Ataques/Breaches

Los atacantes con motivación económica podrían utilizar el código fuente robado para ataques más amplios

A primera vista, la brecha masiva de Adobe que se reveló la semana pasada no encaja perfectamente en el perfil de un ataque puramente cibercriminal: Los delincuentes no sólo robaron los datos de los clientes y la información de las tarjetas de pago de la empresa de software, sino que también se hicieron con el código fuente de los programas ColdFusion, Acrobat y Reader de Adobe.

Aún no está claro cómo consiguieron los atacantes los datos de los clientes de Adobe y su código fuente, y qué han hecho, si es que han hecho algo, para manipular el código fuente con fines de fraude. Pero lo que sí está claro es que los atacantes accedieron, a propósito o sin querer, tanto a los valiosos datos financieros de los clientes de Adobe como a su propiedad intelectual, con lo que obtuvieron múltiples vías para ganar dinero.

«Estos tipos tenían una orientación financiera», dice Alex Holden, CISO de Hold Security, quien, junto con Brian Krebs de KrebsOnSecurity, descubrió los 40 gigabytes de código fuente de Adobe en el mismo servidor que los datos robados de LexisNexis, Dun & Bradstreet, Kroll y otros. «Queda por ver si tuvieron acceso al código fuente primero…»

Adobe reveló a última hora del jueves que había sufrido «ataques sofisticados» masivos en su red que resultaron en el robo de información sensible, incluyendo información de tarjetas de pago de 2,9 millones de clientes, así como del código fuente de múltiples productos de software de Adobe, incluyendo Adobe Acrobat, ColdFusion, ColdFusion Builder y otro software de Adobe. Brad Arkin, director de seguridad de Adobe, dijo que los ataques podrían estar relacionados.

Hold Security dice que los atacantes parecen haber tenido los datos robados en su poder durante al menos dos meses. Dice que una de sus mayores preocupaciones es que pueda estar en marcha un ataque de día cero contra las aplicaciones de Adobe que aún no ha sido detectado. «Podrían haber atacado objetivos de alto nivel. Es una idea muy preocupante y aterradora», afirma Holden.

Los ciberdelincuentes suelen intentar sacar provecho rápidamente de la información de las tarjetas de pago o las credenciales de los usuarios robadas. Aunque los datos robados de las tarjetas de pago de los clientes de Adobe estaban encriptados, según Adobe, es posible que los atacantes pudieran obtener las claves de encriptación o descifrar el criptograma, dependiendo de su fuerza e implementación, dicen los expertos en seguridad.

Los atacantes podrían monetizar el código fuente encontrando y vendiendo exploits para las aplicaciones de Adobe, por ejemplo, dicen los expertos. O simplemente podrían quedarse con los exploits para utilizarlos en futuros ataques más generalizados.

«Si vas a por Adobe o a por cualquier empresa, vas a ir a por información que puedas monetizar rápidamente, pero también si encuentras algunos zero-days realmente buenos en Adobe Reader o ColdFusion, eso podría llevar a futuros ataques a través de varios clientes», dice Benjamin Johnson, CTO de Carbon Black. «Todo el mundo tiene Adobe… es una superficie tan grande para atacar».

Las ventas de exploits son lucrativas, del orden de decenas de miles de dólares por una aplicación de Adobe, por ejemplo. «El código fuente es lo que da dinero: ayuda a encontrar las vulnerabilidades de los productos de Adobe. Por ejemplo, un solo exploit de día cero para Adobe Reader puede valer 50.000 dólares en el mercado negro», afirma Timo Hirvonen, investigador principal de F-Secure.

El aprovechamiento del código fuente de Adobe proporcionaría a los atacantes una forma más eficaz de robar información. «En el pasado, era muy fácil hacer ataques en serie: se podía conseguir a millones de personas a través de phishing y keyloggers», dice Dan Hubbard, CTO de OpenDNS. «Pero ahora parece más sofisticado, y están haciendo cosas más planificadas, así que en lugar de ir a por el cliente y el elemento humano, están yendo a por algunos de los puntos débiles de la infraestructura y sacando datos y averiguando qué hacer… Es definitivamente un cambio interesante en las operaciones».

Si el peor escenario se hace realidad y los atacantes realmente envenenaron el código fuente de Adobe y luego lo distribuyeron a los clientes de Adobe, entonces la firma de software fue más un medio para un fin para los atacantes. «Si el código fuente robado pertenece a ColdFusion y Acrobat, esto podría dejar miles de servidores web expuestos a un compromiso a voluntad y facilitar el compromiso de los sistemas de los usuarios finales. Esta brecha es un escalofriante recordatorio de que todas las empresas de software deben estar en guardia, ya que también podrían ser un trampolín para otros objetivos», afirma Chris Petersen, director de tecnología y cofundador de LogRhythm.

Puede que pase algún tiempo antes de que surja la imagen completa del ataque a Adobe, si es que lo hace. Los expertos en seguridad afirman que si efectivamente Adobe tardó hasta seis semanas en darse cuenta del ataque, la empresa de software está en desventaja desde el principio. «Eso es una ventaja que tenían los malos», dice Johnson. La clave es siempre la detección rápida para mitigar el daño, dicen los expertos.

Bala Venkat, director de marketing del proveedor de seguridad de aplicaciones Cenzic, está de acuerdo. «Según las investigaciones en curso, parece que esta brecha en Adobe comenzó realmente en algún momento de agosto y continuó hasta finales de septiembre. Este retraso en el mecanismo de detección y respuesta es especialmente alarmante. Las organizaciones deben asegurarse de que existe un proceso de supervisión continua de la seguridad en todas sus aplicaciones de producción para detectar e informar sobre las vulnerabilidades en tiempo real cuando se produce una brecha. Si esta política se aplica con rigor, estas brechas podrían haber sido contenidas y los daños minimizados de forma mucho más rápida y efectiva. «

Otra preocupación es si los atacantes ya han hecho incursiones en el objetivo de los clientes de Adobe. «Una de mis preocupaciones es el movimiento lateral dentro de la base de clientes», dice Johnson de Carbon Black, donde los atacantes ya han suplantado a los clientes de Adobe para robar información.

«Va a pasar un tiempo hasta que sepamos todas las ramificaciones de esto», dice.

Y Adobe no es la última víctima de esta banda de ciberdelincuentes: Los expertos en seguridad dicen que hay que esperar más revelaciones de otras organizaciones que fueron atacadas.

¿Tiene algún comentario sobre esta historia? Por favor, haga clic en «Añadir su comentario» a continuación. Si quieres ponerte en contacto directamente con los editores de Dark Reading, envíanos un mensaje.

Kelly Jackson Higgins es la editora ejecutiva de Dark Reading. Es una galardonada y veterana periodista de tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, como Network Computing, Secure Enterprise … Ver biografía completa