Técnicas de atribución en ciberguerra - 2

•    Análisis de metodologías de ataque.
•    Análisis de objetivos.
•    Análisis de diseminación.
•    Análisis de información externa contenida en el propio ataque.

Análisis de objetivos

Al igual que en la atribución de ataques convencionales. Una de las formas más lógicas de identificar el origen de un ataque consiste en identificar primero cual es el objetivo del mismo. Una vez tenemos identificado el objetivo, es sencillo acotar los posibles actores con más motivaciones para atacarlo.

Un ejemplo claro de esto lo tenemos en Stuxnet. Su objetivo eran las plantas de enriquecimiento de uranio de Irán. Esto nos permite acotar con bastante detalle cuales son las naciones que han sido más críticas con esta actividad y presuponer que ha sido una de ellas.

En el mundo digital además tenemos una herramienta adicional, la correlación de objetivos. Si tenemos un malware X que ha sido utilizado para atacar N objetivos, podemos analizar que tienen en común los mismos para intentar identificar un patrón común.

Para empezar calificamos las relaciones entre actores en 3 categorías:
- Enemigos.
- Aliados.
- Competidores.

Después analizamos que entornos han sido infectados con malware:
- Entornos infectados más de una vez: Malwares que compiten entre sí por el mismo equipo, puede significar que están operados por actores competidores.
- Entornos infectados una sola vez: Si los malwares no compiten por el equipo (una vez se ha producido una infección, el resto de ataques pasa por alto el equipo) podemos suponer que están operados por actores aliados.
- Entornos no infectados: Si los malwares respetan los equipos de una entidad determinada, podemos presuponer que es aliada.

En estos análisis hay que tener cuidado y realizar un filtrado del ruido que puedan producir infecciones accidentales, equipos descoordinados, falsos positivos, etc. Para ello será necesario complementar este análisis con otras evidencias.

Análisis de diseminación

Este análisis también viene heredado del análisis convencional. Si tenemos un caso de espionaje industrial donde han sido sustraídos ciertos diseños y a las pocas semanas aparece un producto de fabricación X con ese diseño, podemos presuponer que el ataque fue realizado por agentes de esa nacionalidad.

En forense digital el objeto de diseminación más utilizado son las contraseñas. Si en un ataque se compromete una contraseña X y posteriormente se observa el intento de uso de esa contraseña en otros sistemas, podemos presuponer que el atacante es el mismo.

Esto se debe a que los atacantes saben que es común la reutilización de contraseñas entre sistemas distintos por parte de los usuarios, de forma que tienden a probar las contraseñas encontradas en todos los sistemas que encuentran como forma rápida de obtener acceso.

Otros objetos que suelen utilizarse para análisis de diseminación son: vulnerabilidades, código fuente, direcciones IP, nombres de usuario, nombres de ficheros, nombres de bases de datos, etc.

Análisis de información externa contenida en el propio ataque

Por último para intentar acotar la autoría de un ataque en el mundo digital, podemos partir de la información del mundo real que contiene y realizar un análisis tradicional para averiguar de dónde o como la ha conseguido.

Volvamos al caso Stuxnet. Este malware contenía información secreta sobre la configuración de la maquinaria para enriquecimiento de uranio iraní.

Esta información solo podía haber sido obtenida mediante espionaje tradicional. Y solo un pequeño puñado de potencias tiene la capacidad de infiltrar agentes en Irán y obtener este tipo de inteligencia.

De esta forma podemos acotar la identidad del creador de un malware a partir de un análisis de información tradicional.

Conclusiones

Ninguno de estos análisis es concluyente por sí mismo. Es necesario por tanto combinar varios de ellos para obtener evidencias razonables e incluso así habrá casos donde no sea posible realizar una atribución precisa. Pero eso también nos pasa en el mundo real y no por ello hay que rebajar las exigencias de los analistas.

Es importante recordar también que estas técnicas son útiles principalmente para completar los análisis de forense tradicional, aunque no los he mencionado con detalle por estar ya ampliamente documentados en otros foros.