La habilidad de la comunidad de seguridad de la información para responder ante las amenazas y descubrir vulnerabilidades mejora cada mes. La reacción colectiva de la comunidad de seguridad ante un nuevo hash de archivo, una nueva técnica o método de comunicación nunca ha sido tan sólida. No obstante, los atacantes también realizan avances, superando inclusive a las defensas del mundo de la seguridad.
Una forma de equilibrar este problema consiste no solo en focalizarse para identificar las amenazas, sino también en encontrar un método efectivo para eliminarlas de Internet. Frecuentemente se confunde la identificación del problema con la remoción del mismo, dejando a los atacantes bajo observación, pero aún con la capacidad de alcanzar sus metas.
Es por ello que los Laboratorios de Investigación sobre Amenazas de Level 3 y el Talos Group de Cisco trabajaron en forma conjunta para investigar y mitigar el riesgo que presentan el escaneo de toda la Internet en manos de un atacante y las botnet de DDoS, SSHPsychos.
Investigando a los actores maliciosos
A fines de septiembre de 2014, el blog Malware Must Die! informó sobre un nuevo malware Linux y rootkit utilizado para los ataques de DDoS. A pesar de la completa descripción, la amenaza persistió. Más de cuatro meses después, FireEye identificó un ataque de fuerza bruta SSH inusualmente grande intentando cargar el mismo malware, que aún seguía siendo un rootkit y herramienta de DDoS extremadamente efectiva cuando se combinaba con los intentos de login de fuerza bruta SSH.
Afortunadamente para la Comunidad de Internet, el Talos Group de Cisco continuó trabajando en esta campaña y realizando un seguimiento. En el primer trimestre de 2015, los señuelos o honeypots de Talos tuvieron más intentos de autenticación de este atacante en particular (103.41.125.0/23 y 43.255.190.0/23) que de todos los demás en su conjunto.
A fines de marzo, Level 3 comenzó sus tratativas con el Talos Group de Cisco para trabajar en tándem, con el fin de mitigar esta amenaza para Internet. Los datos de la red de Level 3 confirmaron la escala masiva lograda por este atacante al compararla con todo el tráfico de Internet para SSH. Por momentos, este solo atacante fue responsable de más del 35% del total del tráfico SSH de Internet.
Con posterioridad al hallazgo de un ataque, resulta crítico que la comunidad de seguridad limpie la infraestructura del atacante y su habilidad de ejecutar, en lugar de simplemente observar el problema. Dicha colaboración lleva a una mejora en la postura de seguridad de Internet en su conjunto. En el caso de los SSHPsychos, el trabajo realizado por los equipos combinados de Level 3 y Cisco ha arrojado como resultado una mejora en la seguridad para todos aquellos que usen Internet. En Level 3 y Cisco esperamos continuar con dicha tendencia juntos y ver que otros se sumen a nuestros esfuerzos. La unión hace la fuerza.