Ataque de Ingeniería Social provoca infiltración en la red de Uber

Durante el día 15 de septiembre del presente año, se levantó la noticia públicamente de que la empresa Uber habría sido afectada por un ataque ejecutado aparentemente por un joven de 18 años, en donde se lograron accesos ilegítimos a un gran número de plataformas organizacionales de diferente relevancia, pudiendo acceder a datos financieros, plataformas de administración y de comunicaciones internas, siendo éste el segundo caso de vulneraciones recibidas por esta compañía, a diferencia que en la primera ocasión, realizaron el pago de la extorsión y se mantuvo en estricto silencio durante un par de años.

Ilustración 1. Mensaje oficial emitido por Uber

UBER

Si bien esta noticia ha sido altamente criticada, no es primera vez que la organización Uber ha sido vulnerada, ya que en 2016 mediante un servicio en la nube, sufrió una sustracción masiva de información en donde se obtuvieron cuentas de conductores y pasajeros, para luego extorsionar a la compañía a cambio de eliminar la información secuestrada. En este caso Uber realizó el pago de la extorsión y se mantuvo en silencio durante un par de años.

En la sustracción de 2016 se obtuvieron 57 millones de registros de todo el mundo contando datos como nombres, correos electrónicos y números de teléfono principalmente

Cabe destacar que aplicaciones como Uber cuentan con una gran cantidad de información personal y confidencial de sus usuarios y conductores, por lo que es altamente factible que de caer en las manos equivocadas podrían llegar a utilizarse fácilmente para suplantación de identidad.

Por otra parte, en el actual caso se ha liberado una gran cantidad de evidencia disponibilizada en internet por el mismo atacante, sin embargo aún no se ha dimensionado totalmente cuál ha sido el grado de afectación de la compañía, ya que actualmente este incidente todavía se encuentra siendo investigado.

Ilustración 2. Mensaje de hacker dejado en servicio Slack de Uber

Método de acceso

De acuerdo a algunas fuentes la “Ingeniería Social” es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados. En el Caso de la operación que se evidencio en Uber, el actor de amenaza logró el accesos a la infraestructura tecnológica de la compañía  con el envío de múltiples notificaciones push durante al menos una hora al empleado afectado. 

Según los investigadores de Uber el atacante, logró efectuar la operación de ingeniería social, haciéndose pasar por personal de Uber IT y le dijo al empleado afectado que “si quería que los mensajes pararan debía aceptar, el empleado aceptó y el atacante pudo agregar su dispositivos a la configuración de confianza de la VPN”, logrando infiltrarse. Una vez dentro de la red, el atacante efectuó escaneo de toda la infraestructura, lo que le permitió encontrar  un recurso compartido con scripts en Powershell, uno de ellos contenía unas credenciales de administrador para Thycotic (PAM), desde ahí pudieron pivotear a otras plataformas sensibles.

“Poco antes de que el sistema Slack fuera desconectado el jueves por la tarde, los empleados de Uber recibieron un mensaje que decía: "Anuncio que soy un hacker y que Uber ha sufrido una violación de datos." El mensaje continuaba con una lista de varias bases de datos internas que, según el hacker, habían sido comprometidas.”

Sistemas vulnerados

• AWS
• SLACK
• Google Workspace Admin
• VM Sphere
• Plataforma financiera
• Duo Security (Cisco)
• Jenkins
• Veem Backup
• Cuentas privilegiadas y servicio del AD interno de *.corp.uber.com
• HackerOne Admin
• SentinelOne EDR

Ilustración 3. Dashboard AWS

Ilustración 4. Dashboard SLACK

Ilustración 5. Dashboard Google

Ilustración 6. Dashboard VMware vSphere

Ilustración 7. Dashboard de contabilidad

Apreciación

Debido al aumento de los ataques cibernéticos que se están ejecutando a escala global , se podría predecir que otras organizaciones tanto internacional o Nacional podrían ser afectadas por esta modalidad de ataque, por lo que la recomendación siempre será estar atentos a las nuevas técnicas que se seguirán desarrollando,  y que en gran medida se valen del abuso a la confianza de los usuarios, los cuales en gran medida tienden a no desconfiar de un tercero cuando suplanta a un conocido, técnica muy utilizada con el objetivo de ganar y asegurar el acceso inicial que por otros métodos sin interacción del usuario resultan muy complejos de realizar, lo que se traduce en el constante desarrollo de nuevas estrategias de defensa para reforzar y/o 'adaptar las correspondientes medidas de protección ya existentes.

Cabe destacar que la sensibilidad de los datos de estas filtraciones pueden traer consigo una seguidilla de ataques de diferente índole y envergadura, que podría impactar a los diferentes actores involucrados, tanto como compañía o usuarios del servicio, siendo este último uno de los más críticos, ya que es altamente factible la suplantación de identidad motivado principalmente para actos delictivos, por tanto siempre es importante prestar atención en que y cuantos datos se entregan en internet a las compañías de servicios, ya que mientras más amplio sea el listado, es más probable verse afectado como usuario en incidentes de este tipo.

Triage recomendado

En el caso de que a través de esta vulneración se tengan los bins de las tarjetas de pago, lo cual es lo más probable, se recomienda:

• Identificar todos los medios de pago inscritos a través de esa tarjeta.
• Cambiar las credenciales y activar MFA.
• Solicitar la renovación de las tarjetas de crédito o débito inscritas en la aplicación.
• En el caso de que la password utilizada en esta aplicación, la utilices en otros portales, esta se debe cambiar de inmediato.
• Utilizar contraseñas de a lo menos 12 bits de largo, incluyendo mayúsculas, minúsculas, números y caracteres especiales.

Si bien MFA es una medida de seguridad válida y altamente efectiva, ésta es fácilmente vulnerable si los usuarios no entienden la criticidad del mismo.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Centrarse en la concientización y la formación. Informar a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.