El grupo de piratas informáticos ruso conocido por robar correos electrónicos confidenciales del Comité Nacional Demócrata durante la temporada de elecciones presidenciales de 2016 ha estado pirateando impresoras, teléfonos y decodificadores de video para obtener acceso a redes corporativas, informó el lunes el Equipo del Centro de Respuesta de Seguridad de Microsoft
El grupo, conocido por varios nombres que incluyen “Strontium”, “Fancy Bear” y “APT 28”, accedió a los dispositivos utilizando la contraseña predeterminada del fabricante o explotando una falla sin parches, descubrió Microsoft.
Después de descifrar un dispositivo, los intrusos accedieron a su red corporativa y buscaron dispositivos más inseguros, moviéndose a través de la red y comprometiendo cuentas de alto privilegio con datos de alto valor.
A medida que los intrusos se movían de un dispositivo a otro, soltaron un simple script de shell para establecer la persistencia en la red, permitiendo un acceso extendido para la caza continua, señaló Microsoft.
¿Qué buscaban los hackers?
“Desde que identificamos estos ataques en las primeras etapas, no hemos podido determinar de manera concluyente cuáles eran los objetivos finales de Strontium en estas intrusiones”, indica el informe del equipo de MSRC.
“Si bien gran parte de la industria se enfoca en las amenazas de los implantes de hardware, podemos ver en este ejemplo que los adversarios están felices de explotar problemas de configuración y seguridad más simples para lograr sus objetivos”, continúa. “Es probable que estos ataques simples que aprovechan la débil administración de dispositivos se expandan a medida que se implementen más dispositivos IoT en entornos corporativos”.
IoT no es un juguete
Los piratas informáticos en el caso de Microsoft lanzaron un ataque contra un dispositivo sin protección, algo con una contraseña predeterminada o una contraseña fácil de adivinar susceptible a un ataque de diccionario, explicó Dean Weber, CTO de
Mocana, un fabricante de San Francisco de una plataforma de seguridad IoT.
En el ámbito del consumidor, tal ataque no tendría mucho valor por sí mismo, ya que el dispositivo estaría conectado a una red doméstica, “pero si se trata de un dispositivo con acceso al mundo ICS-SCADA, eso es un problema. Ahora tiene acceso a la estructura de comando y control para una plataforma industrial “, dijo a TechNewsWorld.
“La gente piensa que estos dispositivos son juguetes, que en esencia lo son, pero si permiten que un atacante se lance a una red y cree estragos, entonces ese juguete puede darles mucho acceso”, dijo Weber.
La gravedad del tipo de ataque descrito por Microsoft varía según la preparación de una organización, observó Spencer Lichtenstein, director senior de tecnología de
Ónix, una firma de asesoría de seguridad física y cibernética en Newport Beach, California.
“Las corporaciones con inventarios de activos actualizados pueden dar cuenta de los dispositivos IoT mucho más fácil y, por lo tanto, es más fácil asegurarlos”, dijo a TechNewsWorld.
“Comprender lo que tienes como empresa es la clave para asegurar un artículo”, continuó Lichtenstein. “Esta amenaza es más grave cuanto menos comprenda sobre su huella de IoT y menos control tenga sobre su red corporativa”.
Hacker Magnet
Los defectos de los productos de IoT que invitan a la explotación de hackers parecen ser un problema creciente.
Los informes de errores de IoT aumentaron 384 por ciento en 2018 con respecto al año anterior, informó David Baker, CSO en
Bugcrowd, una empresa de seguridad de crowdsourcing con sede en San Francisco.
“Con la gran cantidad y los tipos de dispositivos en red, tiene el potencial de una enorme superficie de ataque vulnerable”, dijo a TechNewsWorld.
“Hay dispositivos IoT conectados en nuestros hogares, en nuestro trabajo, en todas partes”, continuó Baker. “Combine esa gran superficie de ataque vulnerable con errores comunes de configuración errónea del usuario, y los ciberdelincuentes a menudo pueden facilitar el trabajo de explotación de dispositivos IoT”.
Un dispositivo IoT puede ser atractivo para un pirata informático porque los dispositivos a menudo son invisibles en la red y no se mantienen, señaló Craig Williams, director de divulgación en
Cisco Talos, la unidad de inteligencia de amenazas de Cisco Systems, con sede en San José, California.
“Si un atacante puede comprometer un dispositivo IoT sin mantenimiento, puede funcionar efectivamente como una puerta que un atacante puede usar para acceder a la red en el futuro previsible”, dijo a TechNewsWorld.
La seguridad puede ser costosa, por lo que los desarrolladores de muchos dispositivos IoT no pensaron mucho en la seguridad, dijo Steve Durbin, director gerente de
Foro de seguridad de la información, una autoridad con sede en Londres sobre ciberseguridad, seguridad de la información y gestión de riesgos.
“Fueron creados para proporcionar y procesar información al menor costo posible”, dijo a TechNewsWorld.
Prestando atención a la seguridad
Si bien algunos fabricantes de dispositivos han avanzado en seguridad al implementar características como parches automáticos, la mayoría de las veces los dispositivos están diseñados de la manera más económica posible, según Williams.
“Desafortunadamente, si compra un dispositivo donde el precio era la principal preocupación, es poco probable que haya un equipo de ingenieros de software detrás para diseñar futuras actualizaciones de firmware para proteger contra problemas de seguridad”, dijo.
Los fabricantes de dispositivos IoT con frecuencia toman atajos cuando diseñan sus productos, observó Phil Neray, vicepresidente de ciberseguridad industrial en
CyberX, una empresa de infraestructura crítica y ciberseguridad industrial con sede en Boston.
“A menudo, lo que están haciendo es tomar algunas bibliotecas de código abierto y pegarlas en su producto”, dijo a TechNewsWorld. “No están verificando si esas bibliotecas tienen vulnerabilidades y podrían ser vulnerables a los ataques. Y ciertamente no las mantienen actualizadas a medida que se lanzan parches para esas bibliotecas”.
Los fabricantes de dispositivos son más conscientes de la necesidad de mejores controles de seguridad, pero el progreso en las mejoras reales es difícil de medir, señaló Lichtenstein de Onyx. “Muchos dispositivos de IoT de nivel empresarial (termostatos para edificios y sistemas ICS) están progresando y atrayendo inversiones, pero relativamente pocas ‘cosas inteligentes’ como bombillas o refrigeradores han hecho avances significativos”.
En el frente del gobierno, ha habido un progreso notable. los Instituto Nacional de Estándares y Tecnología publicó recientemente una “línea de base central” para dispositivos IoT. Incluye seis características de seguridad que los compradores deben buscar al comprar un dispositivo IoT: identificación del dispositivo, configuración del dispositivo, protección de datos, acceso lógico a las interfaces, actualizaciones de software y firmware, y registro de eventos de ciberseguridad.
Aún así, la falta de progreso de seguridad puede ser frustrante para los profesionales, sugirió Chris Morales, jefe de análisis de seguridad de
Vectra, un proveedor de soluciones automatizadas de gestión de amenazas con sede en San José, California.
Los investigadores detallaron la explotación de las cámaras web como puertas traseras de las redes a las que están conectadas en un informe de Vectra publicado en 2016, dijo a TechNewsWorld. “Sin embargo, todavía estamos escuchando sobre los mismos problemas. Nada ha cambiado y poco ha mejorado la seguridad de IoT”.numerosas publicaciones, incluida la Boston Business Journal, la
Boston Phoenix, Megapixel.Net y Gobierno