Ha llegado otra amenaza persistente avanzada (APT por sus siglas en inglés) de la “familia Duke” y está atacando objetivos de perfil alto, tales como oficinas gubernamentales de EEUU. Esta vez se trata de un nuevo miembro de la familia, CozyDuke, también conocido como CozyBear, CozyCar y “Office Monkeys”(o “Monos de oficina”) debido al vídeo que utiliza como señuelo.
Es un ataque bastante sofisticado que incluye el uso de componentes cifrados, capacidades anti-detección así como un set de componentes de malware bastante bien desarrollados que tienen similitudes estructurales con sus predecesores: las amenazas MiniDuke, CosmicDuke y OnionDuke.
Los monos de oficina son un peligro
Lo que realmente se debe mencionar es que el método de penetración del ataque inicial está basado solamente en técnicas de ingeniería social y desafortunadamente es una táctica que tiene bastante éxito para muchos ataques dirigidos.
Los agresores ofrecen como anzuelo un vídeo muy gracioso de monos trabajando en una oficina. El archivo, que incluye un vídeo ejecutable, se distribuye mediante correos electrónicos del tipo spear phishing (estafas focalizadas) y contienen un enlace a una página web. A menudo estas páginas son legítimas, y hasta de las mejores calificadas, pero ya comprometidas.
Mientras la victima ve el vídeo, el “dropper” (instalador) de los atacantes se instala en el sistema, esperando a que los servidores de comando y control le manden comandos y más componentes de malware para la segunda fase.
Los cibercriminales no se equivocaron al pensar que muchos de los destinatarios de los correos verían el vídeo. Muchos no sólo lo vieron, sino que también lo compartieron con sus colegas y, de este modo, ayudaron a la distribución del malware. No se puede decir con certeza cuánta información sensible ha sido robada, dado el alto perfil de los objetivos.
La cuestión radica en cómo mitigar una amenaza tan terrible, que tiene hasta a los empleados de más confianza “ayudando” a comprometer los sistema de seguridad que se han construido con tanto esmero. Lo más importante es no subestimar el poder de la ingeniería social. ¿Cuántos empleados leales se resistirían a abrir un enlace de un correo (falso y hecho minuciosamente) de su jefe?
Cómo mitigar la amenaza Office Monkey
Hay varias precauciones básicas y estrategias de prevención que pueden ser efectivas contra los APTs más sofisticados y mejor planificados. Por ejemplo, al limitar cuidadosamente quienes tienen derechos de administrador, parchear vulnerabilidades a tiempo y restringir la cantidad de aplicaciones permitidas se pueden mitigar hasta un 85% de los incidentes de ataques dirigidos.
El Control de Aplicaciones de Kaspersky Lab, con su lista dinámica de programas permitidos puede ser de gran valor en situaciones como ésta. Simplemente no se podría ejecutar el vídeo de los monos, igual que otros componentes de CozyDuke, sin ser aprobados previamente por un administrador del sistema.
The White House, US State Department and others are counted among #CozyDukeAPT victims – http://t.co/nXaf9mj6cK pic.twitter.com/FSRwlgClmD
— Kaspersky (@kaspersky) April 24, 2015
Parte del personal administrativo maneja correspondencia altamente sensible, aunque tengan una serie de deberes y obligaciones limitadas. Quizás la mejor manera de manejar este tipo de situaciones en el trabajo sea adoptar un modo de Control de Aplicaciones donde la configuración por defecto se limite solo al uso de programas estrictamente necesarios para las actividades de trabajo del individuo.
Otras estrategias que sirven, y que son aún más apropiadas para las entidades gubernamentales y empresas sujetas a estrictas regulaciones, pueden incluir:
- Usar tecnología de Control de Web para restringir el acceso a recursos online previamente aprobados y relacionados con el trabajo — o por lo menos restringir el acceso a sólo ciertas categorías de páginas.
- Aplicar un filtro de contenido para correos electrónicos, como el que ofrece Kaspersky Security for Exchange/Linux Mail, para filtrar correos y archivos adjuntos sospechosos. Algunos criterios para el filtro podrían ser la antigüedad en el puesto y las funciones del receptor.
- Usar la tecnología de Control de Dispositivos para evitar transferencias no deseadas de información a través del perímetro de seguridad (desde y hacia el mundo exterior) e incluso dentro del perímetro. Esta táctica no sólo puede prevenir la distribución de malware, sino que también puede proteger de robos intencionales de datos.
- Llevar a cabo capacitación especializada de seguridad para los empleados como la que ofrece Kaspersky Lab como parte de sus Security Intelligence Services. Esto impulsará una mayor conciencia y entendimiento de los peligros que enfrentan en su trabajo, aunque se sientan seguros dentro de sus oficinas. Este tipo de formación también les enseña a evitar prácticas arriesgadas aparentemente inocentes, y que podrían costarle a la empresa una fortuna o incluso presentar una amenaza para su país.
Check out Kaspersky Lab's Targeted #Cyberattacks Logbook https://t.co/X3IemS4Jf9 #SecurityWithoutBorders pic.twitter.com/p441mWhfuG
— Kaspersky (@kaspersky) March 28, 2015
Piensa en algo más grande
Antes de un ataque, los actores del APT harán reconocimiento de la entidad designada como objetivo. Esto incluye a los empleados y sus personalidades, procesos de negocio y los detalles sobre sus actuales soluciones de seguridad. Estos conocimientos ayudan a evaluar las vulnerabilidades del objetivo y esquivar los mecanismos de seguridad existentes.
Cómo mitigar la amenaza #CozyDukeAPT
Tweet
Al fin y al cabo, cuando se trata de estas amenazas, es absolutamente necesario emplear una estrategia de seguridad de múltiples capas, apoyándose en su solución antimalware de confianza con varias medidas de seguridad proactivas para cubrir varias partes de su red informática. Una vez preparado y armado con tus soluciones, es como te conviertes en un blanco poco atractivo y no viable para los APTs.