Exploración introspectiva de los elementos implicados en el núcleo de los ciberataques

Un exploit se aprovecha de una vulnerabilidad para ciber-atacar/infectar. Tipos de exploits: escalada de privilegios, denegación de servicios, MITM, RCE (Remote Code Execution), en aplicaciones Web (buffer-overflow, XSS, SQL Injection, …), etc.

Los vectores de ciberataque son métodos y herramientas que se aprovechan de las vulnerabilidades específicas de las organizaciones/objetivos para obtener acceso (a todo tipo de datos confidenciales (PII, datos de tarjetas de banco/PCI, información de salud/HIPAA, planes secretos de la organización, etc.) para robarlos/exfiltrarlos, modificarlos, denegar servicio, …). Ejemplos de vectores de ciberataque: dispositivos-móviles, entornos-IoT-OT, nubes, email/IM, software-cadena-suministro/endpoints/insiders-ingeniería-social/APPs, APIs (API-bots/)/redes/aplicaciones Web/metaverso-industrial/gemelos-digitales/acceso-de-portal-remoto … Existe una vinculación profunda entre las “vulnerabilidades y vectores de ciberataque” que las explotan-utilizan los “exploits”. Por ejemplo, el malware con funcionalidad de “gusano” denominado “Win32/Nimda.A@mm” utiliza el “exploit” “Web Server Folder Traversal” para infectar servidores Web IIS (Internet Information Server) de Microsoft. El “exploit” “MIME Header” permite ejecutar malware cuando la víctima lee o “previewing” un correo electrónico infectado).

El “hardening” es el conjunto de métodos/técnicas para la reducción de las superficies de ciberataque. Los ciberataques los causan actores/entidades maliciosas/perversas (personas/máquinas con IA …) con origen en ciberdelincuentes/cibermercenarios, CaaS(Cybercrime-as-a-Service)/MaaS(Malware-as-a-Service), Insiders (empleados/exempleados/terceros), cadena-de-suministro, competidores/víctimas-infectadas/hackers-maliciosos/estados…. Se aprovechan de vulnerabilidades/superficies-y-vectores-de-ciberataque en todo activo/tiempo/lugar para generar confusión/dañar/espiar/secuestrar/manipular/borrar/denegar-servicio…. La ciber-atribución consiste en averiguar quién está detrás de un ciberataque (es muy complejo), se utilizan indicadores como: forma-de-trabajo (comportamiento-habitual-al-llevar-a-cabo-un-ciberataque. Los-hábitos-suelen-ser-más-difíciles-de-cambiar-que-las-herramientas-empleadas), infraestructura (estructuras-de-comunicaciones- físicas-o-virtuales-empleadas-para-llevar-a-cabo-una-cibercapacidad-o-mantener-las-capacidades-de-C&C/compra-alquiler-compartida-comprometida), malware (software-malicioso-utilizado-para-habilitar-la-ejecución-de-acciones-no-autorizadas-en-el-sistema-comprometido), intención (compromiso-del-ciberatacante-a-la-hora-de-realizar-ciertas-acciones-a-partir-del-contexo), fuentes-externas (informes-procedentes-de-agentes-externos-para-proporcionar-datos-o-compartir-hipótesis-sobre-los-potenciales-autores-del-ciberataque) ….

Examinemos algunos de los elementos perversos que operan en los ciberataques, con efectos maliciosos de:

(1) Interceptación/interrupción, interferencias y degradación de las comunicaciones/OTA-FOTA(Firmware-Over-The-Air)/Satelitales. Reconocimientos y escaneos de la red perimetral, sniffing de las redes expuestas y uso de keyloggers. Reducción y/o denegación de la disponibilidad por medio de inhibidores-de-RF, generadores-de-interferencias/jamming …

(2) Degradación/interrupción utilizando puertos/protocolos/servicios no autorizados. Explotar sistemas/entornos IT/OT/IoT no autorizados o débilmente configurados que estén expuestos a Internet.

(3) Explotación de vulnerabilidades sobre el software legítimo utilizando BYOVD/Bring-Your-Own-Vulnerable-Driver)/Secuestro-DLL y ejecutar “process hollow” para cargar aplicaciones de confianza/p.e.Chrome para actuar como contenedor-de-código-hostil.

(4) Interceptación/exfiltración e interrupción/degradación utilizando movimiento de datos y tráfico perimetrales. Establecer cualquier tipo de canales subliminares y C&C (Command and Control) dirigidos al ciber-atacante/malware o a componentes comprometidos. Exfiltración de datos/información de sistemas IT/OT/IoT de la organización comprometidos. Revelación de información crítica/sensible por parte de usuarios autorizados. No disponibilidad mediante la revelación de información sensible. Transmitir información sensible/confidencial/crítica de forma encubierta/subliminar desde la red interna a un destino externo del ciber-atacante.

(5) Degradación/interrupción utilizando DoS (Denial of Service)/DDoS (Distributed Denial of Service) globales/dirigidos (utilizando p.e. redes basadas en nubes con vulnerabilidades). Realizar escaneos/reconocimientos de la red perimetral y transmitir mensajes espúreos a un conjunto dirigido de direcciones de red del perímetro para denegar servicios. Instalar sniffers dirigidos y persistentes en los sistemas IT/OT/IoT de la organización y redes y de causar degradación o denegación de servicios o capacidades seleccionados por el ciber-atacante.

(6) Degradación/interrupción utilizando ataques físicos a las instalaciones/servicios de la organización/infraestructuras que soportan los servicios de la organización. Realizar ataques ciber-físicos sobre las instalaciones/servicios de la organización, las infraestructuras que soportan los servicios/instalaciones de la organización y las cadenas de suministro.

(7) Interceptación/exfiltración utilizando “scavenging” (rebuscar en la basura física y cibernética) datos en entornos de nube(cloud-fog-edge-computing). Establecer canales C&C para el ciber-atacante/malware/componentes comprometidos y aprovecharse del el borrado incompleto/no-físico-inseguro de datos en entornos virtualizados “multi-tenant“o bien violar el aislamiento en entornos virtualizados “multi-tenant“(basados en máquinas virtuales/VMs, Dockers/Kubernetes que orquesta el uso de Containers, …).

(8) Actuar perversamente sobre las funciones del kernel sensibles utilizando funciones API que no se encuentren protegidas (uso de API-bots) y abusar de las “syscall” (llamadas al sistema donde las peticiones del programa se hacen a un servicio del kernel del sistema operativo; esto incluye servicios relacionados con el hardware como acceso al disco local y creación y ejecución de nuevos procesos).

(9) Inyectar “Shellcode” en el proceso objetivo antes o a la vez que se explotan vulnerabilidades para obtener control sobre el “puntero de instrucciones del procesador (EIP/RIP) para señalar al Shellcode”.

(10) Posibilitar movimientos laterales del ciber-atacante/malware-autónomo. Copiar ficheros sobre “Windows Admin Shares” (como ADMIN$)

(11) Amplificar campañas MDM(Misinformation-Disinformation-Malinformation) utilizando spam-bots empoderados con IA para alterar-la-conducta-humana-para-producir-perjuicios, dañar-reputación, modificar-comportamientos, afectar-continuidad-del-negocio, crear-falsas-noticias-documentales, producir-deficiencias-cognitivas/caos ….

El panorama de los ciberataques sin las contramedidas de ciberseguridad-madura/ciber-resiliente de elevada métrica de ciberseguridad (Common-Criteria/EAL-4+/EAL-7, multi-certificada por organismos acreditados de forma rigurosa) se vislumbra siniestro, mostrando un incremento de superficies de ciber-ataque, un aumento inquietante de vulnerabilidades/exploits, el uso creciente de acciones perversas y comportamientos insidiosos potenciados y automatizados/orquestadas por IA, cada vez más complejos y de mayor impacto, con técnicas de ocultación progresivamente más elaboradas. Algunos ejemplos de ciberataques: a la identidad-digital (de personas y máquinas), a la tecnología Web3, a las cadenas de suministro digital, a la tecnología IoT (IIoT/IoCT/IoMT/IoAIT…), etc.

Referencias:

- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2022.

- Areitio, J. “Ampliación de funciones del DAIM/MIAD para la defensa y protección contra todo tipo de ciber-ataques ofensivos”. Revista Seguridad, SG-38 y Revista Eurofach Electrónica, EF-487 Interempresas. Abril 2022.

- Jhanjhi, N.Z., Hussain, K., Humayun, M. and Abdullah, A.B. “Information Security Handbook (Internet of Everything (IoE)). CRC Press. 2022.

- Batina, L., Bäck, T., Buhan, I. and Picek, S. “Security and Artificial Intelligence: A Crossdisciplinary Approach”. Springer. 2022.