La Organización de Aviación Civil Internacional (OACI o ICAO, por sus siglas en inglés) fue víctima en 2016 de un ataque de watering hole a gran escala. De hecho, en noviembre de ese año, un analista de inteligencia cibernética de Lockheed Martin se contactó con la organización internacional después de descubrir que los cibercriminales tomaron el control de dos de sus servidores.
Un ataque de watering hole como el que se utilizó para afectar a la ICAO consiste en utilizar un sitio web frecuentado por el objetivo mediante el uso de un exploit. Según el analista de Lockheed Martin este ataque podría representar una "amenaza significativa para la industria de la aviación".
Este ciberataque se ha vinculado al grupo de APT LuckyMouse, también conocido como Emissary Panda, APT27 y Bronze Union.
Luego de hablar con Lockheed Martin, la ICAO ordenó a un analista externo evaluar el ataque. El análisis preliminar realizado por Secureworks reveló problemas más profundos. Según reportó Radio-Canada (artículo en francés), el análisis indicó que el ataque fue más allá del incidente que inicialmente se observó en dos servidores de la organización, y que el ataque también afectó "las cuentas de los servidores de correo, el administrador del dominio y el sistema administrador".
En las semanas posteriores al ataque, los atacantes también comprometieron la cuenta de correo de un delegado de la ICAO para enviar mensajes; sin embargo, los informes realizados por los medios de comunicación sobre el ataque no indican si ambos incidentes están vinculados.
Algunos problemas de comunicación y cooperación dentro de la organización internacional parecen haber provocado retrasos en el análisis exhaustivo del ataque por parte de Secureworks; incluido el descifrado de un servidor de correo infectado, un paso importante para advertir a los usuarios cuya seguridad y datos pueden haber sido comprometidos.
Una vez que este servidor fue descifrado, los analistas pudieron vincular este ataque a una cuenta interna en la organización. Sin embargo, es imposible determinar si esta cuenta fue comprometida por el ataque.
Acerca del grupo LuckyMouse
Según el investigador de malware de ESET Matthieu Faou, LuckyMouse se especializa en ataques de watering hole. "Este grupo de APT escanea la web en busca de servidores vulnerables que puedan permitirle comprometer a nuevas víctimas más adelante", explicó.
El experto agrega que LuckyMouse utiliza varias herramientas para llegar a sus víctimas, que a menudo están ubicadas en Asia Central y Medio Oriente. “Además de usar herramientas genéricas relativamente accesibles en la Web, el grupo ha desarrollado herramientas propias, incluido un rootkit. El año pasado, robaron un certificado digital que pertenecía a una empresa legítima y lo utilizaron para firmar su rootkit", agregó el investigador.
Según José Fernández, experto en ciberseguridad y profesor del Polytechnique Montréal, "la ICAO es una opción natural" para el espionaje cibernético, un tipo de campaña con la que a menudo se asocia a LuckyMouse. "La agencia se convierte así en una ventana abierta para ataques por parte otros participantes de la industria aeroespacial", explicó el experto.
Anthony Philbin, jefe de comunicaciones de la ICAO, tranquilizó al público luego de que se hicieran públicos algunos detalles que rodearon este ciberataque. Y tras el informe realizado por CBC afirmó: "No tenemos conocimiento de las graves consecuencias para la seguridad cibernética que este incidente habría representado para los socios externos...", y agregó que desde el ataque, "la ICAO ha realizado mejoras significativas en su marco de ciberseguridad y en el enfoque para mitigar otros incidentes ".
En cualquier caso, este incidente deja en evidencia la importancia de una respuesta rápida y coordinada cuando una organización se enfrenta a un ciberataque. El desarrollo de un plan de respuesta ante incidentes de ciberseguridad debe ser ahora el centro de la planificación de seguridad general de cualquier organización. Sobre todo para las grandes organizaciones, aunque es un ejercicio que cualquier empresa debería realizar.