Los ciberespías rusos apuntan a los CSPs y a los distribuidores para abusar del acceso delegado

El grupo de hackers responsable del ataque a la cadena de suministro de software de SolarWinds, conocido como Nobelium, ha seguido buscando formas de acceder indirectamente a las redes de las empresas, apuntando a los proveedores de servicios de TI y de la nube (CSP) que tienen derechos de administración en los sistemas de sus clientes en virtud de su relación comercial.

En un nuevo informe dado a conocer esta semana, Microsoft ha advertido de que, desde mayo, aquel grupo ha atacado a más de 140 distribuidores de servicios en la nube y proveedores de tecnología y ha logrado comprometer a otros 14, al menos. Nobelium, también conocido como APT29 o Cozy Bear, es considerado el brazo de hacking del servicio de inteligencia exterior ruso, el SVR.

"Esta actividad reciente es otro indicador de que Rusia está tratando de obtener un acceso sistemático a largo plazo a diversos puntos de la cadena de suministro de tecnología y de establecer un mecanismo para vigilar -ahora o en el futuro- objetivos de interés para el gobierno ruso", ha admitido Tom Burt, vicepresidente corporativo de Seguridad y Confianza del Cliente de Microsoft.

Comprometer a uno para comprometer a muchos en la cadena de suministro

Los ataques a la cadena de suministro pueden adoptar muchas formas. Pueden consistir en actualizaciones de software troyanizadas, como en los incidentes de SolarWinds, CCleaner (Winnti), NetSarang (ShadowPad) o M.E.Doc (NotPetya), o pueden implicar el abuso del acceso privilegiado concedido a contratistas externos, socios comerciales o proveedores de servicios de TI.

La brecha en las tarjetas de crédito de Target en 2013 se remonta a las credenciales comprometidas de un subcontratista de HVAC. En los últimos años, muchos proveedores de servicios gestionados (MSP) de todo el mundo fueron objetivo de grupos de ransomware para abusar de su acceso a las redes corporativas.

Aunque los expertos en seguridad llevan tiempo advirtiendo de los riesgos de la cadena de suministro, las empresas se han quedado atrás a la hora de establecer los controles y la supervisión necesarios para detectarlos.

Parte de la razón por la que estos ataques pueden ser un gran punto ciego es porque la defensa contra ellos requiere una combinación de tecnologías, incluyendo inventarios actualizados de activos de TI y de software, análisis de registros, monitorización del comportamiento, tráfico de red y uso de credenciales, aplicación de los principios de mínimo privilegio para las cuentas y el software, autenticación multifactor, etc. Y eso no es tan fácil como poner un parche a una vulnerabilidad o desplegar la detección de malware en el punto final.

De hecho, la mayoría de los ataques de Nobelium que ha visto Microsoft no aprovechan ninguna vulnerabilidad. En su lugar, el grupo utiliza técnicas bien conocidas como el spear phishing, el robo de tokens de acceso, el abuso de APIs desprotegidas y el password spraying (es decir, probar contraseñas comunes con una lista de nombres de usuario presentes en el sistema). De hecho, un ataque exitoso a la cadena de suministro puede recopilar credenciales para poner en marcha otros ataques.

En un caso concreto, los investigadores de Microsoft rastrearon un ataque Nobelium a través de cuatro proveedores distintos antes de llegar a un cliente posterior. El grupo obtuvo acceso a un proveedor de servicios en la nube y lanzó un ataque de spear-phishing contra un MSP. Con las credenciales obtenidas del MSP, saltaron a otro proveedor de servicios en la nube, donde explotaron una relación de confianza de AD Azure para acceder a un proveedor de TI y finalmente saltar a la red de la víctima final.

"Al robar las credenciales y comprometer las cuentas a nivel del proveedor de servicios, Nobelium puede aprovechar varios vectores potenciales, incluyendo pero no limitado a los privilegios administrativos delegados (DAP), y luego aprovechar ese acceso para extender los ataques descendentes a través de canales de confianza como VPNs de cara al exterior o soluciones únicas de proveedor-cliente que permiten el acceso a la red", advirtieron los investigadores en un aviso.

Los piratas informáticos son muy hábiles para investigar y comprender las relaciones comerciales y de acceso entre varios proveedores de servicios, distribuidores de suscripciones y sus clientes o socios. Las organizaciones que finalmente se ven comprometidas se seleccionan cuidadosamente en función de su valor para los esfuerzos de recopilación de información.

Tanto es así, que Microsoft considera que empresas como los proveedores de servicios en la nube y otras organizaciones tecnológicas que gestionan los servicios en nombre de los clientes, serán de interés continuo para los actores de las amenazas persistentes, y corren el riesgo de ser atacadas a través de una variedad de métodos, desde el acceso a las credenciales hasta la ingeniería social dirigida a través de procesos y procedimientos empresariales legítimos.

Según la compañía, los comportamientos y características comunes a las intrusiones de Nobelium incluyen el aprovechamiento de la infraestructura "anónima", que puede incluir servicios proxy de baja reputación, servicios de alojamiento en la nube y TOR, para autenticar a las víctimas.

Se ha observado que Nobelium aprovecha las capacidades de scripting, incluyendo pero no limitándose a RoadTools o AADInternals, para llevar a cabo la enumeración de Azure AD, lo que puede dar lugar a la autenticación con agentes de usuario de entornos de scripting.

Además, se ha observado que Nobelium se autentifica en cuentas de ubicaciones anómalas que podrían activar análisis de viajes imposibles o no pasar las políticas de acceso condicional desplegadas, junto con la modificación de Azure AD para permitir la persistencia a largo plazo y el acceso a información sensible. Esto puede incluir la creación de usuarios, el consentimiento de las aplicaciones de Azure AD, la concesión de roles a usuarios y aplicaciones, y la creación de credenciales principales de servicio adicionales.

En un incidente, MSTIC observó el uso de Azure RunCommand, emparejado con Azure admin-on-behalf-of (AOBO), como técnica para obtener acceso a máquinas virtuales y cambiar el acceso de la nube a las instalaciones.

Además, Nobelium ha demostrado un interés constante en atacar a los usuarios privilegiados, incluidos los administradores globales. La seguridad de las organizaciones de riesgo se ve reforzada en gran medida por la priorización de los eventos que se detectan en las cuentas privilegiadas.

A menudo se observa a Nobelium realizando actividades consistentes con la recopilación de inteligencia. La monitorización rutinaria de varias fuentes de registro en busca de anomalías consistentes con la exfiltración de datos puede servir como una alerta temprana de compromiso.

Por eso, las organizaciones que ya han sido objetivo de Nobelium podrían experimentar una actividad recurrente y se beneficiarían de la implementación de una supervisión proactiva de nuevos ataques.

Cómo mitigar los ataques a la cadena de suministro de Nobelium

Microsoft ha publicado una guía específica para los socios y distribuidores que operan en sus plataformas en la nube. Los requisitos de seguridad del Centro de Socios de Microsoft incluyen el uso de la autenticación multifactor y las políticas de acceso condicional para el acceso entre inquilinos, así como la supervisión del registro de actividad del Centro de Socios para cualquier actividad sospechosa de los usuarios, la creación de usuarios con altos privilegios y la asignación de roles, etc.

De forma más general, se aconseja a todos los socios que eliminen los privilegios administrativos delegados que ya no estén en uso. Los clientes finales proporcionan DAP a sus proveedores de servicios para que gestionen sus suscripciones en su nombre. Microsoft tiene previsto introducir una herramienta que ayudará a los socios a descubrir las conexiones DAP no utilizadas, así como a revisar cómo se utilizan sus conexiones DAP activas.

Los clientes de la red de distribución también deben revisar, auditar y minimizar los privilegios de acceso y los permisos delegados que han concedido a los socios, así como revisar todas las cuentas de administrador y los dispositivos autorizados para el uso de MFA en esas cuentas.

Además de utilizar las capacidades de privilegios administrativos delegados, algunos proveedores de servicios en la nube utilizan cuentas de empresa a empresa (B2B) o cuentas de administrador local en los inquilinos de los clientes", reconocen desde Microsoft, que también recomienda identificar si sus proveedores de servicios en la nube utilizan estas cuentas y, en caso afirmativo, se asegure de que esas cuentas estén bien administradas y tengan acceso con los mínimos privilegios en su tenant. En todo caso, Microsoft desaconseja el uso de cuentas de administrador "compartidas.

Los inicios de sesión de Azure AD y los cambios de configuración también deben revisarse periódicamente a través de los registros de inicio de sesión de Azure AD, los registros de auditoría y el centro de cumplimiento de Microsoft 365. Las organizaciones deben conocer las opciones de registro disponibles en sus plataformas en la nube, así como preguntar a los socios que gestionan dichos servicios para ellos sobre sus propias políticas de registro y uso.

Microsoft también ha publicado en GitHub detecciones y consultas de caza para Azure Sentinel, así como detecciones para Microsoft 365 Defender y Microsoft Cloud App Security que pueden utilizarse para detectar algunos de los comportamientos y técnicas asociados a los ataques a la cadena de suministro como los realizados por Nobelium.