Nobelium, cuando la realidad supera a la ficción en seguridad IT

Llevamos mucho tiempo hablando de seguridad informática y de cómo mitigar el brutal efecto que la “industrialización” de los procesos de ciberdelincuencia está teniendo sobre nuestras organizaciones. No es ningún secreto que la inversión en seguridad IT debería de estar en el primer puesto de las preocupaciones de un CEO/Ejecutivo 2.0.

No obstante, en la pyme española notamos una cierta reticencia a tomarse este asunto con el debido apremio. Será por la filosofía heredada de contemplar la IT como un coste sin retorno, será por la difícil situación marco (crisis financiera, pandemia, ahora problemas de suministros). Sea por lo que sea, desde NetDriver queremos trasladar la imperante necesidad de tomar contacto con un consultor en seguridad IT (diferente al IT provider habitual) para que aconseje sobre la situación actual de la empresa a nivel de seguridad y los posibles márgenes de mejora.

Para mostrar el nivel de sofisticación al que ha llegado el mundo de la ciberdelincuencia hoy os queremos hablar de Nobelium. Lo hemos visto en películas, nos lo han explicado en documentales, pero la realidad siempre supera a la ficción. Cualquier prevención es poca.

El término de Nobelium fue acuñado por Microsoft para denominar a los grupos de ciberdelincuentes vinculados a Rusia que el pasado 2020 devastaron con múltiples ataques masivos la cadena de suministro del desarrollador de software SolarWinds y otros.

Microsoft publicó recientemente una guía para ayudar a los socios y clientes a protegerse contra la actividad de un "estado nación" asociada con el actor de amenaza identificado como Nobelium. Nobelium, que también estuvo detrás del ataque SolarWinds en 2020, presenta en esta última actividad las mismas características de la estrategia de vulnerar a uno para vulnerar a muchos. 

El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) observó que fue atacado o vulnerado por Nobelium a través de un proceso de notificación de estados nación. Para reducir el impacto potencial de esta actividad de Nobelium, Microsoft avisa de que los proveedores de servicios en la nube (CSP), los proveedores de servicios administrados (MSP) y otras organizaciones de servicios de TI que funcionen con privilegios administrativos delegados (colectivamente, “proveedores de servicios”) o que hayan recibido otros privilegios administrativos por parte de sus clientes deben revisar dicha guía e implementar mitigaciones para su propia organización y para sus clientes en forma inmediata.

Microsoft observó que Nobelium ataca las cuentas privilegiadas de los proveedores de servicios para desplazarse lateralmente dentro de los entornos de nube, valiéndose de las relaciones técnicas de confianza para obtener acceso a los clientes posteriores y permitir los ataques subsiguientes o acceder a sistemas puntuales.

Estos ataques no son el resultado de una vulnerabilidad de seguridad del producto, sino más bien una continuación del uso que hace Nobelium de un diverso y dinámico conjunto de herramientas que incluye malware sofisticado, rociado de contraseñas, ataques a la cadena de suministro, robo de tokens, abuso de API y phishing dirigido para vulnerar las cuentas de los usuarios y valerse del acceso de esas cuentas. Estos ataques han puesto de relieve la necesidad de que todos los administradores adopten prácticas estrictas de seguridad de cuentas y tomen medidas adicionales para proteger sus entornos.

En los ataques a la cadena de suministro observados, los clientes posteriores de los proveedores de servicios y otras organizaciones también están en la mira de los ataques de Nobelium. En estas relaciones proveedor-cliente, un cliente delega los derechos administrativos al proveedor para permitir que el proveedor administre los inquilinos del cliente como si fuera un administrador interno de la organización del cliente.

Al robar las credenciales y vulnerar las cuentas a nivel del proveedor de servicios, Nobelium puede aprovechar varios vectores potenciales como, por ejemplo, los privilegios administrativos delegados (DAP) y luego valerse de ese acceso para extender los ataques posteriores a través de canales fiables como las VPN orientadas hacia afuera o las soluciones únicas de proveedor-cliente que permiten el acceso a la red.