Los intentos de los ciberdelincuentes de amenazar los sistemas de TI están en constante evolución. Por ejemplo, entre las técnicas que vimos este año, cabe destacar en miles de sitios de comercio electrónico para robar datos personales y utilizar LinkedIn para instalar software espía. Además, estas técnicas funcionan: el daño causado por los delitos cibernéticos en 2018 alcanzó .
Ahora, investigadores del proyecto X-Force Red de IBM han desarrollado una prueba de concepto (PoC) que podría ser el siguiente paso en la evolución del delito cibernético. Se llama , y combina métodos técnicos con otros más tradicionales.
Cómo funciona el transporte de guerra
Buque de guerra utiliza un ordenador accesible, económico y de bajo consumo para llevar a cabo ataques de forma remota en las inmediaciones de la víctima, independientemente de la ubicación de los propios ciberdelincuentes. Para ello, se envía por correo ordinario un pequeño dispositivo que contiene un módem con conexión 3G como paquete a la oficina de la víctima. La presencia de un módem significa que el dispositivo se puede controlar de forma remota.
Gracias al chip inalámbrico incorporado, el dispositivo busca redes cercanas para monitorear sus paquetes de red. Charles Henderson, director de X-Force Red en IBM, explica: "Una vez que vemos que nuestro 'buque de guerra' llega a la puerta principal, a la sala de correo o al área de entrega de correo de la víctima, podemos monitorear remotamente el sistema y ejecutar herramientas para un ataque pasivo o activo a la red inalámbrica de la víctima”.
Ataque mediante buque de guerra
Una vez que el llamado "buque de guerra" está físicamente dentro de la oficina de la víctima, el dispositivo comienza a escuchar paquetes de datos a través de la red inalámbrica, que puede utilizar para penetrar en la red. También escucha los procesos de autorización del usuario para conectarse a la red Wi-Fi de la víctima y envía estos datos vía comunicación celular al ciberdelincuente para que pueda descifrar esta información y obtener la contraseña de la red Wi-Fi de la víctima.
Usando esta conexión inalámbrica, un atacante ahora puede moverse por la red de la víctima, buscando sistemas vulnerables, datos disponibles y robar información confidencial o contraseñas de usuario.
Una amenaza con enorme potencial
Según Henderson, el ataque tiene el potencial de ser una amenaza interna sigilosa y eficaz: es económico y fácil de implementar, y puede pasar desapercibido para la víctima. Además, un atacante puede organizar esta amenaza desde lejos, ubicado a una distancia considerable. En algunas empresas donde diariamente se procesa un gran volumen de correo y paquetes, es bastante fácil pasar por alto o no prestar atención a un paquete pequeño.
Uno de los aspectos que hace que el envío de guerra sea extremadamente peligroso es que puede eludir la seguridad del correo electrónico que la víctima ha implementado para evitar malware y otros ataques que se propagan a través de archivos adjuntos.
Proteger a la empresa de esta amenaza
Dado que se trata de un vector de ataque físico sobre el que no hay control, puede parecer que no hay nada que pueda frenar esta amenaza. Este es uno de esos casos en los que ser cauteloso con el correo electrónico y no confiar en los archivos adjuntos de los correos electrónicos no funcionará. Sin embargo, existen soluciones que pueden detener esta amenaza.
Los comandos de control provienen del propio buque de guerra. Esto significa que este proceso es externo al sistema de TI de la organización. detener automáticamente cualquier proceso desconocido en el sistema de TI. Conectarse al servidor de comando y control de un atacante utilizando un "buque de guerra" determinado es un proceso desconocido para seguridad, por lo tanto, dicho proceso se bloqueará y el sistema permanecerá seguro.
Por el momento, el transporte de guerra sigue siendo sólo una prueba de concepto (PoC) y no se utiliza en ataques reales. Sin embargo, la creatividad constante de los ciberdelincuentes significa que este método podría convertirse en realidad en un futuro próximo.
Fuente: habr.com