Uno de los aeropuertos más grandes del mundo ejecuta una red con air gap para gestionar operaciones internas que van desde la seguridad hasta la logística. A pesar de la naturaleza aislada del aeropuerto, se considera que varios dispositivos están infectados con malware capaz de capturar y almacenar información localmente.
Los desafíos de seguridad
- Infraestructura crítica sin tolerancia al tiempo de inactividad
- Falta de medidas de seguridad dentro de la red
- Red aislada que conecta dispositivos de alta y baja seguridad entre sí
- No hay visibilidad de ningún dispositivo dentro del air gap
Este importante aeropuerto internacional, uno de los centros de transporte más grandes del mundo, conecta 70 millones de pasajeros cada año con más de 1000 vuelos por día. El aeropuerto siguió muy buenos protocolos de seguridad en general. Adoptó una red completamente aislada para operar varios servicios esenciales y prevenir infecciones provenientes del internet. Sin embargo, la red con air gap creó una falsa sensación de seguridad. Aunque todos los dispositivos dentro del air gap tenían acceso a internet, cada segmento de red dentro estaba conectado entre sí sin control de tráfico.
Además, el air gap incluía dispositivos que eran físicamente accesibles por el público, como quioscos de información, lo cual dejaba a los servicios esenciales expuestos a un posible ataque. Por si fuera poco, el único medio de llevar información del exterior al interior era mediante unidades USB, lo que dejaba a los endpoints vulnerables a posibles programas maliciosos introducidos, sin saberlo, por parte de los empleados del aeropuerto.
1000 vuelos
El aeropuerto facilita más de 1000 vuelos por día
70 millones
Por año, atiende a 70 millones de pasajeros
La visibilidad proporcionada por QRadar EDR permitió la reconstrucción del incidente desde el principio y la reparación segura de la infección, sin interrumpir la continuidad comercial del aeropuerto.
Descripción general de la solución:
- El aeropuerto implementó el software IBM® Security QRadar® EDR, que utiliza tecnología NanoOS para una visibilidad excepcional en todos los endpoints y la infraestructura.
- Los motores de comportamiento de QRadar EDR funcionan sin degradación en redes aisladas.
- Con potentes capacidades de búsqueda de amenazas, el aeropuerto puede reconstruir y analizar incidentes.
El aeropuerto utilizó el software IBM Security QRadar EDR para realizar un control de higiene en la red con air gap porque algunos endpoints parecían haber disminuido su ritmo. Una vez que QRadar EDR se implementó en un segmento inicial, los motores recopilaron actividades potencialmente maliciosas procedentes de una pequeña cantidad de dispositivos. El análisis inicial apuntó a un quiosco de acceso público como punto de entrada inicial, pero un análisis posterior sacó a la luz un segundo punto de entrada, esta vez desde un dispositivo en el área de check-in. Estos dos vectores maliciosos lograron propagarse a un número limitado de dispositivos en contacto con diferentes segmentos de red.
La visibilidad proporcionada por la plataforma QRadar EDR permitió la reconstrucción del incidente desde el principio y la reparación segura de la infección, sin interrumpir la continuidad comercial del aeropuerto.
Análisis de causa raíz
La implementación inicial marcó varias anomalías conductuales. Una aplicación instaló un keylogger en memoria inyectándolo en una instancia oculta del navegador predeterminado. Después de eso, otro hilo consiguió depurar el disco en busca de archivos de Microsoft Word, archivos PDF, cookies y bases de datos del navegador. Esta información se recopiló dentro de una carpeta oculta, y se intentó enviarla a un servidor de comando y control (C2) a intervalos regulares, aunque no resultó debido a que la red estaba completamente aislada del mundo.
Un análisis más detallado del vector de infección arrojó resultados interesantes: el vector era inusualmente grande y contenía una serie de mecanismos destinados a eludir no solo un antivirus local, sino también un análisis sandbox. Es muy probable que el gran tamaño fuera parte de un intento de evadir un motor de emulación antivirus, ya que dichos sistemas generalmente emulan una pequeña parte de todo el binario.
Al final, se identificaron dos vectores diferentes, uno instalado en un quiosco público y otro instalado en un dispositivo que formaba parte del sensor de red de gestión de check-in. Aunque los dos vectores parecían diferentes (principalmente, por la gran cantidad de instrucciones inservibles utilizadas para evitar la detección), el malware parecía ser el mismo. En ambos casos, intentaba contactar al mismo servidor de C2 y comportarse de la misma manera.
Reconstrucción de ataques
Cuando QRadar EDR solo se implementa después de la filtración, no toda la información está disponible, y la infraestructura nativa solo utiliza un registro mínimo a nivel de sistema operativo. A pesar de la cantidad mínima de información, un análisis de seguimiento mostró que la infección ocurrió cinco meses antes y que los dos endpoints se infectaron con un par de días de diferencia por dos unidades USB distintas. Otros endpoints se infectaron por uno de estos vectores, principalmente debido a contraseñas poco aseguras a las que el malware intentó hacer coincidir a intervalos aleatorios en cada dispositivo al que podría conectarse. El malware lograba recopilar información constantemente y no parecía adoptar ningún control de retención ni aplicar límites a su propio almacenamiento. Se intentó una conexión con C2 cada ocho horas, pero nunca se logró debido al air gap.
El análisis final mostró que, aunque el malware tenía capacidades de autorreplicación y podría copiar automáticamente su almacenamiento en una unidad USB externa, esta funcionalidad no estaba habilitada. Se suponía que la exfiltración se inició manualmente.
Respuesta y reparación
El aeropuerto utilizó el módulo de reparación en QRadar EDR para limpiar los dispositivos infectados y limpiar las carpetas de almacenamiento identificadas para evitar la fuga de datos. La interfaz de búsqueda de amenazas de la solución resultó esencial para confirmar la ausencia del mismo vector de toda la infraestructura, excepto de los dispositivos infectados ya identificados. El aeropuerto también realizó una búsqueda conductual para garantizar que no se produjeron instancias de malware en otros dispositivos. Buscó todos los comportamientos identificados, amenazas persistentes y métodos de recopilación de datos hasta que pudo confirmar la ausencia de ese vector y sus variantes de la infraestructura.
Finalmente, el equipo de seguridad local estableció un conjunto de reglas más rígidas para el control de tráfico interno. La parte pública de la red se aisló de las operaciones, y el equipo de seguridad local comenzó a ejecutar un monitoreo continuo de endpoints y campañas regulares de búsqueda de amenazas.
El aeropuerto utilizó el módulo de reparación en QRadar EDR para limpiar los dispositivos infectados y evitar la fuga de datos. La interfaz de búsqueda de amenazas de la solución ayudó a confirmar la ausencia del vector de toda la infraestructura.
Un air gap puede proporcionar un alto nivel de seguridad, pero, si no se implementa de manera estricta, puede crear una falsa sensación de seguridad. Aunque las motivaciones de los ataques siguen siendo poco claras, porque se recopilaron datos, pero nunca se exfiltraron, podemos asumir con confianza que los atacantes tenían una puerta abierta a la infraestructura no solo para exfiltrar información, sino también para dañar activamente las operaciones del aeropuerto. Un simple ransomware lanzado contra el área del check-in habría creado retrasos inevitables; el mismo ataque lanzado contra el área de seguridad habría logrado bloquear vuelos y crear repercusiones graves.
Este importante aeropuerto internacional es uno de los centros de transporte más grandes del mundo. Esta instalación, que conecta a 70 millones de pasajeros al año con más de 1000 vuelos diarios, está clasificada como infraestructura crítica.
Legal
© Copyright IBM Corporation 2023. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504
Producido en los Estados Unidos de América, junio de 2023.
IBM, el logotipo de IBM, ibm.com e IBM QRadar son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Puede consultar una lista actual de marcas comerciales de IBM en la sección “Información sobre derechos de autor y marca registrada”, en ibm.com/trademark.
Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”; SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS SIN GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN PROPÓSITO PARTICULAR Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.