Técnicas de atribución en ciberguerra - 2

•    Análisis de metodologías de ataque.
•    Análisis de objetivos.
•    Análisis de diseminación.
•    Análisis de información externa contenida en el propio ataque.

Análisis de objetivos

Al igual que en la atribución de ataques convencionales. Una de las formas más lógicas de identificar el origen de un ataque consiste en identificar primero cual es el objetivo del mismo. Una vez tenemos identificado el objetivo, es sencillo acotar los posibles actores con más motivaciones para atacarlo.

Un ejemplo claro de esto lo tenemos en Stuxnet. Su objetivo eran las plantas de enriquecimiento de uranio de Irán. Esto nos permite acotar con bastante detalle cuales son las naciones que han sido más críticas con esta actividad y presuponer que ha sido una de ellas.

En el mundo digital además tenemos una herramienta adicional, la correlación de objetivos. Si tenemos un malware X que ha sido utilizado para atacar N objetivos, podemos analizar que tienen en común los mismos para intentar identificar un patrón común.

Para empezar calificamos las relaciones entre actores en 3 categorías:
- Enemigos.
- Aliados.
- Competidores.

Después analizamos que entornos han sido infectados con malware:
- Entornos infectados más de una vez: Malwares que compiten entre sí por el mismo equipo, puede significar que están operados por actores competidores.
- Entornos infectados una sola vez: Si los malwares no compiten por el equipo (una vez se ha producido una infección, el resto de ataques pasa por alto el equipo) podemos suponer que están operados por actores aliados.
- Entornos no infectados: Si los malwares respetan los equipos de una entidad determinada, podemos presuponer que es aliada.

En estos análisis hay que tener cuidado y realizar un filtrado del ruido que puedan producir infecciones accidentales, equipos descoordinados, falsos positivos, etc. Para ello será necesario complementar este análisis con otras evidencias.

Análisis de diseminación

Este análisis también viene heredado del análisis convencional. Si tenemos un caso de espionaje industrial donde han sido sustraídos ciertos diseños y a las pocas semanas aparece un producto de fabricación X con ese diseño, podemos presuponer que el ataque fue realizado por agentes de esa nacionalidad.

En forense digital el objeto de diseminación más utilizado son las contraseñas. Si en un ataque se compromete una contraseña X y posteriormente se observa el intento de uso de esa contraseña en otros sistemas, podemos presuponer que el atacante es el mismo.

Esto se debe a que los atacantes saben que es común la reutilización de contraseñas entre sistemas distintos por parte de los usuarios, de forma que tienden a probar las contraseñas encontradas en todos los sistemas que encuentran como forma rápida de obtener acceso.

Otros objetos que suelen utilizarse para análisis de diseminación son: vulnerabilidades, código fuente, direcciones IP, nombres de usuario, nombres de ficheros, nombres de bases de datos, etc.

Análisis de información externa contenida en el propio ataque

Por último para intentar acotar la autoría de un ataque en el mundo digital, podemos partir de la información del mundo real que contiene y realizar un análisis tradicional para averiguar de dónde o como la ha conseguido.

Volvamos al caso Stuxnet. Este malware contenía información secreta sobre la configuración de la maquinaria para enriquecimiento de uranio iraní.

Esta información solo podía haber sido obtenida mediante espionaje tradicional. Y solo un pequeño puñado de potencias tiene la capacidad de infiltrar agentes en Irán y obtener este tipo de inteligencia.

De esta forma podemos acotar la identidad del creador de un malware a partir de un análisis de información tradicional.

Conclusiones

Ninguno de estos análisis es concluyente por sí mismo. Es necesario por tanto combinar varios de ellos para obtener evidencias razonables e incluso así habrá casos donde no sea posible realizar una atribución precisa. Pero eso también nos pasa en el mundo real y no por ello hay que rebajar las exigencias de los analistas.

Es importante recordar también que estas técnicas son útiles principalmente para completar los análisis de forense tradicional, aunque no los he mencionado con detalle por estar ya ampliamente documentados en otros foros.

Stuxnet, la dimensión geopolítica.

Casi siete meses después de su descubrimiento Stuxnet continua dando de qué hablar, pocos días atrás Symantec presentaba una versión actualizada de su análisis de este malware, mientras que en enero de este año el New York Times publica una información que vendría a confirmar que Israel habría sido el responsable de su creación. Sin embargo hasta el momento la mayoría de análisis sobre Stuxnet se han basado principalmente en sus características técnicas y poco sobre sus implicaciones políticas y estratégicas.

Por si acaso el lector ha pasado el último medio año aislado en una cueva de Waziristan, Pakistan, y no sabe de qué estamos hablando vamos a hacer un pequeño repaso a la historia de Stuxnet.

Stuxnet es un gusano informático que afecta a equipos Windows, fue inicialmente descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Al principio no se le dio mucha importancia, pero conforme los investigadores de las casas de antivirus fueron estudiando sus características se dieron cuenta que se enfrentaban al malware más sofisticado nunca visto. Stuxnet se propaga usando dispositivos USB y vulnerabilidades de red hasta aquí todo normal, sin embargo para lograr sus propósitos usa hasta cuatro vulnerabilidades tipo 0-day, desconocidas previamente, un malware que use solo una ya de por si es destacable. Además para ocultarse ejecuta un rootkit a nivel de kernel firmado con certificados robados a los fabricantes de hardware JMicron y Realtek, lo que implica que previamente tuvo que realizarse un sofisticado ataque a estas empresas para sustraer dicho material criptográfico.

Lo más sorprendente vino después cuando se comprobó que Stuxnet atacaba software de control industrial Siemens WinCC, e inyecta código malicioso en un PLC , y además en una combinación exacta de dispositivos PLC y configuración que coincide con la que usarían las centrifugadoras empleadas por Iran en el enriquecimiento de uranio. Sobre dichos dispositivos realizaba cambios alterando la frecuencia de funcionamiento con el objetivo de causar daños a las citadas centrifugadoras. Entonces todas las miradas apuntaron a Israel como posible autor de la primera ciber-arma, una diseñada para atacar el programa atómico iraní.

Ahora bien para entender correctamente el cambio que supone stuxnet en cuanto al futuro de operaciones militares tenemos que asimilar las diferencias, ventajas y desventajas frente a operaciones militares que tuvieran el mismo objetivo. Para ello asumiremos la opinión más extendida respecto a stuxnet y a su origen israelí.

Iran actualmente mantiene un programa de energía atómica que afirma tiene fines únicamente civiles pero que dentro de la comunidad internacional es visto con recelo. Llama la atención que un país con abundantes reservas de petróleo necesite contar con energía atómica, y además que se empeñe en obtener una independencia completa fabricando ellos mismos el combustible nuclear.

Para obtener este combustible es necesario separar el Uranio 235 el isotopo fisible, del mucho más abundante Uranio 238, para esta tarea se pueden usar entre otros sistemas el uso del centrifugado Zippe. El hecho de que la única diferencia entre el uranio de uso civil , y el de nivel de armamento sea el grado de enriquecimiento, junto con el secretismo y la obstaculización de las tareas de control de la OIEA es lo que despierta las mayores sospechas.

Israel , un país con armas nucleares, históricamente se ha posicionado en contra de la proliferación de este tipo de armamento entre el resto de países de la región, considerando que amenaza su propia existencia como país. Por ello ha hecho todo lo que ha estado en su mano para impedir este desarrollo.

Así el día 7 de junio de 1981, Israel lanzo la Operación Opera, un ataque aéreo preventivo por sorpresa contra un reactor nuclear en construcción situado a 17 kilómetros al sureste de Bagdad, capital de Irak. Un grupo de F-16 escoltados por F-15 que recorrieron 1.110 km en su viaje de ida consiguieron dañar seriamente Osirak, el reactor de tecnología francesa que estaba próximo a ser completado. Aunque la operación fue un éxito militar, sin sufrir ninguna baja por parte israelí, fue duramente criticado y las Naciones Unidas aprobaron la Resolución 487 que condenaba enérgicamente el ataque, alegando que era una clara violación de la Carta de las Naciones Unidas y de las normas de conducta internacional, e instó a Israel a abstenerse de tales ataques en el futuro.

El 6 de septiembre de 2007 la Operación Opera tuvo su reedición en forma de la Operación Orchad, de nuevo un ataque aéreo por sorpresa destruía una instalación nuclear, en este caso en el interior de Siria. Una vez más fue un éxito militar absoluto, penetrando y saliendo del espacio aéreo Sirio con total impunidad.

Estas operaciones se unen a otros ataques aéreos de larga distancia realizados por la fuerza aérea israelí, como el bombardeo de la sede de la OLP en Túnez en 1985 (que produjo de nuevo una resolución de condena de la ONU) o los ataques en Sudan en 2009.

A la vista de este historial, y teniendo en cuenta que la fuerza aérea actualmente dispone de modernos medios como los caza-bombarderos F-16I , F-15I y la imprescindible capacidad de re-abastecimiento aéreo Israel está sin duda en capacidad de lanzar un ataque similar contra las instalaciones iraníes de Natanz, Busher, etc. Ahora bien existen varios inconvenientes que podrían afectar a una operación de este tipo.

La ruta de vuelo hasta Iran es mucho más larga que en cualquier operación anterior, y supondría el sobrevuelo de naciones neutrales. Estos sobrevuelos podrían traer importantes tiranteces diplomáticas con dichos países. Si estos países autorizan el paso de los aviones quedarían ante la opinión internacional y especialmente del mundo árabe como aliados de la agresión de Israel. Mientras que si el sobrevuelo no es autorizado supondría quejas se estos países en el mejor de los casos, en el peor sus fuerzas militares podrían interferir la operación o alertar a Iran del ataque inminente.

Irán obviamente ha aprendido de la experiencias de Iraq y Siria, sus instalaciones de enriquecimiento se encuentran bajo tierra, lo que es una dificultad para la operación ya que la fuerza aerea israelí debería usar bombas tipo bunker-buster y lanzarlas con total precisión. Iran además ha intentado adquirir en el mercado de armas internacional sistemas avanzados de misiles antiaéreos o de construir ubicaciones alternativas de enriquecimiento.

Incluso si la operación tuviera éxito militarmente existen escenarios en los que políticamente podría tener un efecto demoledor sobre la opinión pública israelí. Por ejemplo simplemente con que uno de los aviones atacantes fuera derribado o sufriera problemas técnicos y su piloto fuera capturado por los Iraníes, lo usarían como elemento propagandístico, en forma similar a los casos ocurridos en la guerra fría con pilotos derribados. Israel tampoco debería descartar un ataque de represalia, que podría venir de Hezbollah, el grupo libanes aliado de Irán y que cuenta con una abundante cantidad de cohetes y misiles de corto y medio alcance capaces de llegar a Israel.

En resumen, la operación parece por tanto factible militarmente y ofrecería grandes beneficios en términos de retrasar el desarrollo por parte de Irán de armas nucleares. Pero este beneficio puede ser que no valga la pena considerando el riesgo operativo y especialmente el coste politico.

Si atendemos en entonces a las noticias de que Stuxnet habría provocado daños en las centrifugadoras, como los propios iraníes han reconocido, es cuando comprendemos la verdadera dimensión de una ciber-arma. Esta puede utilizarse sin arriesgar a personal propio, utilizarse de una forma limpia y sin daños colaterales importantes, y en definitiva una relación riesgo/beneficio que supera cualquier operación militar clásica. (Entre los pocos que han desarrollado esta dimensión de la ciberguerra esta Ruben Santamarta en su brillante intervención en el 3rd Security Blogger Summit 2011)

Según el estudio de Symantec la creación de Stuxnet habría llevado seis meses para un equipo de unas cinco personas. Estamos hablando por tanto de unos costes bastante contenidos para los medios disponibles por un estado, y muy posiblemente únicamente el gasto de combustible para los aviones en el caso de un ataque ya supera con creces el dispendio realizado en el desarrollo de Stuxnet.

Otra ventaja de una ciber-arma es que puede alcanzar objetivos que son invulnerables por otros medios. Supongamos por ejemplo que Iran contara con instalaciones secretas que fueran replicas de la planta de Natanz y que no hubieran sido detectadas por la inteligencia Israeli, se trata de un escenario improbable pero no imposible. Pues incluso en ese caso Stuxnet con total posibilidad hubiera conseguido llegar a las mismas y afectarlas.

Por último el uso de las ciber-armas no limita el empleo simultáneo de tácticas mas convencionales, es de suponer que Israel no ha puesto todas sus opciones en Stuxnet, como demostrarían los diversos atentados con bomba en los que han muerto destacadas personalidades del programa nuclear Irani.

La conclusión por tanto es que en un futuro posiblemente asistamos al empleo de ciberarmas como alternativa a las operaciones militares clásicas, ya que políticamente y operativamente apenas implican riesgos, mientras que los efectos incluso siendo inferiores a los de una operación militar convencional se pueden lograr a unos costos relativamente reducidos.

Bibliografia recomendada

Osirak Redux? Assessing Israeli Capabilities to Destroy Iranian Nuclear Facilities

Symantec W32.Stuxnet Dossier Febrero 2011

Y especialmente importante en cuanto demuestra que nuestras fuerzas armadas no han pasado por alto la importancia de Stuxnet, tenemos este articulo del Coronel Ingenieros D. Gonzalo Pestaña.

Memorial de Ingenieros 85