Los ciberdelincuentes comunes son una amenaza, no hay duda al respecto: desde piratas inform\u00e1ticos de dormitorio hasta grupos de ransomware, los ciberdelincuentes est\u00e1n causando mucho da\u00f1o. Pero tanto las herramientas utilizadas como la amenaza que representan los ciberdelincuentes comunes palidecen en comparaci\u00f3n con las herramientas utilizadas por grupos m\u00e1s profesionales, como los famosos grupos de pirater\u00eda y los grupos patrocinados por el estado.<\/p>\n
De hecho, estas herramientas pueden resultar casi imposibles de detectar y proteger. BVP47 es un buen ejemplo. En este art\u00edculo, describiremos c\u00f3mo este poderoso malware patrocinado por el estado ha estado circulando silenciosamente durante a\u00f1os, c\u00f3mo se disfraza de manera tan inteligente y explicaremos qu\u00e9 significa eso para la seguridad cibern\u00e9tica en la empresa.<\/p>\n
Historia de fondo detr\u00e1s de BVP47<\/h2>\n
Es una historia larga, digna de una novela de esp\u00edas. A principios de este a\u00f1o, un grupo de investigaci\u00f3n de ciberseguridad chino llamado Pangu Lab public\u00f3 un informe detallado de 56 p\u00e1ginas que cubr\u00eda un c\u00f3digo malicioso que el grupo de investigaci\u00f3n decidi\u00f3 llamar BVP47 (porque BVP era la cadena m\u00e1s com\u00fan en el c\u00f3digo y 47 dado que el algoritmo de cifrado utiliza el valor num\u00e9rico 0x47).<\/p>\n
El informe es verdaderamente detallado con una explicaci\u00f3n t\u00e9cnica completa, que incluye una inmersi\u00f3n profunda en el c\u00f3digo del malware. Revela que Pangu Lab encontr\u00f3 originalmente el c\u00f3digo durante una investigaci\u00f3n de 2013 sobre el estado de la seguridad inform\u00e1tica en una organizaci\u00f3n que probablemente era un departamento del gobierno chino, pero no se indica por qu\u00e9 el grupo esper\u00f3 hasta ahora para publicar el informe.<\/p>\n
Como factor clave, el informe vincula a BVP47 con el “Equation Group”, que a su vez ha estado vinculado a la Unidad de Operaciones de Acceso Adaptado de la Agencia de Seguridad Nacional de los Estados Unidos (NSA). Pangu Lab lleg\u00f3 a esta conclusi\u00f3n porque encontr\u00f3 una clave privada que podr\u00eda activar BVP47 dentro de un conjunto de archivos publicados por el grupo The Shadow Brokers (TSB). TSB atribuy\u00f3 ese volcado de archivos al Equation Group, lo que nos lleva de vuelta a la NSA. Simplemente no podr\u00edas inventarlo, y es una historia digna de una pel\u00edcula cinematogr\u00e1fica.<\/p>\n
\u00bfC\u00f3mo funciona BVP47 en la pr\u00e1ctica?<\/h2>\n
Pero suficiente sobre el elemento esp\u00eda contra esp\u00eda de la historia. \u00bfQu\u00e9 significa BVP47 para la ciberseguridad? En esencia, funciona como una puerta trasera muy inteligente y muy bien escondida en el sistema de red de destino, lo que permite que la parte que lo opera obtenga acceso no autorizado a los datos, y hacerlo sin ser detectado.<\/p>\n
La herramienta tiene un par de trucos muy sofisticados bajo la manga, en parte bas\u00e1ndose en el comportamiento de explotaci\u00f3n que la mayor\u00eda de los administradores de sistemas no buscar\u00edan, simplemente porque nadie pens\u00f3 que ninguna herramienta tecnol\u00f3gica se comportar\u00eda as\u00ed. Comienza su camino infeccioso estableciendo un canal de comunicaci\u00f3n encubierto en un lugar donde nadie pensar\u00eda en buscar: paquetes TCP SYN.<\/p>\n
En un giro particularmente insidioso, BVP47 tiene la capacidad de escuchar en el mismo puerto de red que usan otros servicios, lo cual es algo muy dif\u00edcil de hacer. En otras palabras, puede ser extremadamente dif\u00edcil de detectar porque es dif\u00edcil diferenciar entre un servicio est\u00e1ndar que usa un puerto y BVP47 que usa ese puerto. <\/p>\n
La dificultad de defenderse de esta l\u00ednea de ataque.<\/p>\n
En otro giro, la herramienta prueba regularmente el entorno en el que se ejecuta y borra sus rastros en el camino, ocultando sus propios procesos y actividad de red para asegurarse de que no queden rastros para encontrar. <\/p>\n
Adem\u00e1s, BVP47 utiliza varios m\u00e9todos de encriptaci\u00f3n en varias capas de encriptaci\u00f3n para la comunicaci\u00f3n y la exfiltraci\u00f3n de datos. Es t\u00edpico de las herramientas de primer nivel utilizadas por grupos de amenazas persistentes avanzados, incluidos los grupos patrocinados por el estado.<\/p>\n
En combinaci\u00f3n, equivale a un comportamiento incre\u00edblemente sofisticado que puede evadir incluso las defensas de ciberseguridad m\u00e1s astutas. La combinaci\u00f3n m\u00e1s capaz de firewalls, protecci\u00f3n avanzada contra amenazas y similares a\u00fan puede fallar al detener herramientas como BVP47. Estas puertas traseras son tan poderosas debido a los recursos que los actores estatales adinerados pueden arrojar para desarrollarlas.<\/p>\n
Como siempre, la buena pr\u00e1ctica es su mejor apuesta.<\/h2>\n
Eso no significa, por supuesto, que los equipos de seguridad cibern\u00e9tica deban darse la vuelta y darse por vencidos. Hay una serie de actividades que pueden dificultar, al menos, que un actor implemente una herramienta como BVP47. Vale la pena llevar a cabo actividades de concientizaci\u00f3n y detecci\u00f3n, ya que un monitoreo estricto a\u00fan puede atrapar a un intruso remoto. Del mismo modo, los honeypots pueden atraer a los atacantes hacia un objetivo inofensivo, donde bien pueden revelarse.<\/p>\n
Sin embargo, existe un enfoque simple basado en los primeros principios que ofrece una gran cantidad de protecci\u00f3n. Incluso herramientas sofisticadas como BVP47 se basan en software sin parches para afianzarse. Parchar constantemente el sistema operativo y las aplicaciones de las que depende es, por lo tanto, su primer puerto de escala.<\/p>\n
El acto de aplicar un parche por derecho propio no es el paso m\u00e1s desafiante, pero como sabemos, parchear r\u00e1pidamente cada vez es algo con lo que la mayor\u00eda de las organizaciones luchan.<\/p>\n
Y, por supuesto, eso es exactamente en lo que conf\u00edan los actores de amenazas como el equipo detr\u00e1s de BVP47, ya que mienten y esperan a su objetivo, que inevitablemente tendr\u00eda demasiados recursos para parchear de manera consistente, eventualmente perdiendo un parche cr\u00edtico. <\/p>\n