Caso de éxito 003_

Asunto

Cientos de usuarios de una compañía multinacional de telecomunicaciones informaron de que su navegación en Internet estaba sufriendo incidencias.

Al sospechar que podía tratarse de un problema de seguridad, el equipo interno nos solicitó apoyo para investigar el caso. Descubrimos que se trataba de una red (“botnet”) de cientos de miles de routers domésticos que habían sido comprometidos para redirigir su tráfico de red y robar sus credenciales de acceso a varios servicios. Descubrimos también que el servicio desde donde se controlaba la botnet (C&C) se ubicaba en un servidor alojado y gestionado por dicha compañía que había sido comprometido. Se llevó a cabo un análisis forense para determinar las causas del incidente y su impacto y se dieron las recomendaciones necesarias para minimizar riesgos similares en el futuro.

Acciones

• Análisis forense del ordenador

Los autores comprometieron cientos de miles de dispositivos de red a través de un área geográficamente dispersa, incluyendo Europa y LATAM. El servidor desde donde se gestionaba esta red de dispositivos era un sistema alojado y administrado por la compañía que a su vez había sido comprometido.  Trabajamos con el cliente para identificar estos sistemas y hacer un análisis forense.

• Análisis forense de la red

Se recogieron los datos de registro a partir de una serie de sistemas del cliente con el fin de realizar un análisis forense de red. Este análisis tuvo como objetivo identificar patrones en las comunicaciones de red comprometidas.

• Análisis forense del Malware

Se hizo un análisis in-house del malware para analizar archivos y procesos maliciosos bajo sospecha. Este análisis determina la funcionalidad e identificó los tipos de comunicaciones entrantes y salientes asociados con el malware. Una peculiaridad del incidente es que el malware se había desarrollado para dispositivos embebidos con una arquitectura hardware poco habitual, por lo que se trataba de un ataque muy “ad-hoc”.

Resultados

• Se identificaron las brechas de seguridad que permitieron la infección tanto de los routers domésticos como del servidor central.
• Se confirmó el robo de información de clientes y las técnicas utilizadas.
• Se identificaron los patrones de tráfico y los mecanismos de detección de sistemas afectados.
• Se localizó y bloqueó el servidor utilizado para controlar la red de equipos infectados.
• Se determinó que los atacantes llevaban actuando desde hacía más de 6 meses.

Acciones de Remediación

Se dieron las recomendaciones necesarias para minimizar el impacto del incidente: como detectar y limpiar los sistemas afectados; cuales eran las vulnerabilidades aprovechadas, como descubrirlas y cerrarlas, etc. Se desarrolló un plan completo de mejora que incluía la creación de una nueva unidad global de seguridad de red con la participación de los fabricantes.