Cloud Hopper: Una perspectiva de confianza cero

Cloud Hopper, la campaña de hackeo sospechosa de ser orquestada por operativos chinos patrocinados por el gobierno (cariñosamente conocida como “APT10”), se desarrolló desde 2014 hasta al menos 2017, e impactó a múltiples empresas occidentales en una variedad de industrias. Esta recopilación específica de ciberespionaje fue tan significativa que siguió atrayendo la atención tanto en los medios de seguridad como de negocios debido a la escala de la operación, el rango de organizaciones a las que se apuntaba, el tipo de información recopilada y, lo que es más importante, la naturaleza misma de la brecha inicial. Cloud Hopper logró su ahora conocido nombre debido al compromiso de los atacantes con las víctimas proveedores de servicios administrados (MSP), aprovechando estos para “saltar” de la “nube” de los MSP a las redes de las empresas de destino.

Ha habido muchos resúmenes excelentes y escritos detallados de la violación, como los detallados Operación Cloud Hopper informe de PWC, que proporciona un análisis profundo de la violación. En lugar de repetir la misma información aquí, veremos Cloud Hopper desde la perspectiva de un Cero Confianza marco, y específicamente en cómo la adopción de este tipo de enfoque de seguridad podría haber reducido la efectividad de los atacantes.

Forrester Research introdujo por primera vez Zero Trust hace casi una década, abogando por un cambio de la actitud de seguridad de “confiar pero verificar” a un enfoque de “no confiar en nada, monitorear todo, menos privilegio”. Este cambio, de depender de un gran perímetro para proteger a un grupo de muchos activos a uno donde cada activo se considera un objetivo, tiene como objetivo eliminar la confianza inherente que hace que las empresas sean más vulnerables a los ataques.

El Marco de confianza cero se extiende a través de siete pilares que, cuando se combinan, proporcionan una estrategia integral para asegurar la empresa. También proporciona un punto de partida útil para analizar por qué un ataque fue exitoso y comprender qué pilar podría haber ayudado a frustrar el ataque si hubiera sido más fuerte. Como se hará evidente, Cloud Hopper tuvo mucho éxito debido a los excesivos niveles de confianza, que los atacantes pudieron explotar en una tormenta perfecta de deficiencias de control.

El punto de partida, como ocurre con muchas brechas de datos, fue el compromiso del pilar Personas. Lanza altamente dirigida ataques de phishing documentos apalancados adaptados tanto al sector de la empresa a la que va dirigido, como a la función laboral del individuo que recibe el mensaje. Esto ayudó a asegurar carga maliciosa fue ejecutado, permitiendo que el atacante se afiance en la red del MSP y obtenga las credenciales de una víctima. Además, si las víctimas tenían acceso administrativo, se reducía aún más la “barrera de entrada”. A partir de un Cero Confianza en perspectiva, el acceso privilegiado debe entregarse “Justo a tiempo” (solo durante el período de tiempo requerido y eliminado una vez que el acceso ya no sea necesario) en función de las necesidades del negocio aprobadas por un sistema autorizado.

El siguiente pilar en caer fue la Red. El malware realizó un reconocimiento en la red de la organización, mapeó los activos clave, estableció puntos de apoyo persistentes y determinó cómo podría alcanzar de manera más eficiente su objetivo previsto. En el caso de Cloud Hopper, esto significaba tejer una ruta desde el host comprometido inicial (a menudo llamado “cabeza de playa”) en la red MSP hasta el objetivo final en el entorno del cliente. Otro elemento clave de la red fue la capacidad del malware para enviar información y recibir instrucciones a través de su entorno de Comando y Control (CNC o C2) en internet. Estas dos fases (reconocimiento a través de capacidades de recorrido de red y llamadas a casa) se analizarán por separado, ya que destacan distintos tipos de fallas abordadas en los principios de seguridad de red del marco Zero Trust.

Tomando primero la pieza llamada a casa, el malware dependía en gran medida de poder hablar con su infraestructura CNC, hasta el punto de que se eliminaría por completo si este acceso fallaba. Los entornos de escritorio, donde el malware se entrega con mayor frecuencia, a menudo utilizan proxies web para acceder a Internet, dado que el acceso a Internet es esencial para la productividad. Las organizaciones deben tener mucho cuidado en la forma en que se administra este acceso, asegurando que solo los usuarios autorizados y autenticados tengan acceso al proxy, y que este acceso esté en el nivel mínimo para que los usuarios realicen sus funciones comerciales como de costumbre. Sin embargo, a pesar de que estos controles se implementan correctamente, los atacantes solo necesitan registrar dominios y colocarlos en la categoría legítima del proveedor de filtrado web para eludir estos controles de nivel de proxy. En tales casos, el registro y monitoreo de todo el acceso a la web debe ser obligatorio y estar vinculado a algunos análisis de comportamiento del usuario final de manera que se puedan identificar e investigar desviaciones de la actividad normal.

La verdadera clave del éxito de Cloud Hopper fue la capacidad de los atacantes de moverse lateralmente.

Pero la verdadera clave del éxito de Cloud Hopper fue la capacidad de atacantes para moverse lateralmente dentro de cada red MSP, con pocas restricciones. Esto les permitió construir rápidamente un mapa de hosts, procesos y puertos disponibles que podrían ser explotados, y determinar cuál podría ser el más adecuado para aprovechar en la siguiente fase del ataque. Para usar una frase militar, esto a menudo se describe como una campaña de “isla en isla” por profesionales cibernéticos. La recolección exitosa de credenciales de usuario privilegiadas y acceso a la red relativamente sin restricciones permitió a los atacantes acceder a los sistemas de una manera que parecía legítima, utilizando protocolos de administración comunes, lo que les permitió volar bajo el radar. El reconocimiento de red de relativamente bajo esfuerzo permitió la fácil identificación de hosts de salto que proporcionaban el acceso MSP a la red de cada cliente, desde donde los atacantes pudieron acceder a los objetivos reales de sus esfuerzos.

Esta es una amalgama del fracaso de los pilares de confianza cero para dispositivos, redes y cargas de trabajo. Redes planas — redes con poca o ninguna segmentación — son un campo de juego para el adversario y esta situación no fue la excepción. La falta de segmentación o monitoreo adecuados en la red interna del MSP permitió que los atacantes se movieran sin esfuerzo y sin detección. La segmentación habría bloqueado la capacidad de los atacantes para mapear la red, identificar rutas abiertas o moverse, excepto según lo permitido explícitamente por la política. La visibilidad de todo el tráfico de la red habría proporcionado información sobre los movimientos del atacante, posiblemente desencadenando una investigación lo suficientemente temprana como para detener el ataque antes de que encontrara sus datos objetivo. Los activos clave como los servidores salto (también conocidos como hosts bastión) tenían conectividad tanto con las redes MSP como con las redes cliente, pero no estaban adecuadamente protegidos en términos de acceso de red o de usuario. El exigir alguna forma de Administración de Acceso Privilegiado para todo el acceso al servidor de salto habría limitado severamente la capacidad de los atacantes para penetrar en las redes del cliente.

El ataque Cloud Hopper resalta la falla de múltiples controles de seguridad clave y refuerza la necesidad de un enfoque diferente de la seguridad, un enfoque en el que las organizaciones asumen que la probabilidad de una violación es del 100% y diseñan sus entornos para poder detectar rápidamente una brecha y minimizar su impacto. Dada la forma en que operan los atacantes avanzados, el enfoque más prudente es aquel en el que, desde cero, todo se construye desde el principio de privilegio mínimo : un enfoque de confianza cero para la seguridad.