Si
bien es cierto la extracción de datos es conocida como la transferencia no
autorizada de información sensible desde un punto de la red a una ubicación
controlada por el actor de una amenaza. Debido a que los datos se mueven
normalmente dentro y fuera de las empresas on line, la extracción de estos
puede asemejarse al tráfico de red normal, de tal forma que hace difícil la
detección de sus intentos por parte de los grupos de seguridad.
Como
en muchas ocasiones los costos del ciberespionaje que van dirigidos a una
organización suelen verse como consecuencia de una causa, entre los gastos
iniciales del descubrimiento de la brecha se incluyen las actividades de
respuesta al incidente, gestión de la crisis y penas impuestas al
incumplimiento, los cuales a su vez son parte de los cálculos del riesgo.
Una
amenaza a la supervivencia de la empresa se puede ver reflejada en la perdida
de ventaja competitiva en el caso de que la información confidencial sea
vendida a una empresa de la competencia. Cabe mencionar que al hablar de la
“pérdida” ésta representa más que los gastos de la investigación y desarrollo
del producto, ya que también engloba las oportunidades de ventas y
liderazgo en el mercado.
Un
ejemplo claro está plasmado en lo que sucedió con los ataques de Shadow
Network, los atacantes lograron extraer documentos clasificados como secretos,
datos confidenciales y datos restringidos. En estos casos se debe tomar en
cuenta que los documentos etiquetados como tal, cuando se exponen públicamente,
pueden poner en peligro la seguridad nacional, como documentos confidenciales
con datos relacionados con diseño, creación y uso de materiales nucleares o
armas.
Ya que
mientras que el impacto de los ataques es perceptible, el esfuerzo de desviar
los datos desde dentro de una red de infiltrados, no lo es.
Recientemente
Trend Micro publicó un informe sobre una campaña de ataques dirigidos que
utiliza EvilGrab, en donde las amenazas se introducen por la “puerta trasera” y
pueden capturar las pulsaciones del teclado, así como video y audio del entorno
del sistema, utilizando cámaras de video y micrófonos audio adjuntos. Dichas
características son parte integrante de cualquier troyano de acceso remoto.
Como con las actividades de extracción de datos típica, esta información robada
puede entonces subirse a un servidor remoto de fácil acceso por las amenazas.
Utilizar
las capacidades de transferencia de archivos de acceso remoto de los troyanos,
que son malware que permite a un usuario remoto tener control total de un
sistema comprometido es una forma de hacerlo. Los troyanos de acceso remoto u
otras herramientas de ataque similares probablemente ya estarán en uso de todas
formas, porque el paso anterior a un ataque dirigido requiere comunicación y
control en tiempo real por parte del atacante del sistema comprometido.
Por lo
tanto, los atacantes pueden también abusar de legítimas características de
Windows. Por ejemplo, los atacantes pueden
servirse de WMI (Windows Management Instrumentation) para monitorizar y capturar archivos recientemente abiertos. El atacante puede utilizar FTP o HTTP para enviar el archivo/s con el fin de engañar a los administradores analizando el tráfico de red cuando la comunicación es legítima. Alternativamente, el atacante puede usar Tor para enmascarar la ubicación y el tráfico.
servirse de WMI (Windows Management Instrumentation) para monitorizar y capturar archivos recientemente abiertos. El atacante puede utilizar FTP o HTTP para enviar el archivo/s con el fin de engañar a los administradores analizando el tráfico de red cuando la comunicación es legítima. Alternativamente, el atacante puede usar Tor para enmascarar la ubicación y el tráfico.
El
equipo de investigación de Trend Micro predice que en el futuro los
atacantes se centrarán no sólo en robar datos sino en modificarlos,
convirtiendo el objetivo principal de los ataques de espionaje en sabotaje.
Autor: Nataly Mejía
No hay comentarios:
Publicar un comentario