Los actores (hackers) Iraníes robaron seis terabytes de documentos confidenciales de Citrix, una compañía que posee contratos y negocios con el FBI, el ejército de los EE. UU., agencias gubernamentales estadounidenses y muchas empresas estadounidenses.
Como de costumbre, la identidad de los actores (hackers) no se puede establecer de manera positiva, pero alguien robó una gran cantidad de datos, incluidos informes, planos y "documentos comerciales", según la compañía. También sabemos cómo lo hicieron, utilizando una táctica, dijo la compañía, conocida como "Password Spraying" (fumigación de contraseñas), una técnica que explota contraseñas débiles.
Tal vez sea la parte más importante de la historia, porque podrían reclamar muchas más compañías como Citrix. Las contraseñas como factor principal de autenticación son problemáticas, si no completamente peligrosas, y el hack de Citrix lo ilustra con claridad.
Citrix reveló el hackeo el 8 de marzo en un comunicado, diciendo que el FBI había alertado a la compañía de que había sido comprometida varios días antes, pero que los ataques han estado ocurriendo durante mucho más tiempo.
La firma de ciberseguridad Resecurity afirmó que había alertado a Citrix sobre el ataque el 28 de diciembre de 2018, y que "los actores de amenazas aprovecharon una combinación de herramientas, técnicas y procedimientos (TTP) que les permite realizar una intrusión de red dirigida". El grupo de hackers IRIDIUM respaldado por Irán es el responsable.
La violación de Citrix podría convertirse en una de las más importantes en los últimos años. Entre las "víctimas" de esta violación puede estar el código fuente de productos como Netscaler Gateway (también conocido como Citrix Access Gateway), LogMeIn y otros productos altamente sensibles que pueden descubrir un "Backdoor" o puerta trasera en las redes de clientes de Citrix. Es similar a una brecha importante en Lockheed Martin en 2011, que fue posible después de que un hack del proveedor de seguridad RSA Security expusiera los secretos que se encontraban en su token de autenticación SecurID, utilizado por Lockheed para proteger sus redes.
Cómo se hackean las contraseñas
Como se mencionó, el FBI atribuye la violación a la aplicación de contraseñas, una táctica que implica intentar acceder a un gran número de cuentas (nombres de usuario) utilizando algunas contraseñas de uso común. Los ataques tradicionales de fuerza bruta intentan obtener acceso no autorizado a una sola cuenta adivinando la contraseña. Esto puede hacer que la cuenta de destino se bloquee rápidamente, ya que las políticas de bloqueo de cuenta comúnmente utilizadas permiten un número limitado de intentos fallidos (generalmente de tres a cinco) durante un período de tiempo establecido.
Durante un ataque de Password Spraying o rociado de contraseña (también conocido como el método de "baja y lenta"), el actor malintencionado intenta una única contraseña de uso común (como 'Password1' o 'Summer2017') contra muchas cuentas antes de pasar a intentar una segunda contraseña, y así sucesivamente. Esta técnica permite que el actor permanezca sin ser detectado, evitando bloqueos de cuenta rápidos o frecuentes.
Las campañas de Password Spraying o rociado de contraseñas generalmente se enfocan en aplicaciones de inicio de sesión único (SSO) y en la nube que utilizan protocolos de políticas de autenticación. La política de autenticación de orientación puede ayudar a enmascarar el tráfico malicioso. Además, la orientación de las aplicaciones de SSO ayuda a maximizar el acceso a la propiedad intelectual si el ataque tiene éxito. Además, las aplicaciones de correo electrónico también son dirigidas comúnmente.
¿Cómo afecta el password spraying a las empresas?
Cuando los actores (hackers del tipo ciberdelincuentes) pueden obtener información sobre empleados de fuentes públicas, pueden confiar en que las organizaciones utilicen los mismos nombres de usuario que en los dominios públicos. El actor (hackers del tipo ciberdelincuentes) utilizará esos nombres de usuario combinados con contraseñas de uso frecuente (Contraseña123, fecha de nacimiento ...) para acceder a las cuentas comerciales.
Maneras de prevenir ataques hacia contraseñas
Si las contraseñas son el eslabón débil en la cadena de autenticación, hay dos cosas que podemos hacer al respecto: fortalecerlas o buscar una alternativa mejor. Las formas de lograr lo primero son bien conocidas; Las contraseñas más largas, más complejas y actualizadas con mayor frecuencia probablemente proporcionarán alivio para la mayoría de los ataques de Password Spraying o rociado de contraseñas y harán que cualquier esfuerzo por fuerza bruta sea menos efectivo.
Sin embargo, las políticas de contraseña efectivas han demostrado ser notoriamente difíciles de hacer cumplir; todas las compañías tienen políticas vigentes que requieren prácticas seguras de contraseña, pero los ataques que comprometen la contraseña son tan numerosos como siempre. Un proceso de inicio de sesión de varios pasos y un límite al número de intentos de inicio de sesión fallidos son esquemas de protección de contraseña de "Next Level" que podrían reducir esos ataques.
Cuando todo lo demás falla, las empresas pueden implementar la autenticación de segundo factor. Cuando se utiliza como un complemento a las contraseñas, 2FA conserva muchas de las deficiencias asociadas con las contraseñas, al tiempo que agrega algunas de las suyas.
Otra posibilidad es usar un token físico, como una aplicación de teléfono inteligente, donde el usuario no tiene que recordar nada y ya no estará sujeto a ataques de phishing ubicuos.
Existen otros métodos de autenticación que anulan las contraseñas, y las compañías deberían considerarlas, dados los riesgos de usar contraseñas. Si la violación de Citrix fue realmente el resultado de la debilidad de una contraseña, entonces la empresa tiene que mejorar y hacer una gran cantidad de tareas de seguridad. Todos deberíamos aprender una lección de la experiencia de Citrix y tomar medidas para asegurarnos de que no seamos las próximas víctimas.
Recomendaciones prácticas
En Inntesec recomendamos implementar como medida mitigatoria un sistema de seguridad a través de un segundo factor de autenticación como Microsoft Authenticator, donde puedes habilitar estos servicios en la nube de Azure y pagar por usuario y según el uso mensual que le des, esto ya viene en el servicio SaaS de Microsoft Active Directory Premium 2, solo es cuestión de descargarlo en Apple Store o Google Play y habilitarlo en el smartphone ya sea para aplicaciones cooperativas como personales.
Fuente: Infosecurity