Cloud Snooper, un sofisticado ataque que combina técnicas para eludir los firewalls
- Endpoint
La amenaza avanzada combina un rootkit que elude los firewalls, una técnica poco común para obtener acceso a servidores disfrazados de tráfico normal, y una carga útil de puerta trasera que comparte código malicioso entre los sistemas operativos Windows y Linux.
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
Investigadores de SophosLabs ha analizado la actividad de Cloud Snooper, un ataque sofisticado que utiliza una combinación única de técnicas para permitir que el malware en los servidores se comunique libremente con sus servidores de comando y control a través de firewalls. SophosLabs cree que el ataque procede de un estado nación motivado por el espionaje.
Las tácticas, técnicas y procedimientos utilizados en el ataque incluyen un rootkit que elude los firewalls, una técnica poco común para obtener acceso a servidores disfrazados de tráfico normal, y una carga útil de puerta trasera que comparte código malicioso entre los sistemas operativos Windows y Linux, un enfoque conocido, pero poco común. Si bien cada elemento individual se ha observado previamente en ataques altamente dirigidos, hasta ahora no se han visto en combinación. Sophos espera que este paquete de tácticas, técnicas y procedimientos llegue a los peldaños más bajos de la jerarquía cibercriminal y se use como base para nuevos ataques de firewall.
“Esta es la primera vez que vemos una fórmula de ataque que combina una técnica de bypass con una carga útil multiplataforma dirigida a sistemas Windows y Linux. Los equipos de seguridad de TI y los administradores de red deben ser diligentes para parchear todos los servicios externos a fin de evitar que los atacantes evadan las políticas de seguridad de la nube y del firewall", apunta Sergei Shevchenko, director de investigación de amenazas de SophosLabs. “Los equipos de seguridad de TI también deben protegerse contra ataques multiplataforma. Hasta ahora, los activos basados en Windows han sido el objetivo típico, pero los atacantes consideran más frecuentemente los sistemas Linux porque los servicios en la nube se han convertido en lugares de caza populares. Es cuestión de tiempo que más cibercriminales adopten estas técnicas".