imágenes falsas
Un grupo heterogéneo de piratas informáticos aficionados, muchos de ellos adolescentes con poca capacitación técnica, han sido tan expertos en violar grandes objetivos, incluidos Microsoft, Okta, Nvidia y Globant, que el gobierno federal está estudiando sus métodos para obtener una mejor base en seguridad cibernética. .
El grupo, conocido como Lapsus$, es un grupo poco organizado que emplea técnicas de piratería que, aunque decididamente poco sofisticadas, han demostrado ser muy efectivas. Lo que le falta al grupo en la explotación de software, lo compensa con persistencia y creatividad. Un ejemplo es su técnica para eludir MFA (autenticación de múltiples factores) en organizaciones bien defendidas.
Estudiando el manual de hacking de Lapsus$
En lugar de comprometer la infraestructura utilizada para hacer que varios servicios de MFA funcionen, como hacen los grupos más avanzados, el año pasado un líder de Lapsus$ describió su enfoque para derrotar a MFA de esta manera: “Llamar al empleado 100 veces a la 1 a. m. mientras intenta dormir y lo más probable es que lo acepte. Una vez que el empleado acepta la llamada inicial, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.
El jueves, la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional publicó un informe que documentó muchas de las tácticas más efectivas en el libro de jugadas de Lapsus$ e instó a las organizaciones a desarrollar contramedidas para evitar que tengan éxito.
Al igual que algunos otros grupos de amenazas técnicamente más avanzados, Lapsus$ “mostró habilidad para identificar puntos débiles en el sistema, como proveedores intermedios o proveedores de telecomunicaciones, que permitieron el acceso posterior a sus víctimas previstas”, escribieron los funcionarios en el informe de 52 páginas. “También mostraron un talento especial para la ingeniería social, atrayendo a los empleados de un objetivo para que básicamente abrieran las puertas a la red corporativa”.
La lista de objetivos violados por Lapsus$ o cuyos datos propietarios fueron robados por Lapsus$ a través de ataques a terceros es sorprendentemente extensa para un grupo que operó durante poco más de un año y cuya principal motivación parecía ser la fama. Los aspectos más destacados de las hazañas y prácticas no convencionales del grupo son:
- Una campaña de phishing que usó bombardeo de MFA y otras técnicas no sofisticadas logró violar con éxito al proveedor de MFA Twilio con sede en San Francisco y estuvo cerca de violar la red de entrega de contenido Cloudflare si no fuera por el uso de MFA por parte de este último que cumple con el estándar de la industria FIDO2.
- La violación de la red corporativa de Nvidia y el supuesto robo de 1 terabyte de datos de la empresa. A cambio de que Lapsus$ no filtrara todo el recorrido, el grupo exigió que Nvidia permitiera que sus tarjetas gráficas extrajeran criptomonedas más rápido y que hicieran que sus controladores de GPU fueran de código abierto.
- La publicación de datos de propiedad de Microsoft y del proveedor de inicio de sesión único Okta, que Lapsus$ dijo que obtuvo después de piratear los sistemas de las dos compañías.
- La violación de la red del proveedor de servicios de TI Globant y la publicación de hasta 70 gigabytes de datos pertenecientes a la empresa.
- Las presuntas infracciones múltiples en marzo de 2022 de T-Mobile. Según los informes, los hacks utilizaron una técnica conocida como intercambio de SIM, en la que los actores de amenazas engañan o pagan al personal del operador telefónico para transferir el número de teléfono de un objetivo a una nueva tarjeta SIM. Cuando el grupo quedó bloqueado de una cuenta, realizó un nuevo intercambio de SIM en un empleado diferente de T-Mobile.
- Hackear el Ministerio de Salud de Brasil y eliminar más de 50 terabytes de datos almacenados en los servidores del ministerio.
- El objetivo mayormente exitoso de muchas organizaciones adicionales, incluidas, según la firma de seguridad Flashpoint, Vodafone Portugal, Impresa, Confina, Samsung y Localiza.
Otras tácticas poco cualificadas que demostraron ser particularmente eficaces fueron la compra por parte del grupo de cookies de autenticación y otras credenciales de intermediarios de acceso inicial.
Los autores del informe del jueves escribieron:
Lapsus$ llamó la atención de los profesionales de la seguridad cibernética y de la prensa casi inmediatamente después de proporcionar una transparencia sin precedentes sobre el funcionamiento interno de cómo se dirigía a organizaciones e individuos, organizaba sus ataques e interactuaba dentro de sí mismo y con otros grupos de amenazas. Su mentalidad estaba a la vista del mundo y Lapsus$ dejó claro lo fácil que era para sus miembros (menores, en algunos casos) infiltrarse en organizaciones bien defendidas. Lapsus$ parecía funcionar en varios momentos para la notoriedad, la ganancia financiera o la diversión, y combinaba una variedad de técnicas, algunas más complejas que otras, con destellos de creatividad. Pero Lapsus$ no entraba en esa categoría de actor de amenazas que acapara la mayoría de los titulares: el actor de amenazas del estado-nación con tácticas ofensivas con buenos recursos que acecha tras bambalinas durante años o los grupos transnacionales de ransomware que cuestan al mundo. economía miles de millones de dólares. De hecho, Lapsus$ no usó el tipo de técnicas novedosas de día cero que la industria está acostumbrada a ver con frecuencia en las noticias.
El informe contiene una variedad de recomendaciones. La clave entre ellos es pasar a sistemas de autenticación sin contraseña, que presumiblemente se refieren a claves de paso, basadas en FIDO2. Al igual que todas las ofertas de FIDO2, las claves de acceso son inmunes a todos los ataques de phishing de credenciales conocidos porque el estándar requiere que el dispositivo que proporciona MFA no esté a más de unos metros del dispositivo que inicia sesión.
Otra recomendación es que la Comisión Federal de Comunicaciones y la Comisión Federal de Comercio refuercen las regulaciones relativas a la transferencia de números de teléfono de una SIM a otra para frenar el intercambio de SIM.
“Las organizaciones deben actuar ahora para protegerse, y la Junta identificó formas tangibles de hacerlo, con la ayuda del gobierno de EE. UU. y las empresas que están mejor preparadas para brindar soluciones seguras por defecto para mejorar todo el ecosistema”, dice el informe. escribieron los autores. «Muchas de las recomendaciones de la Junta se enmarcan en el tema más amplio de ‘seguridad por diseño’, lo que refleja la conversación más amplia de la industria, incluidos los esfuerzos de Seguridad por Diseño de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)».