Lo que necesitas saber
- Las amenazas persistentes avanzadas (APT) siempre buscan formas de integrarse en la actividad normal.
- Al utilizar GitHub de Microsoft, una buena plataforma conocida, para alojar malware o técnicas de comando y control, las APT están teniendo más éxito.
- Insikt Group, la división de investigación de amenazas de Recorded Future, publicó un informe sobre el aumento de la actividad maliciosa que se produce a través de GitHub.
- Si bien Microsoft busca todas las formas de ganar dinero con Copilot, limpiar GitHub sería un buen caso de uso real que un LLM probablemente podría lograr.
Con el fin de CES, todo el mundo empresarial se centra en la IA y en cómo puede generar más dinero para estas corporaciones. Ha habido muchas promesas sobre cómo la IA puede facilitar un mundo digital más seguro, pero todavía tengo que ver muchos frutos de esas conversaciones. El grupo Insikt, el equipo de investigación de amenazas de Recorded Future, publicó un informe Hoy analizamos cómo los actores de amenazas y las amenazas persistentes avanzadas (APT) utilizan cada vez más GitHub para infraestructura maliciosa.
Este tema en sí mismo es un problema y merece una noticia, pero me parece que esta es la oportunidad perfecta para que Microsoft muestre al mundo lo que puede hacer. Me recuerda a la epidemia de trampas en juegos como Call of Duty Warzone de Activision. Activision tuvo que crear un sistema antitrampas impulsado por una máquina a medida llamado Ricochet, que prohíbe repetidamente a miles de tramposos. De manera similar, Microsoft debería buscar utilizar Copilot para inspeccionar, analizar y verificar de manera inteligente cada fragmento de código cargado en el sitio extremadamente popular GitHub, que adquirió en 2018.
¿Cómo abusan los piratas informáticos de GitHub?
Microsoft está trabajando para solucionar sus numerosos problemas de ciberseguridad. Si bien los piratas informáticos han estado «viviendo de la tierra» en Windows durante años, es decir, utilizando los programas y ejecutables disponibles en el sistema operativo al que obtienen acceso inicial, ahora están encontrando un éxito similar utilizando sitios confiables. Acuñado por The Insikt Group en su informe, «vivir de sitios confiables» es similar al conocido término de ciberseguridad «vivir de la tierra». Al utilizar sitios confiables, estos grupos de amenazas pueden eludir la mayoría de los controles empresariales y mezclarse con el tráfico regular, lo que aumenta significativamente su efectividad y capacidades antidetección.
Si está buscando un análisis en profundidad del problema de GitHub y su prevalencia, no dude en consultar el Informe completo de Grupos Insikt, pero lo tenemos cubierto para la versión de Cliff Notes. Los piratas informáticos sofisticados, también llamados APT, utilizan GitHub para varias necesidades de infraestructura esenciales para lograr una cadena de ataque a un objetivo.
Los ciberdelincuentes y las amenazas persistentes avanzadas (APT) abusan de los servicios de GitHub para una amplia gama de esquemas de infraestructura maliciosos, incluida la entrega de carga útil, DDR, exfiltración, comando y control (C2) y otros fines (como el phishing).
Grupo Insikt
Como explica Insikt Group, los actores de amenazas utilizan GitHub para entregar cargas útiles, lo que significa que una vez que obtienen acceso inicial a una máquina de destino, normalmente ejecutarán un script para descargar una carga útil maliciosa al host. Este es el caso de uso más común para GitHub, pero algunas APT lo usan para C2, lo que significa que envían y reciben comandos desde repositorios de GitHub y, en algunos casos, extraen datos a GitHub.
El Grupo Insikt explica por qué GitHub es una amenaza tan grande y tan eficaz para los grupos de amenazas como mecanismo de entrega de sus ataques. Estas son algunas de las ventajas que GitHub ofrece a los atacantes.
- No hay bloqueo de dominios de GitHub en la mayoría de las redes corporativas, dada su popularidad entre las empresas y el hecho de que muchas de ellas dependen de él.
- Reducción de la sobrecarga operativa al simplificar el proceso general de instalación del servidor C2 mediante el uso de cifrado TLS respaldado públicamente.
- Amplia experiencia práctica con GitHub entre los desarrolladores de malware, dados sus casos de uso legítimos más allá de actividades maliciosas.
- Reduzca los costos de infraestructura al ahorrar en las tarifas típicas de alojamiento o registro.
- Alto tiempo de actividad ya que GitHub está diseñado para tener alta disponibilidad, con servidores redundantes y mecanismos de conmutación por error.
- Una verificación mínima para registrar nuevas cuentas en GitHub (por ejemplo, la ausencia del requisito de una tarjeta de crédito durante el registro representa un ahorro de costos significativo para las APT sofisticadas, ya que la creación de métodos de pago y financiación imposibles de rastrear requiere mucho tiempo e introduce una complejidad innecesaria).
- Posibilidades de detección limitadas para los proveedores de servicios (especialmente con respecto a cuentas controladas por humanos).
- Rastrear a un actor de amenazas en sentido ascendente o identificar a las víctimas se vuelve más desafiante cuando el actor de amenazas utiliza un LIS. Más específicamente, si los esfuerzos de seguimiento dependen del análisis del tráfico de la red, encontrar un LIS se convierte en un obstáculo importante, lo que dificulta distinguir el tráfico malicioso del tráfico legítimo, lo que resulta en un virtual callejón sin salida en la investigación.
- Disponibilidad limitada de herramientas para el modelado de amenazas y poca inteligencia sobre amenazas procesable específica para dichas configuraciones de infraestructura.
En mi opinión, este es un ojo morado bastante grande para Microsoft. La gente compara GitHub con Pastebin debido a lo inseguro que parece el sitio. Microsoft, por supuesto, ha integrado Copiloto en GitHub. Aún así, creo que debería prestarse más atención a la limpieza del sitio antes de intentar integrar soluciones de inteligencia artificial para el usuario final.
Cómo Microsoft puede usar la IA para limpiar GitHub
Si bien los LLM y la IA en general aún no dominan todo a la perfección, parece universalmente aceptado que tienen un buen manejo de la codificación y la programación. ChatGPT ayudó a codificar un juego y era bastante experto en seguir instrucciones. Dicho esto, debería ser posible utilizar Copilot como una especie de filtro de contenido. Al igual que YouTube busca contenido inapropiado, debería poder ejecutar cada fragmento de código cargado en su plataforma en una zona de pruebas virtual y analizar qué está haciendo el código. Si el código parece sospechoso, debe marcarse para revisión humana manual.
Recorded Future muestra cómo GitHub se ha utilizado de forma maliciosa en un escenario del mundo real. Es fascinante ver cómo Zscaler rastreó el GitHub de un grupo de amenazas norcoreano mientras alojaban archivos maliciosos en él y apuntaban a varias industrias de Corea del Sur.
En general, es hora de que Microsoft utilice Copilot/AI para mejorar sus subsidiarias en lugar de impulsar constantemente soluciones centradas en el consumidor. Se necesitaría una fuerza laboral significativa para limpiar GitHub, razón por la cual Microsoft ha tardado tanto en hacerlo, pero con la ayuda de la IA, la tarea debería ser más manejable.
¿Podrá Microsoft resolver algún día sus problemas de seguridad?
Microsoft es Implementación del copiloto de seguridad y tiene datos que están ayudando a los defensores de la ciberseguridad a desempeñarse mejor; sin embargo, como ocurre con tantas cosas con Microsoft, esto depende de que el cliente haga el trabajo, y Microsoft mantiene una actitud de no intervención.
Microsoft es conocido por no invertir mucho en cosas como el servicio al cliente, y esa mentalidad parece haberse trasladado a la ciberseguridad. Claro, tienen ingenieros para mantener todo en funcionamiento y trabajan para impulsar actualizaciones para el martes de parches, pero gran parte de lo que hacen parece reaccionario. Con la oleada de integración de la IA en toda la tecnología, es el momento perfecto para que Microsoft comience a respaldar sus palabras y a protegerse antes de mirar hacia otras empresas.
Algo que no parece estar cambiando a lo largo de esta noticia es que existe y seguirá existiendo la necesidad de analistas e ingenieros humanos en primera línea para defender a las corporaciones de estos actores maliciosos. Si estás interesado, consulta nuestro Guía sobre cómo iniciarse en la ciberseguridad.
Mientras Microsoft fue la responsable de filtrar sus planes para Xbox para los próximos añosSony Insomniac fue violada recientemente por un grupo de amenazas sofisticado, y el daño causado por esa filtración es difícil de cuantificar. Supongamos que Microsoft no puede mantener su propia casa en orden. En ese caso, será más difícil, como empresa que vende soluciones de ciberseguridad, proteger a los clientes empresariales que utilizan Defender y otros productos de seguridad de Microsoft. Supongamos que Microsoft puede corregir sus agujeros y debilidades fortaleciendo su sistema operativo, servidores y subsidiarias como GitHub. En ese caso, disminuirá drásticamente el número de infracciones exitosas en todo el mundo, lo que resulta beneficioso para todos los involucrados.
¿Qué opinas de que los hackers utilicen GitHub con tanto éxito? ¿Puede Microsoft usar IA para ayudar a moderar el código que se carga en GitHub? Háganos saber lo que piensa en los comentarios.