Comparte:
Ciberseguridad
10 de junio de 2014

Malware ‘de serie’

Malware ‘de serie’

Malware ‘de serie’

Escrito por , 10/06/2014

Hace unos días me llamó la atención esta noticia aparecida en los medios: el CEO de Cisco había enviado una carta a Barack Obama pidiéndole que pusiera límites a las actividades de la NSA.

¿Por qué tanto revuelo? Esa carta era en realidad una reacción a otra información de la semana anterior que había pasado más desapercibida. La noticia original apareció en The Guardian y hacía referencia al libro No place to hide de Glenn Greenwald, uno de los periodistas involucrados en el affaire Snowden. Pocos días después, en Ars Technica se publicaron más detalles y fotos extraídas del libro. En ellas se ve a técnicos de la NSA abriendo cuidadosamente la caja de un equipo Cisco antes de ser enviado a la exportación, con el objetivo de modificar el equipo para implantarle malware y después reempaquetarlo en su caja original y enviarlo a su destino final.

malware ciscoImagen: Post de Ars Technica

Entre los detalles se incluye un texto supuestamente extraído de un documento interno de la NSA, que prefiero reproducir en versión original:

Here’s how it works: shipments of computer network devices (servers, routers, etc,) being delivered to our targets throughout the world are intercepted. Next, they are redirected to a secret location where Tailored Access Operations/Access Operations (AO-S326) employees, with the support of the Remote Operations Center (S321), enable the installation of beacon implants directly into our targets’ electronic devices. These devices are then re-packaged and placed back into transit to the original destination. All of this happens with the support of Intelligence Community partners and the technical wizards in TAO.

Lo explica muy bien y muy clarito. A cualquier CISO (Director de Seguridad de la Información) que haya leído el texto se le habrán puesto los pelos de punta. “Pero ¿eso puede hacerse?”, se preguntará.

“Claro que sí, my friend”. La NSA es una agencia de espionaje, de modo que sabe y puede hacer estas cosas sin llamar la atención. Pueden acceder a los listados de equipos en tránsito hacia la exportación y tienen acceso a los almacenes de las aduanas.

Como diría alguien, tienen el móvil, los medios y la oportunidad. No era la primera vez que se había acusado a la NSA de estas prácticas. A finales de 2013 habían aparecido en la revista alemana Der Spiegel varios artículos explicándolo en detalle.

Así que el asunto ha salido a la luz a raíz de las filtraciones de Snowden pero la cuestión es que la NSA ya estaba realizando estas actividades desde el año 2010 o incluso desde 2008, según la fuente. Los escépticos dirán que no es nada nuevo bajo el sol, que las agencias de espionaje de distintas potencias se dedican a esto y están dispuestas a hacer lo que sea para conseguir sus objetivos.

La publicación de las fotografías en el artículo de Ars Technica ha sido el detonante para la carta de John Chambers llamando la atención al presidente de Estados Unidos por las actividades de su agencia de inteligencia. Y es que no es lo mismo imaginarse estas actividades que verlas en fotografías. En este caso más que en ningún otro, una imagen vale más que mil palabras. La carta del CEO de Cisco es sobre todo un ejercicio de marketing, porque la NSA y las demás agencias seguirán haciendo de las suyas.

Aunque ha sido Cisco el fabricante que se ha decidido a dar el paso, conviene recordar que este problema no es específico de esta compañía. En el artículo de Der Spiegel se hace referencia a que estas tácticas han sido utilizadas con equipos Juniper, Huawei, HP o Dell. Así que parece que esto podría ser más frecuente de lo que piensan algunos.

El caso es interesante ya que entra de lleno en esa categoría a veces difusa que se denomina Advanced Persistant Threats (APT). Está claro que un ataque de este tipo es un ataque dirigido y está ejecutado por un atacante con recursos y decidido a conseguir su objetivo.

La cuestión que surge de manera inmediata es ¿qué controles puede establecer una organización para protegerse frente a amenazas tan sofisticadas como éstas?

Una posible medida sería que en el momento en el que el cliente recibe el equipo se descargara la versión software de la web del fabricante, verificara el código y reinstalara el sistema operativo. Para el caso de routers Cisco IOS existe un documento que explica este procedimiento. Aunque ésta es una buena práctica, desafortunadamente sería inútil para protegerse frente a este ataque en concreto porque los detalles publicados sugieren que estos implantes de malware están diseñados para sobrevivir a actualizaciones de software. El malware está profundamente insertado en la BIOS o en la boot ROM, de forma que su principal característica sea la persistencia. En el caso de routers Cisco estamos hablando de la ROM monitor (ROMmon), que es como la BIOS del dispositivo, proporciona una interfaz de comandos limitada, tiene sus propias capacidades de comunicación a través de la red y permite cargar una imagen del sistema operativo Cisco IOS.

Las soluciones de software de seguridad del estilo de un agente antimalware que son comunes en puesto de trabajo como Windows, Mac OSX o Linux, no están disponibles para los equipos de comunicaciones. Cisco IOS es además un sistema operativo monolítico, de modo que no hay mucho que se pueda hacer en este sentido.

Una medida que tendría más probabilidades de éxito es la monitorización del tráfico de red. Un malware implantado en un equipo necesita comunicarse con el atacante para recibir comandos, para actualizarse o para enviar información sensible. Esta comunicación se realiza mediante un canal encubierto a través de Internet, de modo que intenta pasar lo más desapercibido posible mezclándose con miles de flujos de tráfico desde la empresa hacia Internet.

La monitorización de tráfico es potencialmente muy útil ya que se enfoca en la detección de patrones de tráfico anormales que puedan ser indicadores de un malware que esté intentando comunicarse con el exterior. Esta comunicación es una actividad continuada y, por lo tanto, existen más oportunidades para detectarla frente a la alternativa de detectar la infección, que es mucho más difícil: ocurre en un momento puntual, puede basarse en un mecanismo desconocido (vulnerabilidad de día cero) o bien ocurrir de una forma que escapa totalmente a las medidas de control de la empresa (tal como hemos visto, infección del equipo durante su suministro).

Hagamos un ejercicio de ficción: supongamos que se ha ejecutado un ataque de este tipo contra nuestra organización. A pesar de disponer de múltiples tecnologías de seguridad la intrusión ya ha tenido lugar, así que alguno de los routers de la organización está ya comprometido. Aunque sea a posteriori, la única esperanza es detectar la intrusión y responder para contenerla y eliminarla. Al fin y al cabo lo peor que puede pasar no es la intrusión en sí, sino que esta situación se perpetúe durante meses o años sin ser detectada.

Supongamos que tenemos la posibilidad de monitorizar el tráfico de red para buscar anomalías. Veamos si esto nos podría ayudar.

Analicemos el tráfico de los routers, con especial atención a las conexiones salientes. Por ejemplo, si detectamos conexiones web originadas en algún router hacia el proxy o directamente hacia Internet sería para desconfiar. Los routers no suelen navegar por Google, Facebook o cualquier otra web de Internet, así que un comportamiento de este tipo se alejaría de lo normal y debería ser investigado.

Si vemos paquetes ICMP (Protocolo de Mensajes de Control de Internet) salientes de un router no sería algo raro. De vez en cuando estos dispositivos generan mensajes ICMP del tipo Time exceeded o Destination unreachable hacia hosts en Internet. Sin embargo, sí que sería llamativo un volumen significativo de paquetes de este tipo, que podría indicar un canal encubierto basado en ICMP.

La detección de consultas DNS (Sistema de Nombres de Dominio) desde cualquier router directamente hacia direcciones IP de Internet sería algo singular, pero no llamaría la atención si el destino es el servidor DNS caché de la organización. El problema del protocolo DNS es que a priori puede parecer inofensivo, pero el tunneling DNS es una técnica muy potente como canal encubierto. Un volumen extraordinario de consultas DNS o la aparición de texto codificado en registros TXT sería ciertamente inusual y merecería una investigación más minuciosa.

Estos ejemplos muestran que la monitorización de tráfico es una técnica laboriosa pero potencialmente útil para identificar equipos comprometidos. Es como buscar una aguja en un pajar. Sabemos que está ahí. Sólo es cuestión de mirar en el lugar adecuado para encontrarla.

Imagen: skeley

Sobre el autor

Santiago Pérez Iglesias

Santiago Pérez Iglesias

Ingeniero de Telecomunicaciones. He vivido la evolución de las redes IP en Telefónica España desde Infovía, pasando por Red UNO-IP, RUMBA y RIMA. Desde 1998 mi trabajo ha estado relacionado con la seguridad de sistemas y de redes IP. Durante un par de años me he dedicado a diseccionar el problema de la detección y mitigación de ataques DDoS. En los últimos tiempos me interesan las tecnologías para protegerse de los ataques dirigidos avanzados y su efectividad. Actualmente trabajo como arquitecto de seguridad en el equipo Security Architectures and Cyber Security Intelligence & Research.
Ver todos sus artículos »