Bombardier es una importante compañía canadiense de la industria aeroespacial y que anteriormente, tuvo un importante papel en el sector ferroviario. Como aeronáutica, es la compañía líder en fabricación de aviones ejecutivos y de transporte VIP. Si bien, en España quizá sea más conocida por su antigua división terrestre, que el pasado 29 de enero de este mismo año fue adquirida por la francesa Alstom: en este caso, ocurre que muchos de los actuales modelos de trenes de AVE, cercanías y metro de Madrid son obra suya.

Estos ejemplos muestran las capacidades de un grupo con más de 6.400 millones de dólares en ingresos y más de 36.000 empleados repartidos entre varios países, sin contar con sus relaciones con cientos de proveedores de materiales y de servicios. Por estos motivos, una organización de esta magnitud tiene las características para ser un objetivo muy claro para los ciberatacantes. Hace unas semanas, esto quedó demostrado cuando anunció que había sufrido una brecha de datos. Pero una vez más, los analistas de ciberseguridad han descubierto que se trata de otro ataque de cadena de suministro, en particular, a través de un programa de software cuyas brechas son ya conocidas.

Cuatro vulnerabilidades_

Los ciberatacantes aprovecharon varias vulnerabilidades Zero Day, que detectaron en el software de compartición de archivos en la nube Accellion, utilizado por los empleados de la compañía:

  • CVE 2021-27101, a través de una inyección SQL.
  • CVE 2021-27102 a través de una ejecución de comando de sistema operativo mediante una llamada local de servicio web.
  • CVE 2021-27103 mediante SSRF (Server Side Request Forgery).
  • CVE 2021-27104, mediante ejecución de comando de Sistema Operativo a través de una solicitud POST.

Ya habíamos abordado este software con anterioridad, dado que también sufrió una brecha a través de él la entidad reguladora de los mercados financieros australianos (ASIC), como describimos en el post sobre Concienciación, proactividad y monitorización para el sector financiero; aunque por entonces, parecía que estos ataques solo estaban localizado a entidades financieras y legales de Asia Oriental y el Pacífico.

En el caso de Bombardier, los ciberatacantes recopilaron mediante estas brechas los datos personales y confidenciales de 130 empleados de la compañía, que publicaron en un portal de la Dark Web operado por el grupo de ransomware CI0P, con el fin de usarlo como prueba de sus capacidades de cara a un chantaje en el que piden un rescate económico. De hecho, Bleeping Computer publicó una plantilla del mail que está utilizando para extorsionar a Bombardier, entre otras organizaciones.

Bombardier

En realidad, el Grupo Cl0P cuenta con un notable historial, ya que también fue el responsable de ciberataques como el robo de 2 millones de tarjetas de crédito de la compañía de retail surcoreana E-Land.

Actualizaciones frente a las vulnerabilidades y Zero Trust_

Las empresas como Bombardier deben contar una estrategia de ciberseguridad que contemple de manera proactiva la detección y solución de posibles vulnerabilidades en sus sistemas y en el software de terceros que tengan instalado, más aún cuando las vulnerabilidades Zero Day parecen estar repuntando. En este sentido, pueden contar con soluciones como Cytomic Patch, que proporciona asesoramiento sobre vulnerabilidades encontradas. Además, les permite gestionar y desplegar parches y actualizaciones disponibles para sus Sistemas Operativos y aplicaciones, en tiempo real y en todos los dispositivos de la organización. En casos como este, gracias a estos módulos de seguridad complementaria, empresas como Bombardier podrán reducir al mínimo la superficie de ataque para contenerlos eficazmente y remediar rápidamente sus efectos si se produce cualquier incidente. La integración de estas herramientas en un único agente ligero, permite una respuesta coordinada y automatizada desde una única consola.

Pero también hay que tener en cuenta que una organización de las características de Bombardier, trabaja con multitud de empresas externas y proveedores, cuya ciberseguridad no pueden supervisar de manera directa los SOC y el equipo IT de la compañía. Ese es el peligro que constituyen las amenazas a la cadena de suministro. Por eso, el único enfoque válido con el que pueden contar es partir de un enfoque Zero Trust: así tendrán nula confianza en cualquier aplicación de cualquier origen, por muy legítimo que resulte inicialmente, como les ha ocurrido a tantas organizaciones como Accellion. Al final, se trata de que todo elemento que provenga de esta cadena también sea sometido a análisis antes de poder ejecutarse en los sistemas de la organización. En este aspecto,  Zero-Trust Application Service es un elemento clave de la plataforma Cytomic y de soluciones completas para las operaciones de ciberseguridad, como las que conforman Cytomic Covalent, enfocadas en elevar al máximo exponente las capacidades preventivas en cualquier organización.