Cloud Hopper: una perspectiva de confianza cero

Cloud Hopper, la campaña de piratería que se sospecha que fue orquestada por agentes chinos patrocinados por el gobierno (conocidos cariñosamente como "APT10"), se desarrolló desde 2014 hasta al menos 2017 e impactó a múltiples compañías occidentales en una variedad de industrias. Esta colección específica de ciberespionaje fue tan significativa que continuó atrayendo la atención tanto en los medios de seguridad como en los comerciales debido a la escala de la operación, la variedad de organizaciones atacadas, el tipo de información recopilada y, lo que es más importante, la naturaleza misma de la violación inicial. Cloud Hopper logró su nombre ahora conocido debido al compromiso de los atacantes de los proveedores de servicios gestionados (MSP) de las víctimas, aprovechándolos para "saltar" de la "nube" de los MSP a las redes de las compañías objetivo.

Hubo muchos resúmenes excelentes y artículos detallados de la violación, como el reporte detallado de la Operación Cloud Hopper de PWC, que proporciona un análisis profundo de la violación. En lugar de repetir la misma información aquí, veremos Cloud Hopper desde la perspectiva de un marco de Zero Trust , y específicamente en cómo la adopción de este tipo de enfoque de seguridad podría reducir la efectividad de los atacantes.

Forrester Research introdujo por primera vez Zero Trust hace casi una década, abogando por un cambio de la actitud de seguridad de "confiar pero verificar" a un enfoque de "no confiar en nada, monitorear todo, menos privilegios". Este cambio, de depender de un gran perímetro para proteger un grupo de muchos activos a uno en el que cada activo se considera un objetivo, tiene como objetivo eliminar la confianza inherente que hace que las compañías sean más vulnerables a los ataques.

El marco de Confianza cero se extiende a través de siete pilares que, cuando se combinan, proporcionan una estrategia integral para proteger la compañía. También proporciona un punto de partida útil para analizar por qué un ataque tuvo éxito y comprender qué pilar podría ayudar a frustrar el ataque si fue más fuerte. Como se verá en la actualidad, Cloud Hopper tuvo un gran éxito debido a los excesivos niveles de confianza, que los atacantes pudieron explotar en una tormenta perfecta de deficiencias de control.

El punto de partida, como ocurre con muchas violaciones de datos, fue el compromiso del pilar de personas. Los ataques de spear phishing altamente dirigidos aprovecharon documentos adaptados tanto al sector de la compañía al que se dirigían. y la función laboral de la persona que recibe el mensaje. Esto ayudó a garantizar que se ejecutara la carga útil maliciosa , lo que permitió al atacante afianzar en la red del MSP y obtener las credenciales de una víctima. Además, si las víctimas tenían acceso administrativo, la "barrera de entrada" se reducía aún más. Desde la perspectiva de Zero Trust , el acceso privilegiado debe entregar "Just-In-Time" (solo durante el periodo de tiempo requerido y eliminar una vez que el acceso ya no sea necesario) en función de la necesidad comercial aprobada de un sistema autorizado.

El siguiente pilar en caer fue la Red. El malware realizó un reconocimiento en la red de la organización, mapeando activos clave, estableciendo puntos de apoyo persistentes y determinando cómo podría alcanzar de manera más eficiente su objetivo previsto. En el caso de Cloud Hopper, esto significaba tejer un camino desde el host comprometido inicial (a menudo llamado "cabeza de playa") en la red MSP hasta el objetivo final en el entorno del cliente. Otro elemento clave de la red fue la capacidad del malware para enviar información y recibir instrucciones a través de su entorno de comando y control (CNC o C2) en el Internet. Estas dos fases, el reconocimiento a través del recorrido de la red y las capacidades de llamada a casa, se analizarán por separado, ya que destacan los distintos tipos de fallas abordadas en los principios de seguridad de red del marco Zero Trust.

Tomando primero la parte de la llamada, el malware dependía en gran medida de poder responder a su infraestructura CNC, en la medida en que se eliminaría por completo si este acceso fallaba. Los entornos de escritorio, donde el malware se entrega con mayor frecuencia, a menudo usan proxies sitio web para acceder a Internet, dado que el acceso a Internet es esencial para la productividad. Las organizaciones deben tener mucho cuidado con la forma en que se gestiona este acceso, cerciorar de que solo los usuarios autorizados y autenticados tengan acceso al proxy, y que este acceso esté en el nivel mínimo para que los usuarios puedan realizar sus funciones habituales. Sin embargo, a pesar de que estos controles se implementan correctamente, los atacantes solo necesitan registrar dominios y colocarlos en la categoría legítima del proveedor de filtrado sitio web para eludir estos controles de nivel de proxy. En tales casos, el registro y la supervisión de todos los accesos al sitio web deben ser obligatorios y estar vinculados a algunos análisis del comportamiento del usuario final, de modo que se puedan identificar e investigar las desviaciones de la actividad normal.

La verdadera clave del éxito de Cloud Hopper fue la capacidad de los atacantes para mover lateralmente.

Pero la verdadera clave del éxito de Cloud Hopper fue la capacidad de los atacantes para mover lateralmente dentro de cada red MSP, con pocas restricciones. Esto les permitió construir rápidamente un mapa de hosts, procesos y puertos disponibles que podrían explotar, y determinar cuál podría ser el más adecuado para aprovechar en la siguiente fase del ataque. Para usar una frase militar, esto a menudo se describe como una campaña de "salto de isla" por parte de los profesionales cibernéticos. La recolección exitosa de credenciales de usuario privilegiadas y el acceso a la red relativamente sin restricciones permitieron a los atacantes acceder a los sistemas de una manera que parecía legítima, empleando protocolos de administración comunes, lo que les permitió pasar desapercibidos. El reconocimiento de la red de esfuerzo relativamente bajo permitió la fácil identificación de los hosts de salto que proporcionaron al MSP acceso a la red de cada cliente, desde donde los atacantes pudieron acceder a los objetivos reales de sus esfuerzos.

Esta es una amalgama de la falla de los pilares de Confianza cero para dispositivos, redes y cargas de trabajo. Las redes planas , redes con poca o ninguna segmentación, son un patio de recreo para el adversario y esta situación no fue una excepción. La falta de segmentación o monitoreo adecuado en la red interna del MSP permitió a los atacantes mover sin esfuerzo y sin ser detectados. La segmentación bloqueó la capacidad de los atacantes para mapear la red, identificar rutas abiertas o mover, excepto según lo permitido explícitamente por la política. La visibilidad de todo el tráfico de red proporcionó información sobre los movimientos del atacante, posiblemente desencadenando una investigación lo suficientemente temprana como para detener el ataque antes de que encontrara sus datos objetivo. Los activos clave, como los servidores de salto (también conocidos como hosts bastión) tenían conectividad tanto con el MSP como con las redes de clientes, pero no estaban adecuadamente protegidos en términos de acceso a la red o al usuario. Exigir alguna forma de gestión de acceso privilegiado para todo el acceso al servidor de salto limitó severamente la capacidad de los atacantes para penetrar en las redes de los clientes.

El ataque Cloud Hopper destaca la falla de múltiples controles de seguridad clave y refuerza la necesidad de un enfoque diferente de la seguridad, un enfoque en el que las organizaciones asumen que la probabilidad de una violación es del 100% y diseñan sus entornos para poder detectar rápidamente una violación y minimizar su impacto. Dada la forma en que operan los atacantes avanzados, el enfoque más prudente es aquel en el que, desde cero, todo se construye a partir del principio de mínimo privilegio : un enfoque de seguridad confiable cero.