Fallo sin parchear de Zoho fue utilizado en ataque contra la Cruz Roja

El Comité Internacional de la Cruz Roja (CICR) escribe el 16 de febrero que el hackeo revelado el mes pasado contra sus servidores fue un ataque dirigido, probablemente coordinado por un grupo de hackers respaldado por un Estado.

En un extenso artículo titulado Cyber-attack on ICRC: What we know, el CICR publica la información en formato de preguntas y respuestas. Por su interés general, transcribimos una traducción íntegra del artículo:

“Ha pasado casi un mes desde que determinamos que los servidores que alojan datos personales pertenecientes a más de 515.000 personas en todo el mundo fueron hackeados en un sofisticado ciberataque. Ahora estamos en condiciones de compartir algunas conclusiones de nuestro análisis de esta brecha de datos.

Creemos que es nuestra responsabilidad, como organización humanitaria responsable ante nuestros socios y las personas a quienes servimos, compartir la información que podamos sobre este hackeo.

¿Qué debo hacer si creo que se ha accedido a mis datos en el ciberataque?

Si no ha recibido noticias nuestras y está preocupado, le animamos a que se ponga en contacto con su sociedad local de la Cruz Roja o de la Media Luna Roja o con la oficina del CICR en su país. Aquí tienes una lista de datos de contacto. También hemos elaborado un artículo de preguntas y respuestas para los afectados con más información. Sabemos que nos han confiado información personal y detalles sobre acontecimientos a menudo traumáticos en sus vidas. No es una responsabilidad que tomemos a la ligera. Queremos que sepan que estamos haciendo todo lo posible para restablecer los servicios que ofrecemos en todo el mundo. Trabajaremos duro para mantener su confianza y poder seguir sirviéndoles.

¿Qué ha hecho que este ataque sea tan sofisticado y dirigido?

Los hackers utilizaron recursos considerables para acceder a nuestros sistemas y emplearon tácticas que la mayoría de las herramientas de detección no habrían detectado. La siguiente información demuestra la naturaleza sofisticada y selectiva del ataque:

  • Los atacantes utilizaron un conjunto muy específico de herramientas de hackers avanzadas diseñadas para la seguridad ofensiva. – Estas herramientas son utilizadas principalmente por grupos de amenazas persistentes avanzadas, no están disponibles públicamente y, por tanto, están fuera del alcance de otros actores.
  • Los atacantes utilizaron sofisticadas técnicas de ofuscación para ocultar y proteger sus programas maliciosos. Esto requiere un alto nivel de habilidades que sólo están disponibles para un número limitado de actores.
  • Determinamos que el ataque era selectivo porque los atacantes crearon un código diseñado exclusivamente para ser ejecutado en los servidores del CICR. Las herramientas utilizadas por el atacante hacían referencia explícita a un identificador único en los servidores objetivo (su dirección MAC).
  • Las herramientas antimalware que habíamos instalado en los servidores objetivo estaban activas y detectaron y bloquearon algunos de los archivos utilizados por los atacantes. Pero la mayor parte de los archivos maliciosos desplegados estaban específicamente diseñados para eludir nuestras soluciones antimalware, y sólo cuando instalamos agentes avanzados de detección y respuesta de endpoints (EDR) como parte de nuestro programa de mejora planificado, se detectó esta intrusión.

¿Cuándo descubrimos este ataque?

Una empresa especializada en ciberseguridad contratada por el CICR para que nos apoye en la protección de nuestros sistemas detectó una anomalía en los servidores del CICR que contenían información relacionada con los servicios de Restablecimiento del Contacto entre Familiares del Movimiento de la Cruz Roja y de la Media Luna Roja. A continuación, hicimos una exploración profunda de los datos y determinamos el 18 de enero que los hackers habían estado dentro de estos sistemas y habían tenido acceso a los datos que contenían.

¿Cuánto tiempo estuvieron los hackers dentro de nuestros sistemas?

En este caso, detectamos una anomalía en nuestro sistema a los 70 días de producirse la filtración e inmediatamente iniciamos una exploración profunda. Sobre esta base, pudimos determinar el 18 de enero que nuestros servidores habían sido comprometidos. Nuestro análisis muestra que la brecha se produjo el 9 de noviembre de 2021.

Una brecha tan grande y compleja suele tardar en detectarse. Por ejemplo, sabemos que el tiempo medio para identificar una violación de datos es de 212 días.

¿Cómo entraron los hackers en nuestros sistemas?

Los hackers pudieron entrar en nuestra red y acceder a nuestros sistemas aprovechando una vulnerabilidad crítica sin parches en un módulo de autenticación (CVE-2021-40539). Esta vulnerabilidad permite a los ciberactores maliciosos colocar web shells y llevar a cabo actividades posteriores a la explotación, como comprometer las credenciales de administrador, realizar movimientos laterales y exfiltrar archivos de registro y de Active Directory. Una vez dentro de nuestra red, los hackers fueron capaces de desplegar herramientas de seguridad ofensivas que les permitieron disfrazarse de usuarios o administradores legítimos. Esto, a su vez, les permitió acceder a los datos, a pesar de que éstos estaban cifrados.

¿Qué falló en nuestras defensas?

El proceso de aplicación de parches es una actividad extensa para cualquier gran empresa. Anualmente, aplicamos decenas de miles de parches en todos nuestros sistemas. La aplicación oportuna de parches críticos es esencial para nuestra ciberseguridad, pero lamentablemente, no aplicamos este parche a tiempo antes de que se produjera el ataque.

En el CICR tenemos un sistema de ciberdefensa de varios niveles que incluye la supervisión de endpoints, software de escaneo y otras herramientas. En este caso, nuestro análisis después del ataque reveló que nuestros procesos y herramientas de gestión de la vulnerabilidad no impidieron esta brecha. Hemos realizado cambios inmediatos en ambas áreas. Además, estamos acelerando las actividades ya planificadas como parte de nuestro último programa de mejora de la ciberseguridad lanzado en febrero de 2021 en respuesta a las amenazas en constante evolución.

¿Quién creemos que está detrás de este ataque?

No podemos determinar quién está detrás de este ataque ni por qué se ha llevado a cabo, y no vamos a especular al respecto. No hemos tenido ningún contacto con los hackers y no se ha pedido ningún rescate. De acuerdo con nuestra práctica habitual de relacionarnos con cualquier actor que pueda facilitar u obstaculizar nuestra labor humanitaria, estamos dispuestos a comunicarnos directa y confidencialmente con quienquiera que sea el responsable de esta operación para inculcarle la necesidad de respetar nuestra acción humanitaria. También reiteramos nuestro llamamiento a los hackers para que no compartan, vendan, filtren o utilicen de otro modo estos datos.

¿Con quién estamos trabajando?

Nos hemos asociado con nuestros principales socios tecnológicos y empresas altamente especializadas para que nos ayuden en esta tarea. Desde el comienzo de la crisis, la sede del CICR en Ginebra ha mantenido un estrecho diálogo con el Centro Nacional de Ciberseguridad (NCSC) de Suiza. Las Sociedades Nacionales de la Cruz Roja y la Media Luna Roja están en contacto con las autoridades nacionales competentes.

¿A qué información se accedió?

La brecha incluía datos personales como nombres, ubicaciones e información de contacto de más de 515.000 personas de todo el mundo. Entre las personas afectadas se encuentran personas desaparecidas y sus familiares, detenidos y otras personas que reciben servicios del Movimiento de la Cruz Roja y de la Media Luna Roja como consecuencia de conflictos armados, desastres naturales o migraciones. No creemos que vaya en el interés de las personas de cuyos datos se trata el compartir más detalles sobre quiénes son, dónde están o de dónde vienen.

¿Se copiaron y exportaron sets de datos?

Debemos suponer que sí. Sabemos que los hackers estaban dentro de nuestros sistemas y, por tanto, tenían la capacidad de copiarlos y exportarlos. Por lo que sabemos, la información no ha sido publicada ni comercializada por el momento. En nuestro análisis inicial estamos seguros de que no se han borrado datos a causa de la brecha. Esto es importante porque nos está permitiendo establecer sistemas provisionales para volver a trabajar en la reconexión de los seres queridos.

¿Se han puesto los datos a disposición de otros, incluso en la web oscura?

En este momento, no tenemos ninguna prueba concluyente de que esta información de la violación de datos se haya publicado o esté siendo comercializada. Nuestro equipo de ciberseguridad ha investigado cualquier denuncia de que los datos estén disponibles en la web oscura.

¿Qué seguridad tenemos de que los hackers ya no están en nuestros sistemas?

Desconectamos los servidores comprometidos tan pronto como determinamos que habían sido hackeados. Estamos seguros de que este incidente no ha afectado a otros servidores porque segmentamos nuestros sistemas y vigilamos continuamente el entorno general para detectar cualquier signo de actividad maliciosa con herramientas avanzadas.

¿Qué estamos haciendo ahora?

Estamos coordinando con las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja y con nuestras delegaciones del CICR sobre el terreno para informar a las personas y a las familias cuyos datos fueron violados. Este proceso es complejo y llevará tiempo. Las personas en mayor riesgo son nuestra principal prioridad. Parte de este proceso se está llevando a cabo mediante llamadas telefónicas, líneas de atención telefónica, anuncios públicos, cartas y, en algunos casos, requiere que los equipos viajen a comunidades remotas para informar a la gente en persona. Estamos haciendo todo lo posible para contactar con personas a las que puede resultar difícil llegar, como los inmigrantes. También hemos desarrollado soluciones alternativas que permiten a los equipos de la Cruz Roja y de la Media Luna Roja de todo el mundo seguir prestando servicios básicos de localización a las personas afectadas por esta brecha mientras reconstruimos un nuevo entorno digital para la Agencia Central de Localización.

¿Qué cambios se introducirán en el entorno en línea de la Agencia Central de Búsquedas antes de su puesta en marcha?

Las mejoras de seguridad incluyen un nuevo proceso de autenticación de dos factores y el uso de una solución avanzada de detección de amenazas. El éxito de las pruebas de penetración realizadas externamente en todas las aplicaciones y sistemas es un requisito previo para la reanudación de los servicios.

¿Por qué no damos más información técnica sobre el hackeo o nuestros sistemas?

Nos tomamos la ciberseguridad muy en serio y llevamos muchos años invirtiendo en ella. Estas inversiones deben continuar ante un panorama de amenazas en constante evolución. Para garantizar la seguridad de nuestras aplicaciones y en consonancia con las mejores prácticas del sector, no revelaremos la arquitectura técnica ni los detalles de seguridad”.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022