Guerra no tan asimétrica

Tradicionalmente, unos de las características que más les gusta destacar a algunos analistas sobre la ciberguerra es su carácter eminentemente asimétrico.

Una guerra asimétrica es aquella donde el tamaño, los recursos o la estrategia de los contendientes difieren notablemente

El aspecto que más se suele destacar de esta asimetría es la posibilidad de que un contendiente pequeño pero con una fuerza de hacking de élite pueda dañar de forma importante a un oponente mayor, a pesar de la diferencia de tamaños o recursos.

Inicialmente esto se ha dado por sentado y se han aportado múltiples ejemplos (caso HBGary, caso Target, caso Diginotar) para apoyar esta idea, pero a nosotros nos surgen varias dudas.

¿Realmente un oponente pequeño con pocos recursos e inversión puede llegar a tener capacidades suficientes como para dañar de forma notable a uno mayor?

En algunos casos puede ser así y tenemos ejemplos  que lo apoyan, pero puede que esta no sea la norma.

Si analizamos por ejemplo el catálogo de herramientas de inteligencia de la unidad TAO de la NSA salido a la luz recientemente, veremos hasta que punto pueden llegar las capacidades de una organización con abundantes recursos económicos invertidos en seguridad. Estas capacidades pueden llegar a hacer parecer ridículas las capacidades de organizaciones más pequeñas.

En caso de conflicto, una organización con estas capacidades podría “machacar” fácilmente a un oponente menor en la mayoría de frentes.

Como decíamos en el post anterior, muchas veces el tamaño si importa.

¿Realmente la inversión en ciber seguridad de las grandes organizaciones se corresponde a su tamaño?

Los ejemplos que se ponen para demostrar que la ciberguerra es asimétrica, suelen consistir en casos conocidos donde un pequeño grupo ha infligido un grave daño a una gran organización.

Pero, realmente estas grandes organizaciones estaban invirtiendo en seguridad de acorde a su tamaño.

No tenemos cifras detalladas para valorar esto, pero conociendo el sector es probable que en la mayoría de estos casos, estas grandes organizaciones realmente no estaban invirtiendo en seguridad de acorde a su tamaño, o no lo estaban haciendo de manera adecuada.

La asimetría pues no sería tanta. La mayoría de estos casos no serían por tanto realmente ejemplos de un enfrentamiento entre un “David” y un “Goliat”. En la mayoría de casos, el supuesto “David” estaría haciendo una gran inversión en tiempo y personal especializado (que también son costosos) en su enfrentamiento contra un “Goliat” en horas bajas y con más fachada que otra cosa.

El tamaño sí importa

Hace unos meses se dio a conocer que se había vendido un exploit 0-day para móviles basados en el iOS de Apple por $500.000 dólares. ¿El comprador? Una agencia gubernamental indeterminada.

Ese mismo precio pueden llegar a tener algunos exploits exclusivos para el Internet Explorer de Microsoft.

Si miramos los tipos de vulnerabilidades más cotizadas, veremos un curioso patrón. No son precisamente aquellas que afectan a bases de datos o a software financiero o corporativo, son las que afectan a software típico de usuario: móviles, navegadores, sistemas operativos de escritorio, herramientas ofimáticas, plugins de java o flash, lectores de pdf.

Esto nos da una pista sobre el tipo de ataques que les gusta utilizar a las organizaciones que tienen recursos económicos avanzados para sus actividades de ataque, los pesos pesados de las operaciones ofensivas.

En el otro lado tenemos las técnicas utilizadas por los grupos pequeños, como las empleadas para comprometer inicialmente a Target o a HBgary. Simples inyecciones de SQL llevadas a cabo de manera manual. 

Los “grandes” prefieren los ataques indirectos cuando se enfrentan a un oponente menor. Les gusta infectar PCs o móviles de usuario, utilizando técnicas de intrusión avanzadas y herramientas caras (una edición básica del Finfisher de Gamma o una del Davinci de Hackingteam suelen costar más de $100.000 dólares y dependiendo de las opciones adicionales pueden llegar a multiplicar esta cifra increíblemente).

Mientras tanto los “pequeños” cuando se enfrentan a un oponente mayor suelen utilizar ataques frontales clásicos, realizados con un enfoque artesanal.

Este patrón no es casual y se repite en la mayoría de casos conocidos que hemos podido analizar.

¿Para qué puede servirnos este patrón? Pues por ejemplo para realizar un perfil del atacante en casos de intrusión o para realizar análisis de atribución en el caso de incidentes conocidos.

También nos sirve para diseñar nuestra estrategia defensiva. Si tememos el ataque de un oponente mayor, debemos invertir más en proteger nuestros equipos de usuario. En cambio sí tememos el ataque de un oponente pequeño, debemos invertir más en proteger nuestro perímetro y nuestros servidores.

Por supuesto esto no es una regla fija, pero si un indicador interesante que puede complementar otros análisis.

Incorporando la ciberdefensa en los ejercicios militares.

Durante el pasado mes de mayo se desarrollo el ejercicio OTAN  “Unified Vision 2014”. Tuvo lugar en Noruega y se trataba de un ejercicio de interoperabilidad entre sistemas de inteligencia,  mando y control. En él se dieron cita diversas unidades de países OTAN integrando en un mismo entorno diversos medios de captación de inteligencia, desde aviones AWACS a sistemas biométricos, pasando por sistemas de guerra electrónica. Todos estos sistemas se han probado anteriormente de manera aislada, se trataba ahora de trabajar de forma conjunta en ambiente real. Comprobar la capacidad de intercambiar la información generada mediante sistemas de información compatibles.

Hasta aquí nada diferencia este ejercicio con otros experimentos de integración relacionados con el área C4ISR. , aunque existe una fuerte presencia de sistemas informáticos o áreas como la guerra electrónica, no es per se un ejercicio de Ciberdefensa.

Sin embargo en la nota pública del estado mayor en referencia a la participación de nuestras fuerzas armadas encontramos el siguiente apunte.

La participación de medios multinacionales, aéreos, navales y terrestres, permitirá valorar su empleo en la detección de objetivos camuflados en el terreno. Para ello se emplearan señuelos con los que distinguir la amenaza entre una blanco real y otro simulado. También se operará dentro de un área de perturbación electrónica. Finalmente se va a simular un ataque cibernético, en el que algunos nodos de la red hagan funciones de apoyo y otros se apaguen sin previo aviso. El objetivo es saber cómo se reconfigura una red de estas características y como se mantiene el perfil de la misión.

Es decir, pese a no tratarse de un ejercicio de ciberguerra incorporo escenarios propios de la misma. Se trata de un cambio importante respecto a la aproximación a los ejercicios militares, en general, y los ejercicios de Ciberdefensa, en particular, tal como se planteaban hasta ahora.

En su inicio hace ya mas de una década los ejercicios de Ciberdefensa se realizaban prácticamente sin interrelación con otros aspectos militares. Básicamente un ejercicio consistía en montar una red local, configurar una serie de servidores y dividir al personal en equipos: asignando a los contendientes roles de ataque y defensa sobre esos sistemas. En la mayoría de ocasiones se trataba de redes exclusivamente compuestas de sistemas informáticos civiles. Los mismos servidores web, bases de datos o aplicaciones de cliente que se pueden encontrar en cualquier empresa. La siguiente evolución consistió en incorporar a este tipo de ejercicios sistemas informáticos de mando, control y comunicaciones iguales a los usados en actividades militares. Ya que estos pueden presentar vulnerabilidades como cualquier otra pieza de software. Sirva de ejemplo el reciente informe de la empresa IOActive que localizo un gran número de vulnerabilidades y puertas traseras en terminales satélite de diverso tipo, incluidos los usados en aplicaciones militares.




Puesto que el compromiso de este tipo de redes y sistemas puede poner en peligro la ejecución de operaciones militares, cada día mas dependientes de las tecnologías de las información, se ha comenzado a incorporar en el entrenamiento estas contingencias. Como ya ocurrió anteriormente con la defensa NBQ o la protección de la fuerza “FORCE PROTECTION” la Ciberdefensa se convierte en una competencia transversal que debe tenerse en cuenta practicamente en todos los niveles y entornos.

Fuentes: EMAD, NATO, Flickr NATO.

Ataques Watering Hole

Watering Hole es una técnica de ataque que consiste en comprometer sitios web legítimos para instalar en ellos algún mecanismo de infección (por ejemplo un exploit para el navegador o un documento malicioso) e intentar infectar a los usuarios que visiten sus páginas.

El termino viene de la técnica de caza que utilizan algunos depredadores que esperan a sus presas cerca de los sitios donde acuden a beber (watering hole = abrevadero).

Algunos analistas utilizan también la denominación SWC (Strategic Web Compromise) para referirse a esta técnica de ataque.

Normalmente los ataques de Watering Hole son un primer componente de ataques dirigidos de mayor alcance. Se inician con el compromiso de sitios que tengan relación con la entidad a atacar. Por ejemplo si es una entidad financiera se comprometen portales de bolsa, si es una entidad militar se comprometen portales de temática militar o de fabricantes de armamento.

En 2013 tuvimos en España un caso bastante sonado. La web del fabricante español de equipos de comunicaciones militares Amper fue comprometida a mediados de Septiembre y utilizada para distribuir el malware PlugX (asociado al grupo Emissary Panda) mediante un documento Word malicioso.

Este tipo de ataques son bastante efectivos ya que:

• La seguridad del sitio infectado queda fuera del perímetro de seguridad de la entidad que es el objetivo final, de forma que las medidas de protección de la misma no lo cubren.
• Los sitios infectados normalmente tienen un nivel de seguridad inferior al que tendrían los de las organizaciones objetivo, siendo por tanto necesarias técnicas de ataque menos sofisticadas. Por ejemplo comprometer la web de una publicación o de un blog de temática militar se supone más fácil que hacerlo directamente en una red de defensa.
• Facilita la realización de ataques dirigidos ya que pueden elegirse los sitios a infectar en base al perfil de sus usuarios.
• Pillan a los usuarios con la guardia baja ya que son sitios que visitan habitualmente y en los que suelen confiar.

Protegerse de este tipo de ataques es complejo. Es necesario que los usuarios tengan sus equipos actualizados y protegidos, que estén concienciados contra este tipo de riesgos y que se realice una monitorización activa de los sitios que suelen visitar nuestros usuarios.

Operaciones APT famosas

Tenemos en la prensa especializada noticias sobre ataques APT casi a diario y el término se está empezando a utilizar de manera demasiado alegre. El otro día llegue a leer incluso a alguien que decía que el malware bancario Zeus era un APT.

El término APT se suele asociar erróneamente al uso de malware dirigido, pero es algo más. APT es el grupo de gente que esta detrás del ataque, no la operación y mucho menos el malware.

El malware es como “una bomba”. Es lo que “mata”, pero para lanzar una bomba hace falta un avión, hacen falta pilotos, hacen falta ingenieros que diseñen la bomba, gente de inteligencia y medios de reconocimiento que digan donde hay que dejar caer la bomba.

Además no cualquier grupo de “ciber-agresores” entra dentro del término APT si no cumplen las condiciones básicas del término:

• Avanzado: En el sentido de que los atacantes tienen recursos técnicos, económicos y de inteligencia amplios. Son grupos poderosos o naciones.

• Persistente: Es decir los ataques no son únicos y se suelen mantener a largo plazo.

• Amenaza: Al estar realizados de forma organizada (Las herramientas de seguridad tradicionales están diseñadas para evitar ataques puntuales y por lo tanto son previsibles y fáciles de evadir si se realizan los ataques de manera planificada).

Por si no queda del todo claro. He recopilado una lista de las operaciones APT más famosas de los últimos años como material de estudio. Si echáis alguna en falta, estoy a vuestra disposición.

No veréis en esta lista troyanos masivos de ciberdelincuencia tipo Zeus, Shylock, Coreflood, Mariposa y tantos otros.

Ordenados según el año en el que salieron a la luz pública:

1999

Moonlight Maze - http://en.wikipedia.org/wiki/Moonlight_Maze

2005

Titan Rain - http://en.wikipedia.org/wiki/Titan_Rain

2008

Buckshot Yankee - http://en.wikipedia.org/wiki/2008_cyberattack_on_United_States

2009

Byzantine Hades / Gh0stNet - http://en.wikipedia.org/wiki/GhostNet

2010

Stuxnet - http://en.wikipedia.org/wiki/Stuxnet

Aurora / Hydraq - http://en.wikipedia.org/wiki/Operation_Aurora

2011

Night Dragon - http://www.mcafee.com/us/about/night-dragon.aspx

Duqu - http://en.wikipedia.org/wiki/Duqu

Shady RAT - http://en.wikipedia.org/wiki/Operation_Shady_RAT

Sykipot - http://www.alienvault.com/open-threat-exchange/blog/new-sykipot-developments

RSA SecurID Breach - http://www.zdnet.com/nation-state-behind-rsas-securid-breach-2062302463/

Black Tulip / Diginotar Hacking - http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html 

Nitro Attacks - http://www.symantec.com/connect/blogs/nitro-attackers-have-some-gall

2012

Flame - http://en.wikipedia.org/wiki/Flame_(malware)

Mahdi - http://en.wikipedia.org/wiki/Mahdi_(malware)

Red October - http://en.wikipedia.org/wiki/Red_October_(malware)

2013

Icefog - http://www.securelist.com/en/analysis/204792307/The_Icefog_APT_Frequently_Asked_Questions

Bit9 Break-in - http://petehoang.blogspot.com.es/2013/02/bit9s-apt-hacker-break-in.html

DeputyDog - http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

NetTraveler - https://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims

2014

Careto / Mask - http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

Snake - http://www.baesystems.com/what-we-do-rai/the-snake-campaign

Gran parte del texto del articulo ha sido aportado por Miguel Angel Hernandez.