Uno de los aeropuertos más grandes del mundo cuenta con una red aislada para gestionar operaciones internas como la seguridad o la logística, entre otras. A pesar de la naturaleza aislada del aeropuerto, se descubrió que varios dispositivos estaban infectados con un programa malicioso capaz de captar y almacenar información de forma local.
Los desafíos de seguridad
- Infraestructura crítica sin tolerancia a inactividad
- Falta de medidas de seguridad en la red
- Red aislada que conecta dispositivos con niveles de seguridad altos y bajos
- Falta de visibilidad de los dispositivos conectados a la red aislada
Este importante aeropuerto internacional, uno de los centros de transporte más grandes del mundo, conecta 70 millones de pasajeros al año con más de 1.000 vuelos al día. En general, el aeropuerto siguió protocolos de seguridad muy buenos. Adoptó una red totalmente aislada para operar diversos servicios esenciales y prevenir infecciones de internet. Sin embargo, la red aislada generó una falsa sensación de seguridad. Aunque ninguno de los dispositivos de la red aislada tenía acceso a internet, cada segmento de la red estaba conectado entre sí, sin ningún control del tráfico.
Asimismo, la red aislada incluía dispositivos a los que el público podía acceder físicamente, como quioscos de información, lo cual exponía los servicios esenciales a posibles ataques. Además, el único medio para incorporar información externa era el uso de dispositivos USB, con lo cual los endpoints quedaban expuestos a que los empleados del aeropuerto introdujesen programas maliciosos involuntariamente.
1.000 vuelos
El aeropuerto facilita más de 1.000 vuelos por día
70 millones
Al año, atiende a 70 millones de pasajeros
La visibilidad proporcionada por QRadar EDR permitió reconstruir el incidente desde el comienzo y remediar la infección de forma segura, sin interrumpir la actividad del aeropuerto.
Descripción general de la solución:
- El aeropuerto implementó el software IBM® Security QRadar EDR, que utiliza la tecnología NanoOS para obtener una visibilidad excepcional de los endpoints y la infraestructura.
- Los motores de comportamiento de EDR QRadar se ejecutan sin degradación en la red aislada.
- Utilizando poderosas capacidades de búsqueda de amenazas, el aeropuerto puede reconstruir y analizar incidentes.
El aeropuerto utilizó el software IBM Security QRadar EDR para realizar un control de higiene en la red aislada porque algunos puntos finales parecían haber disminuido la velocidad. Tras la implementación de QRadar EDR en un segmento inicial, los motores descubrieron actividades potencialmente maliciosas provenientes de un pequeño número de dispositivos. El análisis inicial apuntó a un quiosco de acceso público como punto de entrada inicial. Sin embargo, en un análisis posterior, se detectó un segundo punto de entrada, esta vez de un dispositivo de la zona de facturación. Estos dos vectores maliciosos lograron dispersarse a una cantidad limitada de dispositivos que tocaban diferentes segmentos de la red.
La visibilidad proporcionada por la plataforma QRadar EDR permitió reconstruir el incidente desde el comienzo y remediar la infección de forma segura, sin interrumpir la actividad del aeropuerto.
Análisis de causa raíz
La implementación inicial indicó varias anomalías de comportamiento. Una aplicación instaló un registrador de claves en memoria inyectándolo en una instancia oculta del navegador predeterminado. Después, logró borrar el disco buscando archivos de Microsoft Word, archivos PDF, cookies y bases de datos del navegador. Esta información se recopiló en una carpeta oculta y se intentó enviarla a un servidor de comando y control (C2) a intervalos regulares, pero fue imposible debido a que la red estaba totalmente aislada del mundo.
Una mirada más detallada al vector de infección devolvió resultados interesantes: el vector era inusualmente grande y contenía una serie de mecanismos destinados a omitir no solo un antivirus local, sino también un análisis de recinto de pruebas. Es muy probable que el gran tamaño fuese parte de un intento de evadir un motor de emulación de antivirus, dado que dichos sistemas suelen emular un pequeño fragmento de todo el binario.
Al final, se identificaron dos vectores diferentes, uno instalado en un quiosco público y otro instalado en un dispositivo que formaba parte de la red de gestión de facturación. Aunque los dos vectores se veían diferentes, principalmente por la gran cantidad de instrucciones basura usadas para evitar la detección, parece que el programa malicioso era el mismo. En ambos casos, estaba intentado contactar con el mismo servidor C2 y se comportaba de igual modo.
Reconstrucción de ataques
Cuando QRadar EDR se implementa después de la vulneración, no toda la información está disponible y la infraestructura nativa usa solo registros mínimos del sistema operativo. A pesar de la mínima cantidad de información, un análisis de seguimiento indicó que la infección ocurrió cinco meses antes y que los dos endpoints se habían infectado con pocos días de diferencia mediante dos unidades USB diferentes. Uno de estos vectores infectó otros endpoints, debido sobre todo a las contraseñas débiles que el programa malicioso intentaba reproducir a intervalos aleatorios en cada dispositivo al que se podía conectar. El programa malicioso logró recopilar información constantemente y no parece que adoptara ningún control de retención o que aplicase límites en su propio almacenamiento. Cada ocho horas se intentaba una conexión al C2, pero nunca se logró debido al aislamiento.
El análisis final indicó que, aunque el programa malicioso tenía prestaciones de replicación automática y podía copiar su almacenamiento automáticamente en una unidad USB externa, esta funcionalidad no estaba habilitada. Se cree que la exfiltración se inició de forma manual.
Respuesta y corrección
El aeropuerto utilizó el módulo de corrección de QRadar EDR para limpiar los dispositivos infectados y borrar las carpetas de almacenamiento identificadas para evitar cualquier fuga de datos. La interfaz de búsqueda de amenazas fue esencial para confirmar la ausencia del mismo vector en toda la infraestructura, salvo en los dispositivos infectados ya identificados. El aeropuerto también llevó a cabo una búsqueda de comportamiento para asegurarse de que no hubiera instancias del programa malicioso ejecutándose sin ser detectadas en otros dispositivos. Buscó todos los comportamientos, amenazas persistentes y métodos de recopilación de datos identificados hasta que pudo confirmar la ausencia de ese vector y sus variantes en la infraestructura.
Por último, el equipo de seguridad local estableció un conjunto de reglas más estrictas para el control del tráfico interno. La parte pública de la red se aisló de las operaciones y el equipo de seguridad local comenzó a realizar campañas de monitorización continua de endpoints y búsqueda periódica de amenazas.
El aeropuerto utilizó el módulo de remediación de QRadar EDR para limpiar los dispositivos infectados y evitar la fuga de datos. La interfaz de búsqueda de amenazas de la solución ayudó a confirmar la ausencia del vector de toda la infraestructura.
El aislamiento puede ofrecer un nivel de seguridad alto, pero puede generar una falsa sensación de seguridad si no se implementa de forma estricta. Aunque los motivos del ataque siguen siendo inciertos, porque los datos se recopilaron pero nunca se exfiltraron, podemos suponer con seguridad que los atacantes tenían una puerta abierta para acceder a la infraestructura, no solo para exfiltrar información, sino también para dañar activamente las operaciones de aeropuerto. El inicio de un ransomware simple en la zona de facturación habría generado demoras inevitables. Y el mismo ataque realizado contra el área de seguridad habría logrado bloquear los vuelos de inmediato y conllevaría repercusiones graves.
Este importante aeropuerto internacional es uno de los centros de transporte más grandes del mundo. La instalación, que conecta a 70 millones de pasajeros cada año con más de 1.000 vuelos diarios, está considerada una infraestructura crítica.
Legal
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard, Armonk, NY 10504
Producido en los Estados Unidos de América, junio de 2023
IBM, el logotipo de IBM ibm.com e IBM QRadar son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones del mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. La lista actualizada de las marcas comerciales de IBM está disponible en la web en "Información sobre derechos de autor y marcas comerciales" en ibm.com/trademark.
Este documento se actualizó por última vez en la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas. LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONA «TAL CUAL» SIN NINGUNA GARANTÍA, EXPLÍCITA O IMPLÍCITA, INCLUYENDO NINGUNA GARANTÍA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO VIOLACIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.