Solo en la primera mitad de 2020, se detectaron cuatro marcos maliciosos diferentes diseñados para atacar redes de brecha de aire, lo que elevó el número total de estos conjuntos de herramientas a 17 y ofreció a los adversarios una forma de ciberespionaje y filtrado de información clasificada.
«Todos los marcos están diseñados para llevar a cabo algún tipo de espionaje, [and] todos los marcos usaban unidades USB como medio de transferencia físico para transferir datos hacia y desde espacios específicos ”, dijeron los investigadores de ESET Alexis Dorais-Joncas y Facundo Muñoz en un estudio integral de los marcos.
El espacio aéreo es una medida de seguridad de red diseñada para evitar el acceso no autorizado a los sistemas aislándolos físicamente de otras redes inseguras, incluidas las redes de área local y la Internet pública. Esto también significa que la única forma de transferir datos es conectar un dispositivo físico, como unidades USB o discos duros externos.
Como el mecanismo es una de las formas más comunes de proteger SCADA y los sistemas de control industrial (ICS), los grupos APT, que generalmente son patrocinados o forman parte de los esfuerzos de los estados nacionales, se están enfocando cada vez más en la infraestructura crítica con la esperanza de penetrar en el aire. – una red con brechas de malware para rastrear objetivos de interés.
Una empresa de ciberseguridad eslovaca que fue diseñada principalmente para atacar sistemas operativos basados en Windows dijo que al menos el 75% de todos los marcos se encontraron usando archivos LNK o AutoRun maliciosos en unidades USB, ya sea para realizar un compromiso inicial del sistema de espacio de aire o moverse lateralmente dentro de la red de espacio de aire.
Algunos de los marcos que se han atribuido a los actores de amenazas conocidos son los siguientes:
«Todos los frameworks han ideado sus propios métodos, pero todos tienen una cosa en común: sin excepción, todos usaban unidades USB», explicaron los investigadores. «La principal diferencia entre los marcos vinculados y fuera de línea es cómo la unidad está equipada con armas».
Mientras que los marcos adjuntos funcionan implementando un componente insidioso en el sistema conectado que monitorea la inserción de nuevas unidades USB y coloca automáticamente el código de ataque necesario para envenenar el sistema de espacio de aire en ellos, los marcos fuera de línea como Brutal Kangaroo, EZCheese y ProjectSauron infectan deliberadamente sus atacantes poseen unidades USB para bloquear las computadoras de destino.
Esto significa que la transferencia encubierta de datos desde un entorno de espacio de aire sin que el USB sea un hilo común sigue siendo un desafío. Aunque se han propuesto varios métodos para transmitir en secreto datos altamente sensibles utilizando cables Ethernet, señales de Wi-Fi, una fuente de alimentación de computadora e incluso cambios en el brillo de la pantalla LCD como nuevos canales laterales, los ataques en la naturaleza utilizando estas técnicas. todavía necesitan ser observados.
Como precaución, se recomienda a las organizaciones con sistemas de información críticos e información sensible que eviten el acceso directo al correo electrónico en los sistemas conectados, deshabiliten los puertos USB y desinfecten las unidades USB, restrinjan la ejecución de archivos en discos extraíbles y realicen análisis regulares de los sistemas de espacio de aire para cualquier marca. actividades sospechosas.
«Mantener un sistema con un espacio de aire completo trae los beneficios de una protección adicional», dijo Dorais-Joncas. «Pero al igual que todos los demás mecanismos de seguridad, la brecha de aire no es una solución milagrosa y no evita que los actores malintencionados se alimenten de sistemas obsoletos o malos hábitos de los empleados».
