Ciberataque a Uber, ¿qué dicen los expertos?

Uber descubrió el jueves que su red informática había sido vulnerada, lo que llevó a la empresa a desconectar varios de sus sistemas internos de comunicación e ingeniería mientras investigaba el alcance del hackeo.

El ataque afectó varios de los sistemas internos de Uber, incluyendo canales de comunicación interna como su Slack, dejando vulnerable prácticamente toda la información de la empresa.

La persona que se atribuye la responsabilidad del hackeo envió imágenes del correo electrónico, el almacenamiento en la nube y los repositorios de código a investigadores de ciberseguridad y a la prensa internacional.

Al respecto, Toby Lewis, Global Head of Threat Analysis en Darktrace analiza:

Los detalles del ciberataque a Uber todavía están surgiendo, pero los primeros informes sugieren que puede tratarse de un atacante que busca más la notoriedad y la fama que cualquier tipo de beneficio financiero. En cualquier caso, un ataque de este tipo puede tener efectos duraderos en términos de restauración de los sistemas a estados operativos de confianza, así como daños a la reputación.

Es difícil especular demasiado en esta etapa inicial, pero un componente interesante en el ataque parece estar en la explotación de su autenticación multifactor, mediante el uso de la ingeniería social para persuadir a los empleados a aprobar ciegamente las acciones del atacante.

El hacker, que proporcionó capturas de pantalla de sistemas internos de Uber para demostrar su acceso, dijo que tiene 18 años y que había estado trabajando en sus habilidades de ciberseguridad durante varios años. Dijo que había entrado en los sistemas de Uber porque la empresa tenía una seguridad débil. En el mensaje de Slack en el que se anunciaba la irrupción, la persona también dijo que los conductores de Uber deberían recibir un salario más alto.

El investigador Sam Curry habría intercambiado mensajes con quien asegura ser el responsable del ataque. Éste le envió capturas para demostrar que habría logrado acceso completo a una parte importante y crítica de la infraestructura tecnológica de Uber, como son: acceso a cuentas de administrador, a los servidores de Amazon Web Service, el panel de HackerOne con el reporte de las vulnerabilidades, el canal de Slack, acceso a cuentas de administrador de vSphere y de Google Suite. Según Curry, parece que se trata de un compromiso total de sus sistemas:

Por otra parte, se solicitó a quienes trabajan en Uber no utilizar la plataforma de comunicación Slack, que luego fue puesta fuera de servicio.

Al parecer, había una red compartida que contenía scripts de powershell y uno de estos scripts contenía las credenciales de acceso para un usuario con permisos de administrador de una solución llamada PAM de thycotic que es utilizada para la gestión de accesos privilegiados. Y desde aquí habrían ingresado al resto de los servicios.

El día viernes Uber publicó información actualizada con respecto al incidente y puntualizó lo siguiente:

• Hasta el momento no hay evidencia de que los actores maliciosos hayan accedido a información sensible de usuarios y usuarias, como el historial de viajes.
• Todos los servicios a través de las apps, como Uber o Uber Eats, están operativos.
• La compañía reportó el incidente a las autoridades.
• Volvieron a estar operativas en la mañana del viernes herramientas de uso interno que fueron interrumpidas el día jueves por precaución.

Este no es el primer caso en el que atacantes logran acceder a la red de una compañía tras engañar a un empleado con ingeniería social. Desde ESET ya analizaron los casos de Twitter, en el ataque de ransomware a EA Sports y recientemente en el ataque al sidechain Ronin.

Israel Gutiérrez, CTO global y Manager para México de la empresa de ciberseguridad A3Sec comenta: “La manera de lograr un ataque exitoso fue utilizando lo que se llama ingeniería social: el ciberdelincuente se hace pasar por un empleado de Uber, así consigue que un empleado verdadero le entregue sus credenciales de acceso a la red corporativa (VPN). Con esta información logra entrar y escanea la red interna donde encuentra una carpeta compartida en la cual se almacenan scripts en texto, con información de más cuentas privilegiadas, así logró ingresar a múltiples sistemas de seguridad y administración de las infraestructuras tecnológicas”.

“En principio podemos ver que el acceso a través de las personas sigue siendo efectivo, la gestión de las plataformas de seguridad, por más controles existentes, si tenemos los usuarios y passwords almacenados en archivos de texto, nada es útil y agentes externos logran acceder a la información corporativa. Cuando nos referimos a que los ataques más efectivos son los internos no necesariamente vienen de personas que laboran dentro de la organización si no agentes externos que se hacen pasar por personal interno y ahí está el gran riesgo”. Remarca Israel Gutiérrez

La previsión para este tipo de incidentes es claramente la concientización a los empleados y mejores sistemas de validación de identidad e implementar sistemas de doble factor de autenticación. Sistemas de identificación de comportamiento de acceso, validar la ubicación geográfica de los empleados al acceder, aunque los colaboradores remotos existen, hay patrones claros para establecer comportamientos anómalos y poder reaccionar más rápido ante estas situaciones

El CTO de A3sec comenta: “Al analizar la información que tenemos disponible de Uber podemos ver que no existen ejercicios de simulación de ataques ni protocolos de comunicación claros ante un incidente de seguridad, por ejemplo: ¿cómo sabemos que quien empieza a escribir es o no un atacante? y ¿Cómo hemos estructurado los protocolos de reacción?. Uber emite que está investigando un incidente pero esto fue cuando empiezan a compartir información en las redes sociales, debió ser antes que el atacante revelara información asi podriamos ver que son más preventivos que reactivos, pero se ve claramente que la comunicación al público en general se desarrolla unos minutos después de que su información comienza a exponerse a través de algunos feeds de twitter”.

86