miércoles, 23 de diciembre de 2015

Resumen CiberDefensa 2015


El año está a punto de terminar y es momento de recordar los acontecimientos que marcaron el 2015 en el ámbito de las Ciberdefensa. Una vez más comparamos el año presente con el pasado y constatamos la proliferación del número de incidentes, vulnerabilidades descubiertas, nuevas técnicas de ataque y campañas APT, tantos que hacen cualquier posible resumen incompleto.

Si tuviéramos que reseñar alguna corriente en este 2015 fue la gran actividad relacionada con campañas del tipo APT con origen o objetivo en Oriente Medio. Múltiples actores han sido alternativamente la fuente o destino de sofisticados ataques con fines de inteligencia en la zona, desde Iran a Israel, pasando por supuesto por la convulsa Siria y su vecino Líbano. Entre otros durante el año se desarrollaron o se dieron a conocer las actividades de Arid Viper, Desert Falcons , Rocket Kitten 2 , Threat Group-2889,  Duqu 2.0, Volatile Cedar, Cadelle y Chafer


Como no podía ser de otra forma el estado islámico también estuvo relacionado con diversos eventos en el mundo ciber. Así en Abril casi previendo los ataques terroristas convencionales que se ocasionarían meses mas tarde se produjo el hack de la cadena de televisión francesa TV5Monde, este supuso la toma de control de sus cuentas en redes sociales por parte del autodenominado cybercalifato y la suspensión temporal de emisiones. Por otro lado la muerte en agosto de Yunaid Hussain, conocido como Abu Hussain Al Britani comandante de la 'División de hacking del Estado Islámico', marco la primera vez que un hacker se convierte en el objetivo de un bombardeo selectivo.

La zona asia-pacifico también fue un escenario caliente de APT descubiertos durante el año como fueron Lotus Blosson o Ocean Lotus, la continuidad de Dark Hotel o el señalamiento a la unidad del ejército popular chino 78020 como el grupo detrás de Naikon.

Por su parte FireEye, empresa que siempre ha causado expectación por sus informes sobre APT, hizo públicos los informes sobre los denominados APT30 , otro APT basado en la zona asiatica y uno de los mas longevos con una década de actividad. Así como APT29, de origen aparentemente ruso también conocido como HAMMERTOSS. Segun FireEye este último usaría malware utilizando esteganografia como C&C sobre redes sociales como Twitter y GitHub. El grupo estaría relacionado al cierre en agosto de 2015 del sistema de correo electrónico no clasificado del pentágono como respuesta a un incidente.

No fueron los únicos APT de origen supuestamente Ruso también dieron de que hablar: en septiembre se hizo público por parte de Kaspersky que el APT Turla había implementado un sofisticado canal de comunicación totalmente anónimo basado en el empleo de proveedores por internet via satélite. Da la casualidad de que el primero en teorizar y demostrar este canal encubierto fue nuestro compañero de blog Leonardo Nve hace ya unos años en una serie de charlas por todo el mundo incluyendo la célebre Black Hat.

El año empezó y se cerró con el conocimiento de ataques altamente sofisticados que tendrían como origen a la Agencia de Seguridad Nacional norteamericana. En Febrero el revuelo lo marcaba Kerspesky con su informe sobre el Equation Group. Mientras que en los últimos días de diciembre causo revuelo el comunicado de Juniper de la existencia de backdoors criptográficos en sus productos de VPN, que guardan un sorprendente parecido con los implantes FEEDTROUGHT revelados previamente por Snowden.

En una noticia que paso relativamente desapercibida la NSA anuncio los  algoritmos de cifrado recomendados dentro de la Suite B que incluye algoritmos como AES o ECDSA como sustitutos de los anteriores Suite A. Pero lo extraño llego en agosto con la enmienda publica de la agencia para fabricantes que no dedicaran excesivos esfuerzos a la migración a la Suite B, en previsión de una futura Suite de cifrados diseñados para resistir ataques de computación cuántica. Lo que nos deja entrever que la NSA empieza a considerar factible los ataques criptográficos derivados de esta futura revolución informática.

Estados Unidos fue por su parte víctima de sonados casos de ciber ataques, como el robo de información de OPM , la oficina que gestiona las acreditaciones de seguridad del gobierno norteamericano y por tanto maneja dosieres de todos los empleados gubernamentales incluyendo los de servicios de inteligencia.

Fue precisamente en 2015 cuando EEUU plasmo por primera vez su posición en cuanto al uso militar del ciberespacio, en el documento ciber estrategia del departamento de defensa.

El febrero la CIA dio a conocer la existencia del DDI (Digital Innovation Directorate), lo que supone que la agencia de inteligencia asigna un nivel departamental de directorio al mundo Ciber, poniéndolo al nivel del Directorio de Análisis o del Directorio de Operaciones. Y sin embargo al mismo tiempo la CIA fue objeto de un insólito ataque, como fue el acceso a la cuenta personal de correo  del Director de la CIA John Brennan a manos de un adolescente y su posterior publicación en Wikileaks.

El debate sobre el futuro candidato a la presidencia demócrata se vio salpicado por un escándalo de origen informático. Hillary Clinton fue fuertemente criticada al descubrirse que durante 2012 cuando era Secretaria de Estado utilizo un dominio y servidor de correo personal en lugar del oficial del departamento. Entre otros riesgos información clasificada circulo por redes no clasificadas y estuvo expuesta a posibles ataques de hackers de todo el mundo.

En Julio el hack a la empresa Hacking Team puso al descubierto a diversos organismos de inteligencia y cuerpos de seguridad por todo el mundo, clientes de sus productos de espionaje digital. Un buen recordatorio de la importancia de la independencia nacional en las herramientas de ataque y defensa.

Nuestro país tampoco ha estado ajeno a la actividad, el desarrollo de las habilidades de Ciberdefensa continua a buen ritmo a todos los niveles, desde la realización de eventos con patrocinio estatal como Cybercamp o las Jornadas STIC del CCN-CERT, al desarrollo de capacidades puramente militares, como la puesta en marcha en octubre del Centro de Operaciones de Seguridad de Ciberdefensa del Ejército del Aire.

Sin duda nos quedarían en el tintero múltiples incidentes, pero por no sobrecargar al lector iremos cerrando esta entrada que al menos ha reflejado las principales tendencias del año. Para el próximo 2016 no queda si no suponer otro salto cuantitativo en todo lo ciber de la mano de la carrera por el desarrollo de ciber capacidades de todo tipo de grupos y países, amenaza del terrorismo yihadista, así como la gran cantidad de conflictos internacionales no resueltos.