Las ciberintrusiones patrocinadas por el Estado se han convertido en una preocupación cada vez mayor tanto para los gobiernos como para las organizaciones australianas. El ministro de Defensa, Richard Marles, advirtió el año pasado que el país estaba ver un mayor interés de los actores estatales en la infraestructura crítica.
Nathan Wenzler, estratega jefe de seguridad de la firma de seguridad cibernética Tenable, dijo que los actores de amenazas patrocinados por el estado generalmente se infiltran de manera sigilosa y se propagan. Wenzler dijo que las organizaciones australianas deberían tratarlos tan seriamente como a otros actores o enfrentar un riesgo grave durante un conflicto geopolítico.
Según Wenzler, el reciente ataque patrocinado por el estado por parte del grupo Midnight Blizzard, respaldado por Rusia, contra Microsoft demostró que es un mito que las grandes organizaciones son inmunes. Las empresas necesitan obtener una comprensión completa de su entorno y madurar su enfoque de gestión de riesgos.
Los ciberataques patrocinados por el Estado son una preocupación creciente en Australia
La actividad de ciberamenazas patrocinada por el estado está aumentando en Australia. El El Centro Australiano de Seguridad Cibernética encontró informes totales de delitos cibernéticos aumentaron un 23% a 94.000 en el año hasta junio de 2023, atribuyendo parte de ese aumento a ataques patrocinados por el estado contra infraestructura crítica.
El informe de la ACSC decía que parte de la razón de este aumento en la actividad patrocinada por el Estado fue la creación de la nueva asociación de defensa AUKUS entre Australia, el Reino Unido y los EE.UU., “con su enfoque en submarinos nucleares y otras capacidades militares avanzadas”.
Ver por qué La incertidumbre es el mayor desafío para la estrategia de seguridad cibernética de Australia.
A Informe de revisión del año de ciberseguridad de Dragosque se especializa en seguridad de infraestructura industrial y crítica, descubrió que había una tendencia continua de adversarios a apuntar a organizaciones industriales en todo el mundo, algunas de las cuales están vinculadas a grupos patrocinados por el estado.
“A pesar de su aislamiento geográfico, Australia no está exenta del ataque. De hecho, el equipo de Dragos Intel ha observado numerosos casos de adversarios que apuntan directamente a entidades de infraestructura crítica australianas”, dijo Conor McLaren, cazador principal de Dragos.
Según McLaren, estas incluían “operaciones estratégicas de ciberespionaje”.
Volt Typhoon es un ejemplo de amenaza a los intereses geopolíticos australianos
Australia y Nueva Zelanda se unieron el año pasado a otros socios de inteligencia de Five Eyes para denunciar un vínculo entre la red de piratería Volt Typhoon y China. Se descubrió que Volt Typhoon comprometió miles de dispositivos e infraestructura crítica de EE. UU. con miras a espionaje y sabotaje.
Al emplear técnicas de “vivir de la tierra”, que normalmente no generan alarmas para los profesionales de la seguridad cibernética a medida que se propagan, Volt Typhoon y grupos vinculados han sido señalados como una amenaza potencial para la infraestructura y las organizaciones críticas de Australia, en caso de que consigan afianzarse.
Kurt Hansen, director ejecutivo de Tesserent dijo recientemente a TechRepublic Australia que el actual entorno geopolítico crea riesgos para las organizaciones comerciales en caso de que las tensiones se deterioren y que los modelos de negocio están en riesgo. Hansen instó a las organizaciones a ejercer vigilancia ante estos ataques.
Cómo y por qué suelen ocurrir los ciberataques patrocinados por el Estado
El patrón común observado en los ataques patrocinados por el estado es el sigilo, según Wenzler de Tenable. Los atacantes son silenciosos en sus métodos de ataque, adoptando un «enfoque de espera para infiltrarse en una red, comprometer un dispositivo o sistema y esperar oportunidades», dijo Wenzler.
Normalmente, su objetivo es difundirse.
«No causan daños ni dan alarma», explicó Wenzler. “Pero siguen propagándose. Utilizarán ese primer lugar para hacer más compromisos, obtener credenciales, acceder a solicitudes, porque los actores del Estado-nación no buscan recompensa financiera”.
En última instancia, estos actores quieren tener la posibilidad de causar daño si hay un conflicto.
“Están buscando cerrar infraestructura crítica u operaciones militares. Buscan causar pánico o impactar a los ciudadanos, cerrando servicios como el suministro de agua o la energía”, dijo Wenzler.
Los actores estatales deben ser tratados seriamente como delitos financieros
Según Wenzler, es posible que las organizaciones australianas no estén tomando lo suficientemente en serio a los ciberatacantes patrocinados por el Estado. La razón principal es que, a diferencia de los ciberdelincuentes tradicionales, como los atacantes de ransomware, los atacantes patrocinados por el Estado no tienen un impacto financiero inmediato.
«Pero el nivel de daño que pueden causar es mucho mayor», afirmó Wenzler. «La pérdida financiera es obviamente un gran problema, pero piense en ese tipo de naturaleza meticulosa y metódica de infiltrarse en cada cosa en su entorno, y luego, si es necesario, podrían simplemente eliminarlo todo».
Si bien esto a menudo se ve como un problema gubernamental, Wenzler dijo que estos actores buscan ir más allá de la infraestructura crítica, y cualquier proveedor de servicios como supermercados u hoteles tiene responsabilidades hacia el público.
«Ni siquiera en el sector privado podemos hacer la vista gorda ante estas cosas», afirmó Wenzler.
Midnight Blizzard: lecciones para los profesionales australianos de ciberseguridad
Microsoft divulgación en enero de 2023 de un compromiso por parte del actor de amenazas patrocinado por el estado Midnight Blizzard es una advertencia de que ninguna organización es inmune a los ataques patrocinados por el estado. Incluso con más recursos y concienciación, las grandes empresas siguen siendo vulnerables a verse comprometidas.
VER: Principales tendencias de ciberseguridad que dominarán el mercado australiano en 2024
“Muchas organizaciones tienen la idea de que las empresas más grandes simplemente lo hacen mejor… y sólo aquellos de nosotros que somos más pequeños tenemos que preocuparnos por eso. Y ese no es el caso”, afirmó Wenzler. «Este es un ejemplo muy claro de que el mismo tipo de desafíos le pueden pasar a cualquiera».
Las credenciales de identidad son un vector clave para que los actores de amenazas se afiancen
El compromiso de Midnight Blizzard arrojó luz sobre la identidad y las credenciales. Wenzler dijo que una conclusión para los equipos de seguridad cibernética australianos era ser claros en la gestión de las credenciales y garantizar que no haya credenciales que se olviden o no estén protegidas.
Esta puede ser una situación común en torno a cuentas de servicio o cuentas no humanas. Wenzler dijo que estas cuentas se asignan a aplicaciones o funciones automatizadas para que funcionen, pero luego a menudo se pasan por alto o se olvidan, aunque a menudo tienen privilegios más altos.
«Son objetivos principales para los atacantes», dijo Wenzler. “Si puedes conseguir ese tipo de cuentas, obtienes un excelente acceso a la infraestructura y es muy probable que nadie le preste atención. Es necesario controlar la identidad y los derechos y permisos que todo tiene”.
Los entornos interconectados requieren un enfoque holístico de la seguridad
El ataque a Microsoft también expuso la idea errónea de que las funciones de seguridad pueden tratarse como “pequeños silos aislados”, dijo Wenzler, donde realizar una lista de verificación de tareas como parchear sistemas Windows o reforzar la infraestructura de la nube es todo lo que se requiere para salvaguardar la seguridad.
«El desafío es que todas estas cosas estén conectadas», dijo. “Esos sistemas Windows podrían proporcionar acceso a su entorno de nube, y eso potencialmente puede llegar a su infraestructura crítica. Es recordar que todas estas cosas están unidas”.
Cómo los equipos cibernéticos pueden combatir las amenazas a la seguridad patrocinadas por el estado
Tras el compromiso de Microsoft por parte de Midnight Blizzard, Wenzler argumentó que los equipos cibernéticos deberían revisar las medidas de seguridad, como garantizar que la autenticación multifactor esté habilitada y aplicar enfoques de mejores prácticas, como el principio de privilegio mínimo, para minimizar el riesgo de identificación de compromiso.
Sin embargo, agregó que la clave era apuntar a una comprensión holística del entorno de una organización, adoptando un enfoque maduro de gestión de riesgos para la seguridad y estar preparado para involucrar a las agencias gubernamentales y las autoridades para obtener apoyo en caso de una amenaza.
Apunte a comprender el entorno interconectado de su organización.
Las organizaciones deben tomar medidas con anticipación para comprender su entorno lo más completamente posible, afirmó Wenzler. Esto fue particularmente útil para identificar actividades de actores de amenazas patrocinados por el estado, que a través de técnicas de «vivir de la tierra», no generaban una advertencia obvia para los equipos de seguridad cibernética, lo que significaba que eran mucho más difíciles de detectar.
Adopte un enfoque proactivo de gestión de riesgos para las operaciones de seguridad cibernética
También se recomienda a las organizaciones que sigan marcos como NIST y Los ocho esencialesque con el tiempo han pasado de centrarse en levantar muros y esperar que los actores de amenazas reboten en ellos, a recomendar un enfoque de gestión de riesgos más proactivo para la seguridad cibernética.
“A medida que adoptamos esta idea, la seguridad tiene mucho más que ver con la gestión de riesgos que con la simple implementación de servicios de TI, entonces hay que empezar a comprender ese panorama de riesgos; eso significa ser proactivo, comprender el entorno, comprender el perfil de riesgo y utilizarlo para tomar buenas decisiones sobre qué hacer a continuación, incluidos los controles de seguridad adecuados para usted”, dijo Wenzler.
Esté preparado para solicitar apoyo a las autoridades encargadas de hacer cumplir la ley.
Si bien es probable que las organizaciones busquen resolver el problema de un actor de amenazas patrocinado por el estado como un incidente de seguridad normal, Wenzler dijo que también era importante involucrar a las autoridades gubernamentales locales y policiales, que tienen un conocimiento detallado de los actores de amenazas estatales. Esto también apoyará a otras organizaciones, ya que la amenaza podría estar más extendida.
Wenzler dijo que las agencias policiales a veces ofrecen recursos adicionales. Sin embargo, dijo que muchas organizaciones del sector privado todavía no incluyen los detalles de contacto de las agencias gubernamentales y las fuerzas del orden en los planes de respuesta a incidentes. Dijo que era importante documentar de antemano a quién contactar, en lugar de estar buscando cuando ocurre un incidente.