Los investigadores de ESET, compañía experta en ciberseguridad, han presentado su análisis de todos los elementos maliciosos utilizados para atacar redes aisladas conocidos hasta la fecha. Una red protegida por aire es aquella que está físicamente aislada de cualquier otra red para aumentar su seguridad. Esta técnica puede ayudar a proteger las redes más sensibles: los sistemas de control industrial (ICS) que gestionan oleoductos y redes eléctricas, los sistemas de votación y los sistemas SCADA que gestionan centrifugadoras nucleares, entre otros.
Naturalmente, los sistemas que gestionan infraestructuras críticas son de gran interés para numerosos atacantes, incluidos todos y cada uno de los grupos APT (amenaza persistente avanzada). En última instancia, si se infiltran en un sistema con trampa aérea, estos ciberdelincuentes pueden interceptar datos confidenciales para espiar a países y organizaciones.
Sólo en el primer semestre de 2020, surgieron cuatro elementos maliciosos previamente desconocidos diseñados para vulnerar las redes con cobertura aérea, lo que eleva el número total a 17.
Descubrir y analizar este tipo de marcos de ciberseguridad plantea desafíos únicos, ya que a veces hay múltiples componentes que deben ser analizados todos juntos para obtener la imagen completa de cómo se están llevando a cabo realmente los ataques. Utilizando los conocimientos hechos públicos por más de 10 organizaciones diferentes a lo largo de los años, y algunos análisis para aclarar o confirmar algunos detalles técnicos, los investigadores de ESET, liderados por Alexis Dorais-Joncas, pusieron los marcos en perspectiva para ver lo que la historia podría enseñar a los profesionales de la ciberseguridad y, hasta cierto punto, incluso al público en general, sobre cómo mejorar la seguridad de las redes aéreas y nuestras capacidades para detectar y mitigar futuros ataques. Han revisado cada uno de los marcos conocidos hasta la fecha, comparándolos entre sí en un estudio exhaustivo que revela varias similitudes importantes, incluso dentro de los producidos con 15 años de diferencia.
“Desgraciadamente, los grupos de amenazas han conseguido encontrar formas de atacar estos sistemas. A medida que el air-gapping se generaliza y las organizaciones integran formas más innovadoras de proteger sus sistemas, los ciberatacantes perfeccionan igualmente sus habilidades para identificar nuevas vulnerabilidades que explotar”, afirma Alexis Dorais-Joncas, que dirige el equipo de inteligencia de seguridad de ESET en Montreal.
“Para las organizaciones con sistemas de información críticos y/o información clasificada, la pérdida de datos podría ser enormemente perjudicial. El potencial que tienen estos es muy preocupante. Nuestros hallazgos demuestran que todos los frameworks están diseñados para realizar algún tipo de espionaje, y todos los marcos utilizaban unidades USB como medio de transmisión física para transferir datos dentro y fuera de las redes protegidas por aire”, explica Dorais-Joncas.
Con los riesgos identificados, ESET ha confeccionado la siguiente lista de métodos de detección y mitigación para proteger las redes de cobertura aérea contra las principales técnicas utilizadas por todos los frameworks maliciosos conocidos públicamente hasta la fecha:
- Impedir el acceso al correo electrónico en los hosts conectados. Impedir el acceso directo al correo electrónico en los sistemas conectados mitigaría este popular vector de compromiso. Esto podría implementarse con una arquitectura de aislamiento del navegador/correo electrónico, donde toda la actividad de este se realiza en un entorno virtual separado y aislado.
- Desactivar los puertos USB y desinfectar sus unidades. La eliminación física o la desactivación de los puertos USB en todos los sistemas que funcionan en una red con bloqueo de aire es la protección definitiva. Aunque la eliminación de los puertos USB de todos los sistemas puede no ser aceptable para todas las organizaciones, podría ser posible limitar los puertos USB funcionales sólo a los sistemas que absolutamente lo requieren. Un proceso de desinfección de la unidad USB realizado antes de que cualquier unidad USB se inserte en un sistema con bloqueo de aire podría interrumpir muchas de las técnicas implementadas por los marcos estudiados
- Restringir la ejecución de archivos en unidades extraíbles. Varias de las técnicas utilizadas para comprometer los sistemas con trampa de aire terminan con la ejecución directa de un archivo ejecutable almacenado en algún lugar del disco, lo que podría evitarse configurando las correspondientes políticas de acceso al almacenamiento extraíble.
- Realice un análisis periódico del sistema. Realizar un análisis periódico del sistema de cobertura aérea para comprobar la existencia de marcos maliciosos es una parte importante de la seguridad para mantener los datos a salvo.
“Mantener un sistema totalmente blindado conlleva las ventajas de una protección extra. Pero al igual que todos los demás mecanismos de seguridad, el air gapping no es una bala de plata y no evita que los actores maliciosos se aprovechen de los sistemas obsoletos o de los malos hábitos de los empleados”, comenta el investigador de ESET Alexis Dorais-Joncas.
