Asegurar SWIFT mediante el uso de Cyber Kill Chain (II)

Por Vimal Mani, CISA, CISM, Six Sigma Black Belt

Como se vió en la primera parte, Cyber Kill Chain tiene las siguientes fases:

• Reconnaissance (Reconocimiento)
• Development of a cyberweapon (Desarrollo de un arma)
• Delivery of the cyberweapon (Entrega del arma)
• Exploitation and installation (Explotación e Instalación)
• Establishment of a command-and-control (C&C) center (Establecimiento de un Centro de Comando y Control)
• Achievement of the objectives (Logro de los objetivos)

Reconocimiento

Esta es la fase en la que los delincuentes informáticos recopilan diversos tipos de información sobre el objetivo y la infraestructura SWIFT del objetivo. La recopilación inicial de información se puede realizar mediante el estudio de objetivos a través de sitios web públicos, ingeniería social con empleados en las redes sociales y el uso de otra información disponible públicamente de varios foros.

También puede incluir técnicas como el escaneo de puertos que conectan la infraestructura SWIFT en busca de vulnerabilidades y servicios y aplicaciones que son vulnerables y pueden ser explotados. Esta fase puede tener lugar en el transcurso de algunas semanas, meses o incluso más de un año, dependiendo del tamaño del objetivo y sus medidas de protección de la información.

Desarrollo de un arma

En esta fase, los delincuentes analizan la información recopilada en la fase anterior para planificar el arma que se utilizará en el ataque. Esta arma se desarrolla en base al análisis de la información recopilada sobre el objetivo y la infraestructura de SWIFT. Por ejemplo, un atacante puede incrustar una payload entregable en un documento PDF o Word, o enviar una URL maliciosa que podría redirigir a los usuarios a un sitio cargado de malware.

Entrega del arma

Las herramientas desarrolladas generalmente se entregan al objetivo a través de publicidad maliciosa: correos electrónicos de phishing que tienen una URL maliciosa o archivos adjuntos. Las armas pueden guardarse en secreto en un sitio web, lo que permite ataques del tipo drive-by. La entrega de estas armas también puede ocurrir a través de una aplicación vulnerable (particularmente aplicaciones web), ataques de inyección SQL, XSS, etc. Estas armas incluso se pueden plantar fácilmente en un dispositivo USB u otro medio extraíble. Los dispositivos utilizados por el usuario siguen siendo los objetivos principales para la entrega de estas herramientas.

Explotación e Instalación

Un ataque comienza con la entrada de malware en los sistemas de información de la organización víctima. El malware puede ocultarse del escaneo de dispositivos de seguridad a través de una variedad de métodos, incluida la manipulación de los procesos de seguridad. Una vulnerabilidad existente en la infraestructura de SWIFT puede explotarse para enviar malware a la infraestructura de SWIFT a través de varios tipos de ataques, sin mucha dificultad.

Establecimiento de un Centro de Comando y Control (C&C)

Los atacantes configuran servidores dedicados de comando y control (C&C) para extraer los datos de la infraestructura SWIFT infectada o explotar la infraestructura para enviar mensajes SWIFT fraudulentos. Estos servidores de C&C usan técnicas de cifrado para ocultar sus pistas. Una vez que el malware se instala con éxito en el sistema de destino, los servidores de C&C controlados por delincuentes comienzan a comunicarse con el malware instalado. Esto les permite manipular de forma remota la infraestructura SWIFT comprometida para gestionar, mantener y evolucionar el ataque.

Logro de los objetivos

Después de comprometer el sistema, el primer trabajo de un atancate es encontrar servidores desprotegidos que contengan datos confidenciales y desprotegidos que se enviarán a los servidores de C&C establecidos previamente. Como objetivo, el delincuente podría incluso eliminar cualquier dato no protegido encontrado.

Esta imagen ilustra una cadena de actividades de Cyber ​​Kill involucradas en un ciberataque.

Deben abordarse múltiples áreas potenciales de riesgo de seguridad en cada fase de Cyber ​​Kill Chain, en relación con los ataques cibernéticos lanzados en la infraestructura SWIFT de una organización.

La imagen siguiente resume las diversas fases de la , el riesgo de seguridad involucrado y algunas medidas de mitigación de riesgos.

Para abordar de manera efectiva la gama de factores de riesgo de seguridad que involucran la infraestructura SWIFT, la SWIFT Corp global ha emitido un sólido conjunto de controles llamado SWIFT Customer Security Controls Framework, y ha ordenado su uso por la comunidad global de servicios bancarios y financieros a través de bancos centrales regionales que son los reguladores de regiones específicas.

Conclusión

Los recientes ataques han sacudido la fe en las medidas de seguridad tradicionales implementadas en organizaciones globales dentro y alrededor de la infraestructura de SWIFT. Por lo tanto, es una obligación ineludible que los directores de seguridad de la información (CISO) y los directores de información (CIO) echen un vistazo mucho más profundo a la cadena de ataques de Cyber ​​Kill dirigidos a SWIFT, e implementen controles de seguridad enfocado en varias capas y pensando en un enfoque de defensa en profundidad.

Esto ayudará a prevenir ataques en las fases avanzadas de la Cyber ​​Kill Chain, incluso si la fase anterior ha sido ejecutada con éxito por el delincuentes informático. Es muy importante mencionar que la empresa debe proporcionar todo el soporte requerido a los equipos de seguridad de la información y de TI para implementar y mantener una postura de seguridad efectiva en torno a la infraestructura SWIFT en la organización.

Nunca debe verse como una responsabilidad exclusiva de los equipos de TI y seguridad. Está claro que asegurar la infraestructura SWIFT de una organización es responsabilidad del negocio, habilitado por las funciones de seguridad de la información y TI.

Fuente: ISACA

Suscríbete a nuestro Boletín