1. ACCESO INICIAL

El atacante usa herramientas de escaneo de puertos rápidos para realizar un escaneo de la red con el objetivo de localizar un dispositivo vulnerable con un puerto abierto, así el el atacante obtiene la dirección IP del dispositivo. El atacante logra su objetivo, al aprovechar un gap de seguridad y obtener acceso.

2. EJECUCIÓN

En esta etapa se ejecuta una carga útil o un comando en el dispositivo vulnerable a través del uso de exploits o de fuerza bruta. Para esto, se inyecta un comando de shell en el sistema operativo (SO) del dispositivo, lo que hace que un archivo maligno se descargue en el sistema operativo y ejecute una carga útil de malware que lleva a cabo la acción maliciosa. En un dos por tres el dispositivo IoT queda infectado.

3. PERSISTENCIA

El paso siguientes es lograr que la  carga útil de malware ejecutada siga persistiendo en el dispositivo IoT, de tal forma que interrumpe el proceso de vigilancia y crea nuevas cuentas. Con la carcasa del sistema operativo del dispositivo abierta, se establece el acceso redundante para el futuro.

4. EVASIÓN

Para evitar el descubrimiento o detección del malware, utilizan técnicas de evasión. Los ejemplos más comunes incluyen borrar los registros del sistema y el historial de comandos, ocultar el archivo de carga útil con un nombre de archivo enmascarado, desinstalar las herramientas de monitoreo de seguridad del host y emplear técnicas anti-VM y anti-depuración.

5. RECOPILACIÓN DE INFORMACIÓN

En esta etapa se procede a la recolección de toda la información almacenada en el dispositivo, lo que incluye archivos confidenciales, la clave privada y la billetera de criptomonedas.  En el caso de enfrentarse a una APT, amenaza persistente avanzada, que infecta enrutadores de red y dispositivos de almacenamiento; ésta recopila datos confidenciales del tráfico de red que se encuentra en dispositivos comprometidos.

6. COMANDO Y CONTROL

Para esta fase del ciclo, la carga útil del malware continúa lanzando diferentes actividades maliciosas, como la inundación de TCP, la inundación de UDP y la infiltración de dispositivos adicionales basados ​​en diferentes comandos recibidos del servidor C&C. Para los canales C&C, se utilizan HTTP, IRC, P2P y otros protocolos similares.

7. MOVIMIENTO LATERAL

Una vez que se logró comprometer el primer dispositivo IoT, el atacante aprovecha que está dentro de la red y utiliza técnicas de movimiento lateral para acceder a otros dispositivos vulnerables en la red y continúa comprometiéndolos uno por uno. Por ejemplo, primero se infecta un enrutador de borde y acto seguido,  infecta todos los dispositivos  IoT que están conectados a él.

8. IMPACTO

Debemos tener en cuenta que las actividades maliciosas iniciadas en el dispositivo IoT tienen múltiples impactos en el dispositivo como: el cifrado de datos para un rescate, borrado total del disco y los datos y el abuso para la minería de monedas. Al "bloquear" un dispositivo IoT, el malware malintencionado corrompe su capacidad de almacenamiento o reconfigura completamente sus parámetros del kernel.

¿Qué estás haciendo para minimizar la superficie de ataque de tus dispositivos IoT?

Como sabes, las superficies de ataque, los vectores de amenazas y las vulnerabilidades son tres temas ampliamente investigados al hablar de IoT y lo lamentable es que aún no  hay suficiente investigación sobre el impacto que tienen los ciberataques exitosos en los dispositivos de IoT.

Sin embargo, el equipo de inteligencia de amenazas global de Palo Alto Networks, UNIT 42 examinó más de cerca este impacto, incluido el rendimiento general del dispositivo, la usabilidad y los servicios ofrecidos y generó el documento técnico " Los impactos de los ciberataques en los dispositivos de IoT " con información de valor sobre los tres tipos de ataques modernos de IoT, todo el ciclo de vida del ataque y cómo dos escenarios principales de ciberataques afectan a los dispositivos de IoT.