¡Tenemos un paquete para usted! Los Cibercriminales llaman a tu puerta
El Servicio Postal de EE. UU. Procesa y entrega 484.8 millones de paquetes de correo de primera clase al día, aproximadamente un paquete y medio por persona en los EE. UU., Eso en un solo día... Y sin tener en cuenta los millones de envíos entregados a través de correos internacionales. Las opciones de entrega a pedido, gratuitas y en el mismo día significan que prácticamente cualquier cosa es accesible en cualquier momento y puede enviarse directamente a nuestra puerta. Lo que la mayoría de las personas no se dan cuenta es que algunos paquetes que reciben pueden estar buscando robar información personal o confidencial. Y la proliferación de entregas de paquetes relacionados con el comercio electrónico es exactamente lo que los ciberdelincuentes pueden explotar con una táctica que IBM X-Force Red llama “warshipping" (buque de guerra).
IBM X-Force Red ha estado investigando cómo los ciberdelincuentes podrían intentar explotar las entregas de paquetes para acceder a redes corporativas o redes domésticas personales directamente desde la sala de correo de la oficina o desde la puerta de entrada de alguien. Pensemos en el volumen de cajas que se mueven diariamente a través de una sala de correo corporativa. O consideremos los paquetes que se dejaron en el porche de la casa de un CEO, ubicados dentro del alcance de la red Wi-Fi de su hogar. Utilizando el buque de guerra, X-Force Red pudo infiltrarse en redes corporativas sin ser detectado. Su objetivo al hacerlo fue ayudar a educar a sus clientes sobre los puntos ciegos de seguridad y las formas modernas en que los adversarios pueden interrumpir sus operaciones comerciales o robar datos confidenciales.
Entonces, ¿qué es el Warshipping?
El Warshipping es la evolución de los métodos de piratería de artefactos, como wardialing y wardriving. Estas son todas las técnicas que permiten a los cibercriminales infiltrarse en una red de forma remota. En los años ochenta y noventa, en la era de la conexión telefónica a Internet, los ciberdelincuentes usaban el wardialing para obtener acceso no autorizado a las redes llamando sistemáticamente a un bloque de números hasta que accedían a un sistema débil que luego podrían atacar.
Más recientemente, wardialing ha sido dejada de lado por wardriving, la técnica utilizada detrás de la importante brecha de TJX en 2005. Al realizar el wardriving, los culpables recorrieron estacionamientos de tiendas TJX en Miami con hardware inalámbrico básico en la mano (y un tanque lleno de gasolina) , infiltrándose con éxito en la red corporativa y robando decenas de millones de registros de datos de clientes, lo que finalmente le costó a la compañía casi 2 mil millones de dólares en pérdidas financieras asociadas con el ataque.
Sin embargo, las técnicas de wardriving y wardialing tienen limitaciones. Estas limitaciones incluyen la cantidad de tiempo que lleva realizar el wardriving y las sospechas que surgen cuando se detecta un automóvil dando vueltas un edificio cientos de veces con una antena sospechosa y un portátil a la vista.
El warshipping contrarresta estas limitaciones de muchas maneras mediante el uso de dispositivos desechables, de bajo coste y baja potencia para realizar de forma remota ataques de proximidad, independientemente de la ubicación de un cibercriminal. Además de eso, el warshipping aumenta drásticamente la precisión del objetivo. Un atacante podría controlar el dispositivo desde la comodidad de su hogar en cualquier parte del mundo. Todo lo que un actor malicioso debe hacer es esconder un dispositivo pequeño (similar al tamaño de un teléfono móvil pequeño -Una Raspberry Pi, por ejemplo-) en un paquete y enviárselo a su víctima para obtener acceso a su red. De hecho, podrían enviar múltiples dispositivos a su ubicación de destino gracias al bajo coste de construcción. El dispositivo, un sistema de control remoto habilitado para 3G/4G/5G, se puede meter en la parte inferior de una caja de embalaje o se puede meter en el osito de peluche de un niño (un dispositivo no más grande que la palma de la mano) y entregarlo directamente en las manos o en el escritorio de la víctima objetivo.
Figura 1: un dispositivo de warshipping antes de que esté oculto en un elemento del paquete
Manualidades: creando un dispositivo de warshipping
Técnicamente hablando, un dispositivo de warshipping está formado por un PC de placa única (SBC -Raspberry Pi, Orange PI, ODroid o similares-). Son computadoras baratas, capaces y con conectividad de red que pueden funcionar con una batería básica de smartphone.
Entonces, ¿qué pueden hacer los atacantes con ellos? En X-Force Red, construyeron estos dispositivos de warshipping listos para entregar y descubrimos que no solo son baratos y pequeños, sino que, para un cibercriminal promedio, también son fáciles de construir. Los SBC tienen algunas limitaciones inherentes, como la gran cantidad de energía que consumen para operar. Aplicando algunos trucos inteligentes, se pueden convertir estos dispositivos en dispositivos de baja potencia cuando están activos y apagarlos completamente cuando están inactivos. Mediante el uso de un módem de Internet de las cosas (IoT), también se pueden mantener estos dispositivos conectados durante el tránsito y comunicarse con ellos cada vez que se encienden.
Mediante el uso de un servidor de comando y control (C&C) que se crea para la tarea, los dispositivos que se habían configurado verificaban de forma segura un archivo específico en el servidor para determinar si deberían permanecer encendidos o volver a suspenderse. Con componentes listos para usar, este proyecto de "hazlo-tú-mismo" de bricolaje puede costarle a un cibercriminal menos de 100€.
Una vez construido, un dispositivo warshipping puede realizar ataques inalámbricos simplemente enviándolo a alguien y llegando a su escritorio o puerta. Mientras está en tránsito, el dispositivo realiza escaneos inalámbricos básicos periódicos, de forma similar a lo que hace un portátil cuando busca puntos de acceso Wi-Fi. Transmite sus coordenadas de ubicación a través del GPS al servidor de C&C.
Una vez que se ve que un dispositivo de warshipping ha llegado a la puerta principal del objetivo, a la sala de correo o al muelle de carga, se puede controlar de forma remota el sistema y ejecutar herramientas para intentar de forma pasiva o activa atacar el acceso inalámbrico del objetivo. El objetivo de estos ataques es obtener datos que puedan ser descifrados por sistemas más potentes en el laboratorio, como hashes. Estos hashes representan una cantidad muy pequeña de datos que se pueden obtener a través de la conexión 3G/4G/5G del warshipping a medida que avanza el ataque.
Mostrando un warshipping en la red
Para este proyecto, se elegió llevar a cabo un ataque inalámbrico pasivo al escuchar los paquetes (de red) que se puedem usar para entrar en los sistemas de las víctimas. Como ejemplo, se escuchó un handshake, un paquete de red que indica que un dispositivo estableció una conexión de red. Uno de los dispositivos de warshipping transmitió el hash capturado a nuestros servidores, que luego utilizamos en el backend para descifrar la clave previamente compartida, esencialmente la contraseña inalámbrica del usuario, y obtener acceso a Wi-Fi.
Con el dispositivo de warshipping, también se pueden lanzar otros ataques inalámbricos activos, como un ataque de desautenticación o un ataque de Wi-Fi “evil twin” (gemelo malvado). Al lanzar una red Wi-Fi gemela malvada, se puede configurar una red Wi-Fi rogue con el dispositivo de warshipping y convencer al objetivo de unirse a la nueva red señuelo. El objetivo luego divulgaría sus verdaderas credenciales (incluyendo nombre de usuario y contraseña). Esto proporciona un acceso adicional que podría usarse para ataques de seguimiento contra la red inalámbrica de la empresa.
Una vez que se ingresa a través del acceso Wi-Fi, se puede intentar pivotar explotando las vulnerabilidades existentes para comprometer un sistema, como el dispositivo de un empleado, y establecer un punto de acceso persistente en la red. Con esta capacidad de volver a una red comprometida, los atacantes pueden moverse a través de ella, robar datos confidenciales de los empleados, filtrar datos corporativos u obtener credenciales de usuario
En pocas palabras: en un proyecto de warshipping, lamentablemente, se puede establecer una conexión de red persistente y obtener acceso completo a los sistemas del objetivo.
Cómo detectar y proteger contra ataques de warshipping
La técnica de warshipping puede ser especialmente lucrativa para los ciberdelincuentes durante las temporadas en que las entregas de paquetes aumentan significativamente, como las ventas de verano, el cybermonday, el black friday o algunos festivos. Es bastante común que los empleados envíen sus pedidos en línea a sus oficinas. Esto puede causar grandes riesgos para una organización a medida que los paquetes (incluidos los paquetes incorrectos) comienzan a acumularse.
Después de ilustrar lo relativamente fácil que es el éxito del warshipping, es recomendable seguir algunas de las mejores prácticas de seguridad comunes. Aquí hay algunos consejos que pueden ayudar a reducir las posibilidades de que un ataque de warshipping tenga éxito:
1. Tratar los paquetes como se trataría a un visitante. ¿Dejaríamos que un visitante caminara directamente al escritorio del director financiero? Así como los procesos de seguridad están implementados para las personas, lo mismo debe aplicarse a los paquetes. Evitemos llevar paquetes a áreas seguras y asegurémonos de deshacernos de las cajas vacías rápidamente para evitar dispositivos al acecho.
2. Establecer una política de paquete para los empleados. Hay que desalientar a los empleados de enviar paquetes personales a la oficina; sin saberlo, pueden estar introduciendo riesgos de seguridad para la empresa. Si dicha política no es una opción, hay que inspeccionar todos los paquetes que se reciban en busca de dispositivos no deseados o no solicitados.
3. Considerar un proceso de escaneo de paquetes para grandes salas de correo. Las organizaciones deben inspeccionar todos los paquetes entrantes. Si se espera ropa o libros, el escaneo puede detectar dispositivos maliciosos habilitados.
4. Solo conectar a redes inalámbricas confiables. Evitar el uso de puntos de acceso inalámbricos sospechosos o falsos, y educar a los empleados sobre estos centros de alto riesgo que aumentan las opciones de los atacantes de tener un punto de entrada.
5. La intensidad de la señal no es un control de seguridad; no contar con ello. Contar con la intensidad de la señal como medida de seguridad es un error. Las empresas deben asegurar la intensidad de la señal de su red como si fuera una tecnología inalámbrica en medio de un área metropolitana. En el caso de Wi-Fi, hay que asegurar que la organización utilice una implementación sólida de Acceso protegido a Wi-Fi (WPA2). Si se está utilizando un protocolo no inalámbrico, hay que asegurar el utilizar un cifrado seguro y controles adicionales según sea necesario.
6. Evitar usar claves previamente compartidas en entornos corporativos. Usar una conexión inalámbrica de nivel empresarial que tenga protecciones de seguridad eficientes para proporcionar seguridad adicional. Por ejemplo, las estrategias de autenticación de Wi-Fi que utilizan certificados se están volviendo populares para ir más allá de un nombre de usuario y contraseña. En algunas implementaciones inalámbricas de alta seguridad, se utiliza una red privada virtual (VPN) que utiliza autenticación multifactor (MFA) como puerta de enlace para proteger la red interna, también podemos utilizar un NAC que compruebe que todo dispositivo que se conecte a la red sea confiable y cumpla con unas políticas de seguridad.
7. Contrata un servicio de hacking/RedTeam. Trabajar con un equipo de hackers/RedTeam para descubrir y ayudar a solucionar vulnerabilidades conocidas y desconocidas en nuestra organización. Esto incluye probar aplicaciones, redes, seguridad física y personas. Mejor hacer esto con un equipo de confianza antes de que lo haga un criminal.
Recordemos que esta es una de las numerosas técnicas basadas en ingeniería social que los ciberdelincuentes pueden utilizar para acceder a nuestra información, pero a lo largo de la historia se han utilizado multitud de técnicas para infiltrarse en redes corporativas -como fue el caso de Kevin Mitnick- y obtener información. También podemos ver ejemplos de la utilización de SBCs para robar información en los capítulos 4 y 5 de la primera temporada de Mr. Robot.
