Como recordaréis, durante el 2019 aparecieron varias vulnerabilidades en productos VPN de diferentes fabricantes como Pulse Secure, Palo Alto Networks o Citrix. Como parte de nuestros servicios de Alerta Temprana tuvimos que notificar a numerosos clientes y dar una respuesta rápida y efectiva con el fin de evitar el enorme impacto que muchas de estas vulnerabilidades podían provocar. Pero, ¿qué pasó con las empresas que no hicieron los deberes?
Bueno, pues para entenderlo sólo hace falta echar un vistazo al informe que ha publicado ClearSky sobre la campaña Fox Kitten, en la que se explica con bastante detalle cómo hackers iraníes han atacado numerosas compañías de múltiples sectores: IT, defensa, telecomunicaciones, oil & gas, aviación, agencias gubernamentales y otros, poniendo especial interés en Israel pero desde luego que atacando a lo largo del mundo.
El informe deja bastante claro que, al contrario de lo que algunos se puedan esperar, las capacidades de las unidades iraníes es muy alta, detectándose los primeros ataques horas después de que se publicaran las vulnerabilidades. Entre otras, consiguieron aprovecharse de las siguientes vulnerabilidades:
- The Fortinet FortiOS VPN (CVE-2018-13379) - Exploit
- Palo Alto Networks "Global Protect" VPN (CVE-2019-1579) - Exploit
- Pulse Secure Connect VPN (CVE-2019-11510) - Exploit
- Citrix Aplication Delivery Controler & Citrix Gateway (CVE-2019-19781) - Exploit
Aparentemente, el objetivo principal ha sido penetrar el perímetro, realizar movimientos laterales y dejar preparados backdoors para su posterior explotación. Durante el proceso los APT Iraníes han utilizado técnicas comunes, herramientas open source, y como suele ser habitual, herramientas legítimas de administración de sistemas, como putty o plink. Sin embargo, también se ha detectado el uso de herramientas propias, entre las que se encuentran:
- STSRCheck, una herramienta de escaneo y fuerza bruta automatizada contra puertos de interés (22, 23, 80, 445, 1433, 3306, 3389).
- POWSSHNET, que permite hacer RDP a través de un tunel SSH.
- Port.exe, una herramienta de escaneo de puertos que, al contrario que STSRCheck, admite parametrizar los puertos a escanear.
- Scripts VBS, que permiten la descarga de ficheros de texto desde el servidor C&C que posteriormente son unidos para generar ficheros ejecutables.
- Ejecutables que abren conexiones basadas en sockets contra direcciones IP hardcodeadas.
Un punto interesante es que en el informe se confirma que múltiples grupos han actuado en conjunto como un único adversario, cosa que no se había producido anteriormente. Al menos se señala a APT33 (Shamoon), APT34 (Oilrig), y APT39 (Chafer), grandes conocidos en la región.
A pesar de que en estos ataques se han plantado backdoors para vigilancia, el informe sospecha que en cualquier momento se pueda utilizar malware para la destrucción de información en discos duros, o que alternativamente, puedan usarse los ataques iniciales como base de ataques a la cadena de suministro de otros clientes de las compañías comprometidas.
De hecho, alertas recientes del FBI avisan de este tipo de ataques, incluyendo ataques a compañías que dan soporte a Sistemas de Control Industrial (ICS) relacionados con la generación, transmisión y distribución de energía. Este sector ha sido un objetivo tradicional de los hackers iraníes en el pasado por motivos obvios. Estas mismas alertas del FBI mencionan que en estos ataques se ha usado código utilizado en el pasado por APT33. En concreto, el malware Kwampirs parece estar muy relacionado con Shamoon/Disttrack.
A pesar de que en estos ataques se han plantado backdoors para vigilancia, el informe sospecha que en cualquier momento se pueda utilizar malware para la destrucción de información en discos duros, o que alternativamente, puedan usarse los ataques iniciales como base de ataques a la cadena de suministro de otros clientes de las compañías comprometidas.
De hecho, alertas recientes del FBI avisan de este tipo de ataques, incluyendo ataques a compañías que dan soporte a Sistemas de Control Industrial (ICS) relacionados con la generación, transmisión y distribución de energía. Este sector ha sido un objetivo tradicional de los hackers iraníes en el pasado por motivos obvios. Estas mismas alertas del FBI mencionan que en estos ataques se ha usado código utilizado en el pasado por APT33. En concreto, el malware Kwampirs parece estar muy relacionado con Shamoon/Disttrack.
Merece la pena recordar que en el último ataque contra Bapco, la petrolera nacional de Bahrain, se utilizó precisamente este modus operandi. Compromiso a VPN, infiltración y destrucción de datos. ¿Dos más dos? Probablemente, pero ya sabemos que en el plano cyber el tema de la atribuciónse complica...
Así que... si tu compañía tenía alguna de estas soluciones en el perímetro, e incluso si ya habéis parcheado todos los sistemas, recordad realizar escaneos dentro de la red para buscar posibles amenazas que hayan penetrado antes del parcheo y estén ocultas. Y de regalo, recordad que también se han publicado fallos recientemente en SonicWall SRA & SMA, so...
Así que... si tu compañía tenía alguna de estas soluciones en el perímetro, e incluso si ya habéis parcheado todos los sistemas, recordad realizar escaneos dentro de la red para buscar posibles amenazas que hayan penetrado antes del parcheo y estén ocultas. Y de regalo, recordad que también se han publicado fallos recientemente en SonicWall SRA & SMA, so...
Patch & Hunt!