El mundo de la ciberseguridad está en constante evolución y los ciberdelincuentes continúan marcando el paso
No hace demasiado tiempo, los hackers norcoreanos de Lazarus Group dieron un pequeño salto en su estrategia delictiva al incorporar un nuevo tipo de malware que algunos expertos consideraron como “muy sofisticado“.
El malware, conocido bajo el nombre de LightlessCan, se convirtió en el centro de atención de los profesionales del sector debido a su capacidad para pasar desapercibido. Algo que planteaba interesantes desafíos en los procesos de detección de amenazas y de seguridad en línea.
Malware “indetectable”
Como hemos dicho, uno de los aspectos más intrigantes de esta amenaza era cómo esta podía resultar indetectable. Pero, antes de proseguir, sería bueno preguntarnos: ¿qué significa exactamente que un malware sea “indetectable”?
En términos generales, la detección de un malware viene asociada a la observabilidad o medición del resultado de sus acciones.
Para conseguirlo, los ingenieros de seguridad, empleando herramientas de detección de ataques, suelen analizar el comportamiento de ciertos procesos al tiempo que supervisan las llamadas a comandos o servicios del sistema que son habitualmente conocidos.
El objetivo pues no es otro que prestar atención al comportamiento que pueda resultar anómalo, en forma y momento, durante la ejecución de un comando o proceso.
Ahora bien, cuando hablamos de “malwares indetectables”, nos referimos a aquellos que difícilmente son identificables cuando lo que hacen es ejecutar llamadas a servicios del sistema sin invocar explícitamente los comandos que tienen asociados.
Esta es precisamente la astucia que emplearon en Lazarus para evitar ser detectados.
Caminos alternativos al mismo destino
Para explicarlo mejor, imaginemos que usted es un ingeniero de seguridad y está monitorizando la ejecución en secuencia de ciertos comandos “A”, “B” y “C” para detectar la presencia de una posible amenaza.
Cada vez que el sistema le notifica que se ha ejecutado el comando “A”, su nivel de alerta aumenta. Si instantes después se ejecuta el comando “B”, el analista empezará a inquietarse. Y si finalmente se ejecuta el comando “C”, se lanzará una alarma.
Sin embargo, en el malware LightlessCan, Lazarus no siguió esta ruta predecible. En su lugar, en vez de ejecutar el comando “A” directamente, ejecutó algo similar a “A” pero con un nombre y pasos (procesos y subprocesos) diferentes, como, por ejemplo, la llamada a otros comandos “A1, A2, A3”.
En su conjunto, estos pasos lograban el mismo resultado que “A”, pero nadie detectaba su ejecución porque estaban enfocados en buscar la ejecución del comando “A” y no en estas variaciones más sutiles.
El resultado es que el malware de Lazarus se volvió indetectable, ya que nadie estaba prestando atención a estas variantes. Dicho de otra forma, los expertos y las herramientas de ciberseguridad podrían haber estado mirando en la dirección equivocada y el malware habría pasado desapercibido. Al fin y al cabo, cualquier cosa se vuelve indetectable si nadie mira en la dirección adecuada.
Sin ayuda, no todo es tan sencillo
Sin embargo, para que esta estrategia funcionara, Lazarus Group necesitaba de la colaboración de sus víctimas: debía convencer a las personas para que instalarán un software que se encargaría de ejecutar el malware siguiendo ese modelo de ataque.
Y aquí viene una de las debilidades más importantes. Para conseguirlo, utilizó la artimaña de ofrecer empleos, obviamente ficticios, invitando a los posibles “candidatos” a resolver un problema de programación como prueba para valorar su idoneidad al puesto.
Para poder entrar en el proceso de selección era condición necesaria que las víctimas instalaran un software en sus ordenadores o equipos personales. Sencillo, demasiado sencillo, pero efectivo.
Un par de consideraciones, también sencillas
Llegados a este punto, podríamos entrar a plantear dos reflexiones que podrían resultar interesantes para los directores de seguridad en un escenario (real) como el descrito.
- Primero, el hecho de que un ingeniero de un sector crítico (como el que fue víctima de este ciberataque) caiga en este tipo de engaños resalta cuán lejos estamos globalmente de alcanzar una concienciación adecuada en materia de ciberseguridad.
Instalar software en un equipo de trabajo sin autorización sigue siendo demasiado común, y este incidente es una llamada de atención para todos los profesionales de la ciberseguridad, sean del sector que sea.
- Segundo, el hecho de que una compañía pueda permitir la descarga de software en los equipos de trabajo de sus empleados sin supervisión y control resulta ser un privilegio demasiado arriesgado y muestra la necesidad de actuar con precaución en la gestión de la ciberseguridad.
En última instancia, y no menos importante, el caso de Lazarus Group y su malware indetectable nos recuerda la importancia de la concienciación en ciberseguridad.
En este caso, todo comenzó por un engaño. El recurso más sencillo para un ciberdelincuente. Por eso, también la concienciación es unas de nuestras mejores defensas, incluso contra amenazas que resultan aparentemente sofisticadas y indetectables.