un reciente estudio del MIT en sociedad con FireEye y Hewlett Packard Enterprise, que se llevó a cabo con 225 empresas, señaló que el 44% de ellas no tienen un plan de comunicación de crisis vigente y el 15% desconocen la existencia de él en la compañía.

Otro gran error es tener un plan enfocado en otras emergencias que no contemplan el ciberespacio, como incendios o desastres naturales, por ejemplo. El ciberataque es un asunto muy delicado para discutirse en público, pues existen diversos escenarios y la empresa necesita tener la certeza de quién es el enemigo y el riesgo que está enfrentando. Los cibercriminales pueden haber conseguido acceso a los datos de funcionarios, clientes y hasta de propiedad intelectual de la empresa.

Generalmente los ciberataques son reportados por terceros, sorprendiendo a las empresas víctimas, 53% de los incidentes en los que Mandiant (empresa perteneciente al grupo FireEye) participó en 2015 fueron descubiertos por fuentes externas, lo que coloca a la empresa afectada en una situación reactiva y con muchas incertidumbres.

Las brechas de seguridad también suelen ocurrir por largos periodos; en 2015, por ejemplo, el tiempo promedio en que los cibercriminales permanecieron en la red de la víctima sin ser detectados, fue de 146 días, de acuerdo con el reporte M-Trends 2016. Esa demora en detectar la invasión vuelve más difícil controlar la crisis y explicar a los diversos públicos afectadosqué aconteció.

Los accionistas, clientes, funcionarios, socios, partes afectadas y medios necesitan ser comunicados pero no se especifica cómo. Debemos asegurarnos de que recibirán un mensaje asegurándoles que la empresa está resolviendo el incidente y protegiendo los datos, y se deberán también enviar actualizaciones siempre que haya nuevas informaciones para compartir. Recordemos filtrarlas, reportando apenas lo que realmente interesa y no todos los detalles del ataque.

En un momento delicado como éste es crucial contar con el involucramiento de los líderes, pues un ciberataque no es responsabilidad solo del equipo de TI, sino un problema de toda la empresa. Las partes afectadas quieren oír un posicionamiento que venga de la dirección.

 

Para la elaboración de un plan de comunicación efectiva son válidas algunas recomendaciones:

  • Establezca el equipo de comunicación de crisis. Seleccione a los profesionales de comunicación, del departamento legal, del equipo de TI y de la dirección que estarán involucrados en el momento. Dependiendo del incidente, considere traer profesionales especializados para ayudar internamente.
  • Si su empresa no cuenta con recursos internos para el desarrollo, actualización constante y ejecución de un plan, busque a socios que tengan experiencia en ésta área. Ellos van a desarrollar con usted o para usted, un plan de respuesta a la crisis bien pensado, con diferentes escenarios. En caso de que llegue el momento de crisis, sus portavoces sabrán qué y cómo comunicar.
  • Garantice un mensaje unificado. Asegúrese de que todos los portavoces sean igualmente entrenados y dispongan de la misma información. Es importante que ellos hayan recibido el media training antes de la crisis.
  • Active canales de comunicación. En caso de que la crisis se vuelva pública provea un website lo más rápido posible y suba las informaciones útiles. Active también canales de atención donde los diversos públicos, como accionistas y medios, puedan hacer preguntas o enviar informaciones.
  • La práctica lleva a la perfección, ensaye el plan de crisis para diversos ciberataques con el equipo de comunicación y los portavoces de la dirección una vez por trimestre.

 

Por: Vitor de Souza, vicepresidente Global de Comunicación de FireEye Inc.

 

 

 

 

 

IoT representa mayores riesgos para los conductores

FireEye dio a conocer el reporte “Connected Cars. The Open Road for Hackers” en el que demuestra que la mayoría de las funciones de los vehículos ya sea la dirección, aceleración, frenado, arranque a control remoto, desbloqueo de las puertas, son controladas por el software de los sistemas digitales que funcionan dentro y fuera del vehículo, ese software contiene millones de líneas de código susceptibles a vulnerabilidades que pueden ser aprovechadas por personas con intenciones maliciosas y poner en riesgo la vida de los conductores.

En el reporte destacan las principales amenazas a los sistemas del vehículo y le compartimos un desglose de los avances tecnológicos que a la vez conllevan riesgos:

Comunicación vehículo a vehículo

Los vehículos incrementarán progresivamente la comunicación (V2V) entre sí de forma autónoma con el fin de ayudarse a guardar su distancia y para cambiar de carril, al mismo tiempo que usan otros datos que mejoran el funcionamiento del auto. También se pronostica interacción del vehículo con la infraestructura (V2I) para que se comunique con señales de tráfico y las del camino para mejorar la gestión de los datos de tráfico y optimizar el uso de las carreteras. Sin embargo, se piensa que el uso indebido de los sistemas V2V o V2I podría afectar la seguridad y causar colisiones.

WI-FI para acceso a Internet

Los puntos para acceso inalámbricos de los autos nuevos aumentan el potencial de abuso si no están bien asegurados e interconectados, ya que las mayores capacidades de ancho de banda incrementan el daño que un agente malicioso podría causar.

Control de colisiones

Los sistemas de frenado modernos utilizan radares u otros sensores para detectar un accidente inminente, pero un vehículo comprometido podría enviar datos manipulados al sistema que controla esta función y provocar que se frene de manera inesperada.

Sistema de monitoreo de presión de llantas

Sirve para vigilar frecuentemente la presión de los neumáticos y comunicarse a través de una conexión inalámbrica de corto alcance y que podría ser utilizado como vector de infección en busca de malware específico para el vehículo.

Unidades de control electrónico para el funcionamiento del vehículo

Encargados de controlar la dirección, los frenos y la aceleración pueden ser manipuladas. Asimismo, el velocímetro o el medidor de la temperatura también pueden ser afectados para mostrar datos falsos u ocultar el mal funcionamiento del vehículo.

 Cerradura sin llave

Los delincuentes pueden usar amplificadores de señal y dispositivos de intercepción para obtener acceso no autorizado a los vehículos que usen este tipo de cerraduras.

 Sistema telemático

Muchos vehículos modernos ofrecen sofisticados sistemas telemáticos que incorporan radio, conexiones Bluetooth, USB y GPS además de varios más puntos de acceso Wi-Fi, que, si bien en conjunto ofrecen un medio de control, también pueden comprometer su seguridad.

Puerto de diagnóstico a bordo

Es un puerto en el que el usuario puede conectar dispositivos para medir hábitos de conducción, realizar diagnósticos mecánicos o mejorar la experiencia del conductor; sin embargo, también es un vector potencial de malware. Por mencionar un ejemplo, un mecánico podría inadvertidamente infectar a varios vehículos utilizando una herramienta de diagnóstico afectada.

Control de clima

El clima interior de un vehículo puede perturbar la comodidad del conductor y, por lo tanto, su capacidad para conducir el vehículo con seguridad. La manipulación de los sistemas de control climático podría arruinar el sistema de enfriamiento durante épocas calurosas.

Sistema de navegación GPS

Los agentes amenazantes podrían falsificar la pantalla del GPS para dirigir al conductor a otro destino, o reunir información de las rutas almacenadas para obtener los patrones de viaje.

mirrorlink-auto

Finalmente, el reporte señala que, debido a la aparición de estos nuevos riesgos, los fabricantes de automóviles y proveedores no sólo deben garantizar la seguridad del funcionamiento tradicional y operación de sus vehículos, sino también asegurar la integridad del conductor. Esto requiere comprender la naturaleza de las amenazas y vulnerabilidades en un panorama que evoluciona rápidamente, a la par de diseñar medidas de seguridad proactiva para proteger contra esos peligros potenciales. Una evaluación del riesgo de “una sola vez” no es suficiente, ya que los generadores de amenazas están evolucionando constantemente.

Además, se deben evaluar si un determinado atacante puede lograr objetivos particulares, como es el robo de información sensible o tomar el control de un dispositivo o sistema, mientras que las pruebas de penetración evalúan los controles de seguridad preventivas para áreas específicas de sistemas y redes críticas, Internet de las cosas y tecnologías inalámbricas.

Ante los avances tecnológicos que muestra el sector automotriz y las posibilidades de vulnerar los sistemas vehiculares son cada vez más amplios, por lo tanto, fabricantes como consumidores deben estar conscientes de ello antes de sufrir pérdidas importantes.

N. de P. FireEye

EMET, la herramienta de defensa frente a exploits de Microsoft puede ser vulnerada

Hackers han encontrado una vulnerabilidad que permite activar una función específica en EMET que desactiva todas las protecciones que se usan para otras aplicaciones.

Investigadores de la firma de seguridad FireEye han encontrado un método por el cual los hackers podrían deshabilitar de forma fácil Microsoft Enhanced Mitigation Experience Toolkit ( EMET), una herramienta de protección utilizada por muchas compañías para reforzar sus equipos con Windows y aplicaciones contra exploits de software conocidos o desconocidos. Según conclusiones de la empresa, los exploits pueden introducir una función específica que deshabilitaría las protecciones que utiliza para otras aplicaciones. De esta manera, aprovecharían una función propia de EMET para atacar.

El funcionamiento de EMET se basa en la introducción de archivos DLL (Dynamic Link Libraries) en los procesos que afectan a las aplicaciones de terceros para los que está configurada la protección. Esto le permite monitorizar desde las llamadas a esos  procesos hasta las API críticas de sistema y determinar si son legítimos o el resultado de una vulnerabilidad .De esta manera es capaz de determinar si dichos procesos son legítimos o no. La herramienta también se encarga de introducir unos códigos que devuelven los procesos protegidos a su situación inicial sin causar daños y es precisamente en este punto el que los han descubierto los investigadores de FireEye que se puede volver al programa en su propia contra.

Los investigadores también descubrieron que los apartados que se han quedado más desprotegidos tienen que ver con errores de diseño e implementación y  algunos módulos o API. Métodos para desactivar las protecciones EMET por completo también se habían dado a conocer con anterioridad. Así pues esta no es la primera vez que se han detectado problemas con este sistema, aunque generalmente resultaba una tarea difícil para los piratas informáticos saltarse las protecciones. Desde su creación en 2009, EMET puede cumplir mecanismos modernos de mitigación de exploits como Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) o Export Address Table Access Filtering (EAF) para las aplicaciones, incluso las heredadas (legacy), que fueron construidas sin ella. Esta funcionalidad hace que sea mucho más difícil para los atacantes aprovechar las vulnerabilidades de las aplicaciones con el fin de poner en peligro los equipos de cómputo.

Para los expertos de FireEye, la técnica que pone a  EMET en contra de sí mismo, además de ser mucho más sencilla, también es más peligrosa  ya que a excepción de la última versión, la 5.5, las anteriores versiones 5.0, 5.1 y 5.2 pueden ser atacadas, incluyendo las que ya no son compatibles con los equipos, como 4.1.

Aunque Microsoft ya ha corregido el problema con  la versión  5.5, la mayoría de usuarios aún no han actualizado sus equipos. El motivo es que esta actualización estaba dirigida a hacer EMET compatible con Windows 10.  Por ello desde FireEye se recomienda actualizar cuanto a antes a la versión 5.5 para evitar futuros ataques. Aparte de ser compatible con Windows 10, la nueva versión mejora la configuración y la gestión de las protecciones.

-Toñi Herrero Alcántara

 

FireEye presentó nuevas soluciones de seguridad corporativa

La expansión de su Plataforma Global de Gestión de Amenazas, tiene como objetivo incluir dos nuevas soluciones FireEye Power y FireEye Essentials, con las cuales persigue el objetivo con el usuario afectado por las amenazas cibernéticas actuales.

La primera está enfocada a las organizaciones que requieren operaciones de seguridad madura. Proporciona una amplia visibilidad a toda la empresa junto con una protección integral con flujos de trabajo de seguridad integrada y abundante inteligencia contextual.

Puede ser usada por organizaciones que ejecutan operaciones sofisticadas de seguridad y se acopla un flujo de trabajo integrado de seguridad y a un contexto de inteligencia enriquecida. Según la firma, el aprendizaje basado en detección y análisis de la nube, aunado a las posibilidades que ofrece la solución FireEye Mobile Security que amplía la cobertura contra las amenazas que particularmente reciba cada cliente. También ofrece inteligencia contextual profunda para ayudar a dar prioridad a ciertas acciones, además de activar, mejorar y acelerar el proceso de investigación. La solución está diseñada para integrarse en los entornos del cliente a través de una API enriquecida.

Por otra parte, el segundo producto de FireEye, está orientada a organizaciones que acaban de iniciar un programa de protección de amenazas avanzadas y ofrece una detección de alta fidelidad con bajos falsos positivos.

Su diseño es especial para aquellas organizaciones que buscan equilibrar los costos de seguridad y la exposición al riesgo, señala la firma en un comunicado. Ofrece la capacidad de la Plataforma de Gestión de Amenaza Global de FireEye a una gama más amplia de organizaciones y les proporciona acceso la protección de clase empresarial contra las amenazas más impactantes, al tiempo que contribuye a la disminución de los costos de la operación de seguridad y la reducción de los ruidos de alerta.

Cabe destacar que, ambas soluciones pertenecen a FireEye Network Security (conocidas como NX series), su prioridad es que la línea de estos productos podrán beneficiarse de la Plataforma Global de Gestión de Amenazas disponible ahora a un mayor número de organizaciones. La expansión de la línea de productos Network Security representa el primer paso de una serie de nuevas soluciones que ofrecerán más opciones para las organizaciones que buscan alcanzar una mayor protección contra amenazas avanzadas.

Dado a los constantes ataques y evolución de las amenazas, las organizaciones más pequeñas y de múltiples industrias son ahora blanco de ataques. La firma FireEye da a conocer que su tecnología, tradicionalmente utilizada por clientes con activos de alto valor, está disponible para  organizaciones que pronto verán finalizados o rebasados sus actuales programas de ciber seguridad.

Finalmente David DeWalt, CEO de FireEye señaló “con estas nuevas ofertas estratégicas de nuestros productos, estamos contribuyendo a que más organizaciones intensifiquen sus operaciones de seguridad gracias a las capacidades de detección y protección de la plataforma.

-Comunicado de presa