Primeras víctimas del aumento de relleno de credenciales de VPN

Prefacio

Esperamos que la información compartida en este artículo pueda ser útil para los proveedores de servicios VPN y los servicios en línea. Hemos tratado de llenarlo con tantos detalles como sea posible para proporcionar una mejor visión de este problema. Si has sido blanco del mismo tipo de ataque y necesitas asesoramiento, no dudes en contactarnos. Estaremos encantados de compartir nuestros conocimientos.

Introducción

Le VPN fue blanco de ataques DDoS en innumerables ocasiones en el pasado, pero hace un par de semanas notamos algo diferente y nuevo para nosotros.

Otra botnet, que generalmente apunta a nuestro sistema de gestión de clientes, ahora ha cambiado su dirección de ataque a nuestra API. Un rápido vistazo a esto mostró que se trataba de un llenado de credenciales. Alguien estaba usando una colección de credenciales previamente robadas para intentar verificarlas en nuestra base de usuarios.

Le VPN es principalmente inmune a este vector de ataque, ya que generamos un nombre de usuario único para cada nuevo usuario.

Una excepción es una fracción de nuestros usuarios que migraron a Le VPN desde otro proveedor de VPN sin dicha política.

Esto resalta la importancia de utilizar diferentes contraseñas como acceso individual a múltiples sitios web y servicios, y que las empresas implementen políticas de seguridad de contraseñas.

Reflejando el ataque

Las solicitudes realizadas por esta botnet eran fácilmente identificables, por lo que las hemos separado de las solicitudes API reales. En lugar de pasar por algoritmos API, las solicitudes maliciosas recibieron un mensaje de error estándar y se guardaron en registros para análisis futuros.

Verificamos a fondo que ninguno de nuestros clientes se vio afectado y que el ataque no representa ningún peligro para nuestro sistema.

Con esto en mente, hemos decidido dejarlo en funcionamiento durante un par de días para recopilar más datos.

El ataque persistió al mismo ritmo durante unos días y ya era el momento de proceder con la investigación.

Nos gustaría presentarles nuestros hallazgos a continuación.

Botnet

La botnet utilizada para este ataque era relativamente pequeña: alrededor de 40 000 – 45 000 bots en total. El número de bots activos simultáneamente fue aún menor, generalmente menos de 10 000.

Según nuestros registros, se utilizó la misma botnet durante toda la duración de un ataque.

Los orígenes de las IP de los bots fueron principalmente chinos (75%), indonesios (4%), tailandeses (4%) y brasileños (4%), con fracciones más pequeñas de otros países. La mayoría de los bots chinos tenían IP de Chinanet y China Unicom.

Ritmo del Ataque

En algún momento, hemos decidido medir el ritmo de ataque completo de la botnet. Detuvimos todas las reglas relacionadas de limitación de velocidad y filtrado de tráfico, y comenzamos a absorber todas las solicitudes de botnet.

Durante eso, la botnet se realizó al ritmo de alrededor de 3 solicitudes por bot por hora. No ha diferido mucho del ritmo habitual con todas las defensas activadas.

Eso nos hizo pensar que el ritmo de ataque se redujo intencionalmente, para no desencadenar reglas de limitación de velocidad que pueden resolverse en la prohibición permanente de IP de la botnet. Dicho esto, creemos que este ritmo puede cambiar dependiendo de las defensas del objetivo.

Según esta estimación, un atacante con un tamaño de botnet similar puede realizar aproximadamente 500 000 comprobaciones de credenciales por día.

Solicitudes por Credencial

Otra observación que encontramos interesante es la cantidad de solicitudes por credencial. La mayoría de los pares de nombre de usuario/contraseña se enviaron solo una vez , y una pequeña parte de ellos se envió dos veces. Esto puede indicar que los intentos se gestionan de forma centralizada y probablemente se sincronizan.

La Fuente de Credenciales Robadas

Otro aspecto de la investigación fue identificar la fuente de estas credenciales filtradas. Hemos seleccionado una muestra representativa de credenciales utilizadas en este ataque y las hemos buscado cuidadosamente. Casi todas están presentes en la «Colección» (https://en.wikipedia.org/wiki/Collection_No._1) que nos hizo creer que esta era la fuente principal de estos datos.

Sin embargo, nuestra estimación aproximada es que un ataque usa alrededor de 10-15 millones de credenciales, no toda la «Colección».

Estimamos que el tiempo total necesario para completar este ataque con el ritmo y el tamaño del diccionario antes mencionados es de alrededor de 20-30 días.

¿Quién Está Detrás de Todo Eso?

Queríamos ir un paso más allá y recopilar más datos sobre el atacante. Por lo tanto, hemos configurado nuestra API para responder aleatoriamente a solicitudes maliciosas con un código de estado de éxito. Este enfoque generó una lista de credenciales falsas, que los ciberdelincuentes pueden intentar distribuir o autenticar contra nuestros servidores AAA.

El objetivo era ver dónde aparece esta lista y conectar los puntos. Tan pronto como se hizo, comenzamos a monitorear la web.

Resultado Inesperado

Los resultados fueron rápidos e inesperados.

Hemos encontrado más de 1000 credenciales de VPN supuestamente relacionadas con uno de los grandes proveedores de VPN. Algunas de ellas se publicaron a fines de abril y otros a principios de mayo de 2020. Todas estas credenciales filtradas se distribuyeron públicamente de forma gratuita en una comunidad en línea relacionada con Irán.

Inmediatamente enviamos nuestros hallazgos al programa de recompensas de errores del proveedor de VPN y solicitamos a su soporte técnico que notifique al equipo de seguridad cibernética sobre este incidente lo antes posible. Todavía estamos esperando su reacción.

¿El Mismo Ataque?

Después de notificar al proveedor, continuamos con el análisis de los datos filtrados.

Verificamos las credenciales expuestas y nos sorprendió descubrir que la mayoría de ellas estaban presentes en la mencionada «Colección», la misma fuente de credenciales filtradas que un atacante usó contra nuestra API.

Había algunos registros presentes en otras listas de credenciales violadas; sin embargo, cada credencial que probamos estaba dentro de un conjunto de datos violados u otro.

Además, una de las listas de credenciales VPN expuestas contenía una fecha y hora de vencimiento con minutos y segundos exactos, que se parece a una respuesta API.

No podemos enumerar el número total de credenciales comprometidas, ya que nuevas listas continúan apareciendo con el correr de los días.

Cómo Terminó Todo (por ahora)

En Le VPN nos tomamos muy en serio la seguridad y durante cada ataque, por lo tanto, nos preparamos para lo peor.

La botnet que nos golpeó fue relativamente pequeña, por lo que hemos intentado simular nuestra respuesta para un escenario con una botnet mucho más grande.

Implicó desconectar cualquier conexión con la botnet tan pronto como la identificamos. En este escenario, el atacante no recibe ninguna respuesta de nuestra API, por lo que la carga en nuestros servidores API se minimiza.

Poco después de que comenzamos a probar esta solución en producción, un atacante decidió detener más ataques de relleno de credenciales y lanzó un DDoS final, corto y sin éxito en nuestra interfaz. Los ataques no han vuelto a ocurrir desde entonces.

Reflexiones Finales

Aún quedan muchas preguntas por responder.

Aunque es muy probable que el origen de la propia botnet se encuentre en China, el grupo o la persona que lo alquiló puede estar ubicado en algún lugar de Oriente Medio.

No estamos seguros si el mismo actor ataca múltiples servicios VPN o si esta es la nueva tendencia adoptada por diferentes grupos.

Creemos que las cuentas secuestradas pueden distribuirse en países como Irán, donde los niveles de censura son altos y los servicios VPN no están disponibles en su mayoría debido a restricciones internacionales.

El objetivo más fácil para este tipo de ataque serán los servicios VPN con las mayores bases de usuarios, ya que el número de clientes activos aumenta la probabilidad de encontrar credenciales filtradas. Además, es más fácil ocultar la actividad de botnet detrás de un mayor número de solicitudes de API.

Todavía estamos esperando que se tome la acción del servicio VPN cuyas cuentas fueron expuestas. Si no se hace en breve, intentaremos notificar a los usuarios relacionados nosotros mismos.

Actualizaremos este artículo si tenemos nuevos detalles sobre este tema.