lunes, 22 de diciembre de 2014

Resumen Ciberdefensa 2014



Se acerca el fin del año, aprovechamos para realizar nuestro particular resumen centrado en los acontecimientos más relevantes en el mundo de la Ciberdefensa. Este año nos deja un importante aumento de actividad relacionada con el ámbito de la Ciberdefensa. Especialmente en cuanto a la proliferación de operaciones APT: ataques sofisticados de tipo estatal, con objetivos de espionaje empresarial, gubernamental y militar.

En el plano internacional si tuviéramos que resumir el 2014 en una sola frase esta seria “El año de Rusia”. Los ataques APT procedentes de este país se hicieron notorios con el descubrimiento de operaciones desconocidas hasta la fecha, así como la aparición de más información o variantes de alguno de los malware existentes. Entre otros Epic Turla, Snake, Sandworm, Havex y CosmicDuke. En octubre Mandiant publicaba el informe "APT28: A Window into Russia's Cyber Espionage Operations?" sobre la atribución de algunos de estas operaciones a un grupo estatal ruso. Con este informe Mandiant continua los pasos que ya diera el año anterior al exponer  APT1 , la Unidad  61398 del Ejercito Popular chino.


Este incremento de actividad ciber-ofensiva rusa queda enmarcada en los sucesos ocurridos durante el año en Ucrania: La anexión de la península de Crimea en una operación realizada por soldados no identificados pertenecientes a fuerzas especiales rusas. La posterior guerra civil en las provincias del este Ucraniano, entre los leales al gobierno y rebeldes pro-rusos. Así como un incremento de la actividad militar aérea y marítima rusa en todo el mundo sin precedentes desde la guerra fría.  En algún caso esta actividad militar llego a bordear la península ibérica.

Los APT de origen chino siguieron activos durante el año, haciéndose público por parte de la empresa Novetta Solutions la existencia del China Axiom Group , según el informe divulgado este grupo ha sido calificado como mucho mas capaz y sofisticado que sus compañeros del célebre APT1. Operation SMN: Axiom Threat Actor Group Report.

En noviembre se dio a conocer la existencia de Regin , una operación APT basada en malware altamente sofisticado. Entre sus características más destacables módulos para atacar la infraestructura interna de operadores GSM. Con casi total seguridad su origen estaría en una operación del GCHQ británico , posiblemente en colaboración con la NSA. Una atribución tan concreta se debe a que este malware fue utilizado en el compromiso de Belgacom, una de las operaciones filtrada por documentos de Snowden. Asi se recogia en Secret Malware in European Union Attack Linked to U.S. and British Intelligence.

En diciembre la empresa Cylance daba a conocer  Cleaver (Operation Cleaver Report) operación detrás de la que estaría Irán , esta campaña APT se une a otras reportadas durante el año procedentes de este país como Saffron Rose o  Newscaster.

La guerra civil Siria, continuo teniendo su contraparte en internet con acciones protagonizadas por el Syrian Electronic Army , el insólito grupo hacktivista leal al presidente Assad. Sus acciones como en años anteriores se centraron en la propaganda mediante el deface de páginas web y el secuestro de cuentas de twitter de importantes organizaciones. Así por ejemplo a principios de año la cuenta oficial de twitter y el blog de las fuerzas armadas israelíes fueron momentáneamente secuestradas.

Por otro lado el grupo terrorista Estado Islámico siguió haciendo un uso propagandístico de internet, difundiendo videos y otros materiales. Formando parte integral de su estrategia de reclutamiento de voluntarios extranjeros. Entre otros ejemplos podríamos reseñar la aparición de Dabiq magazine, una cuidada publicación en PDF en ingles contraparte mas sofisticada de casos similares anteriores que ya tratamos en nuestra entrada PSYOPS y la Jihad en Internet. No obstante a finales de año el Citizen Lab reportaba el uso de malware contra activistas sirios opuestos al Estado Islámico, lo que de confirmarse supondría un salto cualitativo respecto al empleo de internet por el grupo terrorista. Citizen Lab: Malware Attack Targeting Syrian ISIS critics.

En Agosto la compañía Gamma International se veía comprometida. Se trata de la creadora del software espía comercial FinFisher del que se conoce su utilización por algunos gobiernos. Se filtró por torrent un total de 40GB de información, incluyendo precios, catálogo de productos, información técnica, etc. Tambien se hicieron publicos los detalles de como realizo su intrusión, algo que trataron desde SbD: ¿Como hackearon a Gamma Internacional?.

No fue esa la primera en el año que una empresa privada de “ciberarmas” era puesta en el punto de mira de la opinión pública. Anteriormente en junio Citizen Lab había publicado un informe analizando en profundidad el malware comercial RCS de Hacking Team “Police Story: Hacking Team’s GovernmentSurveillance Malware”.


Terminaba noviembre cuando la empresa Sony se vio víctima de un ataque que supuso la divulgación de datos financieros y personales de trabajadores, películas sin estrenar, comunicaciones internas y otras filtraciones. Al mismo tiempo aparecieron variantes del malware Destover firmadas con certificados robados a Sony.  Como resultado la imagen pública e incluso la cotización en bolsa se vio seriamente afectada. Poco se sabe de GOP, Guardianes de la Paz, grupo que se responsabilizo de esta acción. Entre las teorías mas comentadas sostenida incluso por el FBI,  Corea del Norte estaría detrás de este ataque. El motivo el próximo estreno de una comedia protagonizada por Seth Rogen y James Franco, donde los protagonistas deben asesinar al líder de Corea del Norte, Kim Jon-Un. Finalmente Sony anuncio que retiraba la fecha de estreno prevista del film debido a las amenazas vertidas por el grupo GOP.        

Si la intrusión en Sony tuvo una especial relevancia mediática, otros ataques a empresas privadas pasaron mas desapercibidos aunque no por ello son hitos menos importantes en el ámbito de la Ciberdefensa. Así  en julio la atacada había sido la norteamericana USIS . Esta empresa privada era contratista para el gobierno norteamericano realizando las investigaciones de seguridad sobre el personal que solicita acreditaciones para el acceso a información clasificada. Se desconoce la identidad de los atacantes y la información sustraída. Pero es evidente el valor que puede tener para los servicios de inteligencia de un potencial enemigo un listado de personas que manejan información secreta.

No siempre es posible atribuir el origen de un ataque, en otros casos es incluso difícil determinar si el ataque se ha producido o la intencionalidad de un suceso. Como ejemplo durante el año Dyn Research público diversas instancias de errores de enrutado BGP que provocaron que el tráfico de internet tomara rutas no óptimas para llegar a su destino. Por ejemplo casos en que trafico local Ruso acabara siendo dirigido atravesando China. Dyn Research: Chinese Routing Errors Redirect Russian Traffic. ¿Errores puntuales por parte de operadores de telecomunicaciones? ¿Operaciones intencionadas de actores gubernamentales para el secuestro de tráfico de internet?

Un muestra de lo que ha avanzado la ciberguerra es que ya se empieza a tratar no como un tema de futuro, si no que ya empezamos a tener un pasado a nuestras espaldas. Así este año se publicaron dos libros que se centran esta historia reciente. Se trata de @War: The Rise of the Military-Internet Complex de Shane Harris , periodista habitual del Foreign Policy Magazine. Y por otro lado Countdown to Zero Day: Stuxnet and the Launchof the World's First Digital Weapon de Kim Zetter periodista freelance que ha trabajado en medios como Los Angeles Times, PC World o Wired.

Durante el año se descubrieron una serie de vulnerabilidades de alto impacto que dieron lugar al fenómeno de las vulnerabilidades con nombre propio, y supusieron la necesidad de actualización urgente de gran cantidad de sistemas. Entre otras: Heartbleed, ShellSock, Goto Fail, Android Universal XSS (UXSS), MS14-066 y MS14-068

Centrándonos en nuestro país, el descubrimiento de “Careto” en febrero suscito un gran revuelo. Se trataba de un malware con características APT claramente diseñado por un actor de tipo estatal. La presencia de la cadena de texto “careto” y que entre los objetivos estuvieran Marruecos, Gibraltar y algunos países sudamericanos levanto la sospecha de que pudiera tener un origen Español. Diversos medios en nuestro pais recogieron estas teorias, por ejemplo El diario ¿Puede estar España detrás del malware Careto/The Mask?

En agosto, Kaspersky daba a conocer otra operación APT de origen hispanoparlante, “El Machete”. Kaspersky Lab identifies a cyber-espionage campaign targeting Latin America.  En este caso sus objetivos eran importantes organizaciones y gobierno de Venezuela, Ecuador, Colombia, Perú, Cuba, España e incluso una embajada Rusa en uno de los países citados.

El año en España se ha saldado con un importante aumento de todo lo relacionado difusión del conocimiento en el ámbito la Ciberdefensa, realizándose gran cantidad de jornadas, cursos y otras actividades de concienciación. Desde Areopago21 colaboramos en un evento realizado en la Universidad de Murcia. Entre los participantes habituales en ese tipo de jornadas no ha faltado personal del MCCD, Mando Conjunto de Ciberdefensa de nuestras fuerzas armadas. Este mando celebraba en septiembre su primer aniversario desde la obtención de la IOC, Capacidad Inicial Operación.

En octubre el Instituto Nacional de las Tecnologías de la Comunicación (INTECO), paso a ser el Instituto Nacional de Ciberseguridad (INCIBE). Una denominación que se ajusta mejor a sus funciones en los últimos tiempos, dirigidas en exclusiva al área de la seguridad en internet. En el 2014 INCIBE llevo a cabo diversas actividades destacables como la realización de la primera edición del Curso avanzado de Ciberseguridad en Sistemas de Control Industrial o el evento CyberCamp 2014.


Conclusiones


En vista de lo ocurrido este año podemos observar diversas tendencias e intentar pronosticar lo que nos depara el próximo año:


Cada vez más naciones disponen y hacen uso de ataques del tipo APT. Incluso las más modestas que no disponen de una capacidad propia de desarrollo hacen uso de malware “nivel gubernamental” ofrecidos por empresas comerciales. Se podría decir que estamos viviendo una carrera ciber-armamentística en la que ningún país quiere quedarse atrás de los demás.


Puesto que cada vez es mas común que los ataques APT sean identificados y expuestos públicamente, es de supone que se realicen cambios para evitar su atribución. Por ejemplo un aumento de variantes de malware, técnicas agent-less. Así como la división de los grupos grandes en otros más pequeños, acciones de bandera falsa o desinformación para dificultar la atribución.


En el lado positivo observamos una mayor concienciación en la protección y especialmente en nuestro país el salto fue notable. La Ciberdefensa ya se considera un campo asentado, el planeamiento que se realiza empieza ha ser a nivel estratégico y a largo plazo.

No hay comentarios:

Publicar un comentario en la entrada