Los ciberdelincuentes comunes son una amenaza, no hay duda al respecto: desde piratas informáticos de dormitorio hasta grupos de ransomware, los ciberdelincuentes están causando mucho daño. Pero tanto las herramientas utilizadas como la amenaza que representan los ciberdelincuentes comunes palidecen en comparación con las herramientas utilizadas por grupos más profesionales, como los famosos grupos de piratería y los grupos patrocinados por el estado.
De hecho, estas herramientas pueden resultar casi imposibles de detectar y proteger. BVP47 es un buen ejemplo. En este artículo, describiremos cómo este poderoso malware patrocinado por el estado ha estado circulando silenciosamente durante años, cómo se disfraza de manera tan inteligente y explicaremos qué significa eso para la seguridad cibernética en la empresa.
Historia de fondo detrás de BVP47
Es una historia larga, digna de una novela de espías. A principios de este año, un grupo de investigación de ciberseguridad chino llamado Pangu Lab publicó un informe detallado de 56 páginas que cubría un código malicioso que el grupo de investigación decidió llamar BVP47 (porque BVP era la cadena más común en el código y 47 dado que el algoritmo de cifrado utiliza el valor numérico 0x47).
El informe es verdaderamente detallado con una explicación técnica completa, que incluye una inmersión profunda en el código del malware. Revela que Pangu Lab encontró originalmente el código durante una investigación de 2013 sobre el estado de la seguridad informática en una organización que probablemente era un departamento del gobierno chino, pero no se indica por qué el grupo esperó hasta ahora para publicar el informe.
Como factor clave, el informe vincula a BVP47 con el «Equation Group», que a su vez ha estado vinculado a la Unidad de Operaciones de Acceso Adaptado de la Agencia de Seguridad Nacional de los Estados Unidos (NSA). Pangu Lab llegó a esta conclusión porque encontró una clave privada que podría activar BVP47 dentro de un conjunto de archivos publicados por el grupo The Shadow Brokers (TSB). TSB atribuyó ese volcado de archivos al Equation Group, lo que nos lleva de vuelta a la NSA. Simplemente no podrías inventarlo, y es una historia digna de una película cinematográfica.
¿Cómo funciona BVP47 en la práctica?
Pero suficiente sobre el elemento espía contra espía de la historia. ¿Qué significa BVP47 para la ciberseguridad? En esencia, funciona como una puerta trasera muy inteligente y muy bien escondida en el sistema de red de destino, lo que permite que la parte que lo opera obtenga acceso no autorizado a los datos, y hacerlo sin ser detectado.
La herramienta tiene un par de trucos muy sofisticados bajo la manga, en parte basándose en el comportamiento de explotación que la mayoría de los administradores de sistemas no buscarían, simplemente porque nadie pensó que ninguna herramienta tecnológica se comportaría así. Comienza su camino infeccioso estableciendo un canal de comunicación encubierto en un lugar donde nadie pensaría en buscar: paquetes TCP SYN.
En un giro particularmente insidioso, BVP47 tiene la capacidad de escuchar en el mismo puerto de red que usan otros servicios, lo cual es algo muy difícil de hacer. En otras palabras, puede ser extremadamente difícil de detectar porque es difícil diferenciar entre un servicio estándar que usa un puerto y BVP47 que usa ese puerto.
La dificultad de defenderse de esta línea de ataque.
En otro giro, la herramienta prueba regularmente el entorno en el que se ejecuta y borra sus rastros en el camino, ocultando sus propios procesos y actividad de red para asegurarse de que no queden rastros para encontrar.
Además, BVP47 utiliza varios métodos de encriptación en varias capas de encriptación para la comunicación y la exfiltración de datos. Es típico de las herramientas de primer nivel utilizadas por grupos de amenazas persistentes avanzados, incluidos los grupos patrocinados por el estado.
En combinación, equivale a un comportamiento increíblemente sofisticado que puede evadir incluso las defensas de ciberseguridad más astutas. La combinación más capaz de firewalls, protección avanzada contra amenazas y similares aún puede fallar al detener herramientas como BVP47. Estas puertas traseras son tan poderosas debido a los recursos que los actores estatales adinerados pueden arrojar para desarrollarlas.
Como siempre, la buena práctica es su mejor apuesta.
Eso no significa, por supuesto, que los equipos de seguridad cibernética deban darse la vuelta y darse por vencidos. Hay una serie de actividades que pueden dificultar, al menos, que un actor implemente una herramienta como BVP47. Vale la pena llevar a cabo actividades de concientización y detección, ya que un monitoreo estricto aún puede atrapar a un intruso remoto. Del mismo modo, los honeypots pueden atraer a los atacantes hacia un objetivo inofensivo, donde bien pueden revelarse.
Sin embargo, existe un enfoque simple basado en los primeros principios que ofrece una gran cantidad de protección. Incluso herramientas sofisticadas como BVP47 se basan en software sin parches para afianzarse. Parchar constantemente el sistema operativo y las aplicaciones de las que depende es, por lo tanto, su primer puerto de escala.
El acto de aplicar un parche por derecho propio no es el paso más desafiante, pero como sabemos, parchear rápidamente cada vez es algo con lo que luchan la mayoría de las organizaciones.
Y, por supuesto, eso es exactamente en lo que confían los actores de amenazas como el equipo detrás de BVP47, ya que mienten y esperan a su objetivo, que inevitablemente tendría demasiados recursos para parchear de manera consistente, eventualmente perdiendo un parche crítico.
¿Qué pueden hacer los equipos presionados? La aplicación de parches en vivo automatizada es una solución, ya que elimina la necesidad de aplicar parches manualmente y elimina los reinicios que consumen mucho tiempo y el tiempo de inactividad asociado. Cuando no es posible aplicar parches en vivo, se puede usar el análisis de vulnerabilidades para resaltar los parches más críticos.
Ni el primero ni el último
Los informes detallados como este son importantes para ayudarnos a estar al tanto de las amenazas críticas. Pero BVP47 ha estado en juego durante años y años antes de este informe público, y mientras tanto, innumerables sistemas fueron atacados, incluidos objetivos de alto perfil en todo el mundo.
No sabemos cuántas herramientas similares existen; todo lo que sabemos es lo que debemos hacer para mantener una postura de seguridad cibernética consistentemente fuerte : monitorear, distraer y parchear. Incluso si los equipos no pueden mitigar todas las amenazas, al menos pueden montar una defensa eficaz, lo que dificulta al máximo la operación exitosa del malware.
