Tengo 42 años el mes pasado. Básicamente, no hay nada interesante en esta columna, solo el hecho de que publicamos dos nuevos resultados importantes en esa fecha, por lo que no queda mucho tiempo para celebrar. La noticia de los ataques a la cadena de suministro de la empresa de servicios de comunicaciones por Internet 3CX ha emocionado a la comunidad de TI, y aún no se sabe sobre la conexión con el notorio grupo Lazarus de Corea del Norte. También analizamos los enrutadores que se venden en los mercados en línea.
bueno eso es bueno. Sorprendentemente, la nueva campaña de Lazarus bajo la Operación DreamJob se dirigió a los usuarios de Linux. Sorprendentemente, porque por primera vez Lazarus se centró en este sistema operativo en una campaña similar. Nuestros investigadores pudieron reconstruir toda la cadena de ataque, desde un archivo zip que contenía una oferta de trabajo falsa de HSBC como cebo, hasta el malware más reciente: la puerta trasera SimplexTea para Linux. Se distribuye a través del servicio en la nube OpenDrive. Bueno, la similitud con este malware de Linux recientemente descubierto confirmó la teoría de que este notorio grupo de piratas informáticos de la RPDC está detrás del último ataque a la cadena de suministro de 3CX.
3CX es un desarrollador y distribuidor de software VoIP que brinda servicios de comunicaciones a muchas organizaciones y, según su sitio web, tiene más de 600.000 clientes y 12 millones de usuarios en diversas industrias, incluidas la aviación y la atención médica. Bueno, a fines de marzo de este año, se filtró información al público de que una aplicación de escritorio para Windows y Mac OS contenía un código malicioso que permitía al grupo Lazarus descargar y ejecutar código arbitrario en todas las computadoras donde estaba instalada la aplicación. Así que 3CX mismo fue pirateado y su software fue utilizado en el ataque a la cadena de suministro.
Sin embargo, los piratas informáticos han estado planeando ataques durante mucho tiempo, es decir, desde diciembre de 2022. Unos días antes de que el público se enterara del ataque, se subió a la base de datos de VirusTotal una herramienta de descarga para la plataforma Linux. Bueno, descargó una nueva puerta trasera de Lazarus para Linux llamada SimplexTea. Se conecta al mismo servidor de comando y control donde se implementó el malware en el ataque 3CX.
Distribuido en muchas infraestructuras de TI, este software pirateado permite descargar y ejecutar cualquier tipo de amenaza cibernética, lo que puede tener consecuencias desastrosas. Este método de distribución de malware es muy efectivo desde el punto de vista del atacante, y Lazarus ha utilizado esta técnica en el pasado.
En otra investigación de la que también hablamos en la prestigiosa conferencia electrónica RSA y sobre la cual la revista Wired también publicó un gran artículo, nos enfocamos en los dispositivos de redes corporativas que fueron dados de baja y vendidos en sitios web tipo “Bazos” o “Bezos”, esto es el llamado mercado secundario. Después de examinar los datos de configuración de 16 dispositivos de red diferentes, en ESET descubrimos que más del 56% (nueve enrutadores) contenían datos confidenciales de la empresa.
De los 9 dispositivos de red para los que se disponía de datos de configuración completos: el 22 % contenía datos de clientes, el 33 % de los datos permitía que terceros se conectaran a la red, el 44 % tenía permiso para conectarse a otras redes como parte de confianza y el 89 % contenía información detallada Conéctese a aplicaciones específicas, el 89% contiene claves de autenticación del enrutador. Todos contienen detalles de la conexión VPN e información que puede identificar al propietario anterior.
Las organizaciones a menudo reciclan o retiran equipos antiguos a través de otras empresas. Se encargan de verificar la destrucción o el reciclaje seguro de los dispositivos digitales y la eliminación de los datos contenidos en ellos. Ya sea que se trate de un error por parte de la empresa de desechos electrónicos o de las propias operaciones de eliminación de la empresa, se encuentra una gran cantidad de datos confidenciales en los enrutadores, incluidos los datos de los clientes (a veces, los enrutadores se refieren al almacenamiento interno o externo).
Cameron Camp, investigador de ESET en nuestra sucursal de EE. UU., también descubrió mapas completos de las principales plataformas de aplicaciones utilizadas por organizaciones específicas, tanto en las instalaciones como en la nube. Estos fueron detalles de aplicaciones que van desde correo electrónico corporativo hasta túneles de clientes, seguridad física de edificios, topologías de tarjetas de acceso sin contacto, redes de cámaras específicas y mucho más.
Los enrutadores obtenidos en esta investigación iban desde empresas medianas hasta corporaciones globales en una variedad de industrias (centros de datos, bufetes de abogados, proveedores de tecnología de terceros, empresas de fabricación y tecnología, empresas creativas y desarrolladores de software). Siempre que ha sido posible, hemos informado de nuestros hallazgos a estas empresas.
Esta investigación solo confirmó una vez más que la percepción laxa de la ciberseguridad no es solo el dominio de los usuarios comunes, sino también el dominio de las grandes corporaciones. Pero supongo que no es el dominio de los lectores habituales de esta columna. También este mes, les deseo una navegación segura en el mundo virtual.
