Exploits Zero Day cada vez más usados en ataques dirigidos

Aunque los tipos de amenazas son distintos, todos han seguido la misma evolución, y los exploits Zero Day no iban, claro, a ser una excepción. Me refiero a que nacen como un concepto a investigar, pero que con el tiempo terminan por convertirse en un producto comercial que encuentra un buen encaje en determinados mercados. Un ejemplo perfecto de ello son las botnets, redes de ordenadores, como las recientemente desmanteladas en Holanda, puestas a disposición de quién esté dispuesto a pagar por emplearlas con las intenciones (nunca buenas) que sean.

Una confirmación más de esa tendencia de mercado la encontramos en el blog de FireEye, más concretamente en esta entrada, en la que tras analizar los datos de los últimos años, se llega a la conclusión de que 2019 fue el año en el que más zero day exploits fueron empleados en ataques contra todo tipo de objetivos. Esto podría justificarse si en ese año se hubieran hecho públicas bastantes más vulnerabilidades de este tipo. Sin embargo no es el caso, por lo que todo apunta a que los que se descubren llegan antes a la industria del cibercrimen.

Para llegar a esta conclusión, la compañía se apoya en los datos recopilados por Mandiant Threat Intelligence, su servicio de recopilación de información sobre ciberamenazas, según el cual esto es la confirmación de una tendencia que se inició a final de 2017. Desde entonces, y cada vez más, se ha observado que estos grupos de delincuentes están facilitando más de este tipo de amenazas a sus clientes, especialmente en oriente medio. Una mayor acumulación de este tipo de inteligencia apunta, sin duda, al crecimiento del mercado alrededor de la misma.

Estas son algunos de los casos descritos en el informe:

• Un grupo descrito por los investigadores como Stealth Falcon y FruityArmor ha dirigido varios ataques a periodistas y activistas en oriente medio, utilizando un malware que aprovechó tres zero day exploits de iOS.
• SandCat, entidad sospechosa de estar vinculadas a la inteligencia del estado de Uzbekistán, habría utilizado varios exploits en operaciones contra objetivos en oriente medio. Este grupo podría haber adquirido sus armas en las mismas fuentes que Stealth Falcon, ya que ambos emplearon las mismas.
• Según los investigadores, el grupo de espionaje chino APT3 explotó la vulnerabilidadd CVE-2019-0703 en ataques dirigidos en 2016.
• FireEye observó que el grupo norcoreano APT37 realizó una campaña de 2017 que aprovechó la vulnerabilidad Adobe Flash CVE-2018-4878. Este grupo ha demostrado una gran capacidad para emplear zero day exploits.
• Desde diciembre de 2017 hasta enero de 2018, varios grupos chinos aprovecharon CVE-2018-0802 en una campaña dirigida a múltiples industrias en Europa, Rusia, el sudeste asiático y Taiwán. Al menos tres de cada seis vulnerabilidades see explotaron antes de que se emitiera el parche para las mismas.
• En 2017, los grupos rusos APT28 y Turla aprovecharon varias vulnerabilidades de día cero en productos de Microsoft Office.

En un primer vistazo puede dar la sensación de no ser demasiado, pero claro, hay que tener en cuenta que encontrar un zero day exploit en aplicaciones y sistemas operativos de uso extendido no es algo sencillo. Sin ser una tarea imposible, sí que podemos asemejarla a encontrar diamantes en Minecraft: puedes tener suerte o puedes pasar días y días picando sin encontrarlos.

Así pues, hablamos de un tipo concreto de amenaza que resulta bastante preocupante, pues lo que nos plantea es que podemos estar enfrentándonos a amenazas desconocidas (quizá incluso para los creadores del software que las sufre). Solo una política de seguridad que incluya medidas y herramientas capaces de detectar comportamientos y acciones anómalas, como UEBA, puede ser de ayuda en estos casos. Y, desde luego, aquí tenemos un ejemplo más de que la filosofía Zero Trust es un gran acierto, de cara a limitar posibles daños.

Fuente: Muy Seguridad