El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, junto con sus aliados Five Eyes de Australia, Canadá, Nueva Zelanda y Estados Unidos, han emitido una advertencia urgente a los operadores de infraestructura nacional crítica (CNI), compartiendo nuevos detalles sobre cómo los estados- Los actores de amenazas respaldados están utilizando técnicas de subsistencia para persistir en sus redes. Vivir de la tierra se refiere a la explotación de herramientas legítimas existentes en los sistemas de TI de los usuarios para integrarse en el tráfico que ocurre naturalmente y que normalmente no llamaría la atención. Al explotar estas herramientas o archivos binarios, también conocidos como LOLbins, los actores maliciosos pueden burlar las defensas y los equipos de seguridad con relativa facilidad y operar discretamente al servicio de sus pagadores. El NCSC dijo que incluso las organizaciones con las técnicas de seguridad cibernética más maduras podrían fácilmente no detectar un ataque de supervivencia, y evaluó que es «probable» que dicha actividad represente una clara amenaza para la CNI en el Reino Unido. Como tal, insta a todos los operadores de CNI (proveedores de energía, compañías de agua, operadores de telecomunicaciones, etc.) a seguir una serie de acciones recomendadas para ayudar a detectar compromisos y mitigar vulnerabilidades. En particular, advirtió, se ha observado a piratas informáticos chinos y rusos viviendo de la tierra en redes CNI comprometidas; un exponente destacado de la técnica es el actor de amenaza persistente avanzada (APT, por sus siglas en inglés) patrocinado por GRU conocido como Sandworm, que utiliza LOLbins ampliamente para atacar objetivos en Ucrania. «Es vital que los operadores de infraestructura crítica del Reino Unido presten atención a esta advertencia sobre los ciberatacantes que utilizan técnicas sofisticadas para esconderse en los sistemas de las víctimas», dijo el director de operaciones del NCSC, Paul Chichester. “Los actores que amenazan a los que se les deja llevar a cabo sus operaciones sin ser detectados presentan una amenaza persistente y potencialmente muy grave para la prestación de servicios esenciales. Las organizaciones deben aplicar las protecciones establecidas en la guía más reciente para ayudar a detectar y mitigar cualquier actividad maliciosa encontrada en sus redes”. «En este nuevo mundo, peligroso y volátil, donde la primera línea está cada vez más en línea, debemos proteger y preparar nuestros sistemas para el futuro», añadió el viceprimer ministro Oliver Dowden. “A principios de esta semana, anuncié una revisión independiente para considerar la seguridad cibernética como un facilitador para generar confianza, resiliencia y desencadenar el crecimiento en toda la economía del Reino Unido. «Al aumentar la resiliencia de nuestra infraestructura crítica en todo el Reino Unido, nos defenderemos de los ciberatacantes que nos harían daño», añadió. Acciones prioritarias para los defensores Si bien es imperativo que los operadores de CNI adopten un enfoque de defensa en profundidad para su postura de seguridad cibernética como parte de las mejores prácticas estándar, la guía recientemente publicada describe una serie de recomendaciones prioritarias: Los equipos de seguridad deben implementar registros y registros agregados en una ubicación centralizada fuera de banda; Deben establecer una línea de base de la actividad de los usuarios, las redes y las aplicaciones e implementar la automatización para revisar y comparar continuamente los registros de actividad; Deberían reducir el ruido de alerta; Deberían implementar listas de aplicaciones permitidas; Deberían mejorar la segmentación y el seguimiento de la red; Deberían implementar controles de autenticación; Deberían intentar aprovechar el análisis del comportamiento de usuarios y entidades (UEBA). Las autoridades estadounidenses han publicado más detalles sobre estas y otras recomendaciones y están disponibles para leer en el sitio web de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Gabrielle Hempel, ingeniera de soluciones para clientes de LogRhythm, dijo: “Los sistemas de infraestructura crítica son extremadamente complejos e interconectados, lo que no solo hace que sea difícil protegerlos contra ataques, sino que también requiere conocimientos especializados para comprender y mitigar cualquier vulnerabilidad que puedan tener. «A menudo, las organizaciones de infraestructura crítica también tienen limitaciones de recursos, lo que dificulta la implementación y el mantenimiento de medidas de seguridad tanto desde el punto de vista personal como financiero». Los costos que surgen de los ataques a CNI probablemente serán de varias etapas, incluido el costo inicial de la respuesta a incidentes, la recuperación y el reemplazo del sistema, y ​​cualquier multa regulatoria y costos legales que puedan surgir, dijo Hempel. Sin embargo, después de esto también habrá una intensa interrupción en la cadena de suministro que se transmitirá en cascada a través de varios sistemas que, en última instancia, pueden aumentar los costos para los consumidores. «La advertencia colaborativa destaca el hecho alarmante de que las mismas amenazas cibernéticas están teniendo un impacto en todo el mundo», añadió Hempel. “Existen numerosas oportunidades para fortalecer la colaboración internacional, incluido el intercambio de información e inteligencia en tiempo real, iniciativas de investigación conjunta y el desarrollo de estándares y marcos unificados para la seguridad cibernética. “Sin embargo, también es importante enfatizar la importancia de desarrollar asociaciones público-privadas no solo a nivel nacional, sino a escala global para abordar verdaderamente las vulnerabilidades y los ataques a la infraestructura crítica en todos los ámbitos. Debido a que estos ataques abarcan simultáneamente todo el mundo geográficamente y organizaciones desde públicas hasta privadas, también deben abordarse en todos estos planos”, dijo. Llega Volt Typhoon Al mismo tiempo, las agencias Five Eyes también publicaron un aviso separado compartiendo detalles del APT chino conocido como Volt Typhoon, que llamó la atención por primera vez a través de Microsoft en mayo de 2023. Volt Typhoon es otro explotador activo de LOLbins, que se ha utilizado ampliamente para comprometer los sistemas CNI en los EE. UU. en particular. La semana pasada, las autoridades estadounidenses interrumpieron una operación Volt Typhoon en la que se secuestraron cientos de enrutadores Cisco y Netgear vulnerables para crear una red de bots que se utilizó para ofuscar ataques posteriores contra operadores de CNI. CISA dijo que había confirmado que Volt Typhoon había comprometido las redes de los operadores CNI estadounidenses en los sectores de comunicaciones, energía, transporte y agua. La agencia advirtió que el patrón de comportamiento y objetivos de la APT no es consistente con el ciberespionaje tradicional chino, que tiende a centrarse en el robo de propiedad intelectual (PI). Como tal, evalúa con un alto grado de confianza que Volt Typhoon se está posicionando previamente para permitir movimientos laterales hacia activos de tecnología operativa (OT) que pueden interrumpir en caso de que las tensiones geopolíticas, especialmente sobre Taiwán, se conviertan en un conflicto. “La República Popular China [People’s Republic of China] La amenaza cibernética no es teórica: aprovechando la información de nuestros socios gubernamentales y de la industria, los equipos de CISA han encontrado y erradicado las intrusiones del Volt Typhoon en infraestructura crítica en múltiples sectores. Y lo que hemos encontrado hasta la fecha es probablemente la punta del iceberg”, dijo la directora de CISA, Jen Easterly. “El asesoramiento y la guía conjuntos de hoy son el resultado de una colaboración operativa eficaz y persistente con nuestros socios industriales, federales e internacionales y reflejan nuestro compromiso continuo de brindar orientación oportuna y práctica a todas nuestras partes interesadas. Estamos en una coyuntura crítica para nuestra seguridad nacional. Recomendamos encarecidamente a todas las organizaciones de infraestructura crítica que revisen e implementen las acciones contenidas en estos avisos e informen a CISA o al FBI sobre cualquier sospecha de Volt Typhoon o actividad de vida de la tierra”.

Source link