En el plano internacional si tuviéramos que resumir el 2014
en una sola frase esta seria “El año de Rusia”. Los ataques APT procedentes de
este país se hicieron notorios con el descubrimiento de operaciones
desconocidas hasta la fecha, así como la aparición de más información o
variantes de alguno de los malware existentes. Entre otros Epic Turla, Snake,
Sandworm, Havex y CosmicDuke. En octubre Mandiant publicaba el informe "APT28: A Window into Russia's Cyber Espionage Operations?" sobre la atribución de algunos
de estas operaciones a un grupo estatal ruso. Con este informe Mandiant continua
los pasos que ya diera el año anterior al exponer APT1 , la Unidad 61398 del Ejercito Popular chino.
Este incremento de actividad ciber-ofensiva rusa queda enmarcada
en los sucesos ocurridos durante el año en Ucrania: La anexión de la península
de Crimea en una operación realizada por soldados no identificados
pertenecientes a fuerzas especiales rusas. La posterior guerra civil en las
provincias del este Ucraniano, entre los leales al gobierno y rebeldes
pro-rusos. Así como un incremento de la actividad militar aérea y marítima rusa
en todo el mundo sin precedentes desde la guerra fría. En algún caso esta actividad militar llego a bordear la península ibérica.
Los APT de origen chino siguieron activos durante el año,
haciéndose público por parte de la empresa Novetta Solutions la existencia del China
Axiom Group , según el informe divulgado este grupo ha sido calificado como
mucho mas capaz y sofisticado que sus compañeros del célebre APT1. Operation SMN: Axiom Threat Actor Group Report.
En noviembre se dio a conocer la existencia de Regin , una
operación APT basada en malware altamente sofisticado. Entre sus
características más destacables módulos para atacar la infraestructura interna
de operadores GSM. Con casi total seguridad su origen estaría en una operación
del GCHQ británico , posiblemente en colaboración con la NSA. Una atribución
tan concreta se debe a que este malware fue utilizado en el compromiso de
Belgacom, una de las operaciones filtrada por documentos de Snowden. Asi se recogia en Secret Malware in European Union Attack Linked to U.S. and British Intelligence.
En diciembre la empresa Cylance daba a conocer Cleaver (Operation Cleaver Report) operación detrás de la que estaría
Irán , esta campaña APT se une a otras reportadas durante el año procedentes de
este país como Saffron Rose o Newscaster.
La guerra civil Siria, continuo teniendo su contraparte en
internet con acciones protagonizadas por el Syrian Electronic Army , el
insólito grupo hacktivista leal al presidente Assad. Sus acciones como en años
anteriores se centraron en la propaganda mediante el deface de páginas web y el
secuestro de cuentas de twitter de importantes organizaciones. Así por ejemplo
a principios de año la cuenta oficial de twitter y el blog de las fuerzas
armadas israelíes fueron momentáneamente secuestradas.
Por otro lado el grupo terrorista Estado Islámico siguió haciendo
un uso propagandístico de internet, difundiendo videos y otros materiales. Formando parte
integral de su estrategia de reclutamiento de voluntarios extranjeros. Entre otros
ejemplos podríamos reseñar la aparición de Dabiq magazine, una cuidada
publicación en PDF en ingles contraparte mas sofisticada de casos similares
anteriores que ya tratamos en nuestra entrada PSYOPS y la Jihad en Internet. No obstante a finales de año
el Citizen Lab reportaba el uso de malware contra activistas sirios opuestos al
Estado Islámico, lo que de confirmarse supondría un salto cualitativo respecto
al empleo de internet por el grupo terrorista. Citizen Lab: Malware Attack Targeting Syrian ISIS critics.
En Agosto la compañía Gamma International se veía comprometida.
Se trata de la creadora del software espía comercial FinFisher del que se
conoce su utilización por algunos gobiernos. Se filtró por torrent un total de
40GB de información, incluyendo precios, catálogo de productos, información
técnica, etc. Tambien se hicieron publicos los detalles de como realizo su intrusión, algo que trataron desde SbD: ¿Como hackearon a Gamma Internacional?.
No fue esa la primera en el año que una empresa privada de
“ciberarmas” era puesta en el punto de mira de la opinión pública.
Anteriormente en junio Citizen Lab había publicado un informe analizando en profundidad
el malware comercial RCS de Hacking Team “Police Story: Hacking Team’s GovernmentSurveillance Malware”.
Terminaba noviembre cuando la empresa Sony se vio víctima de
un ataque que supuso la divulgación de datos financieros y personales de trabajadores, películas sin
estrenar, comunicaciones internas y otras filtraciones. Al mismo tiempo aparecieron
variantes del malware Destover firmadas con certificados robados a Sony. Como resultado la imagen pública e incluso la
cotización en bolsa se vio seriamente afectada. Poco se sabe de GOP, Guardianes
de la Paz, grupo que se responsabilizo de esta acción. Entre las teorías mas
comentadas sostenida incluso por el FBI, Corea del Norte estaría detrás de este ataque.
El motivo el próximo estreno de una comedia protagonizada por Seth Rogen y
James Franco, donde los protagonistas deben asesinar al líder de Corea del
Norte, Kim Jon-Un. Finalmente Sony anuncio que retiraba la fecha de estreno
prevista del film debido a las amenazas vertidas por el grupo GOP.
Si la intrusión en Sony tuvo una especial relevancia mediática, otros
ataques a empresas privadas pasaron mas desapercibidos aunque no por ello son
hitos menos importantes en el ámbito de la Ciberdefensa. Así en julio la atacada había sido la norteamericana USIS . Esta empresa privada era contratista para el gobierno norteamericano
realizando las investigaciones de seguridad sobre el personal que solicita
acreditaciones para el acceso a información clasificada. Se desconoce la
identidad de los atacantes y la información sustraída. Pero es evidente el
valor que puede tener para los servicios de inteligencia de un potencial
enemigo un listado de personas que manejan información secreta.
No siempre es posible atribuir el origen de un ataque,
en otros casos es incluso difícil determinar si el ataque se ha producido o la
intencionalidad de un suceso. Como ejemplo durante el año Dyn Research público
diversas instancias de errores de enrutado BGP que provocaron que el tráfico de
internet tomara rutas no óptimas para llegar a su destino. Por ejemplo casos en
que trafico local Ruso acabara siendo dirigido atravesando China. Dyn Research: Chinese Routing Errors Redirect Russian Traffic. ¿Errores
puntuales por parte de operadores de telecomunicaciones? ¿Operaciones
intencionadas de actores gubernamentales para el secuestro de tráfico de
internet?
Un muestra de lo que ha avanzado la ciberguerra es que ya se
empieza a tratar no como un tema de futuro, si no que ya empezamos a tener un
pasado a nuestras espaldas. Así este año se publicaron dos libros que se
centran esta historia reciente. Se trata de @War: The Rise of the Military-Internet Complex de Shane Harris , periodista habitual del Foreign
Policy Magazine. Y por otro lado Countdown to Zero Day: Stuxnet and the Launchof the World's First Digital Weapon de Kim Zetter periodista freelance que ha
trabajado en medios como Los Angeles Times, PC World o Wired.
Durante el año se descubrieron una serie de vulnerabilidades
de alto impacto que dieron lugar al fenómeno de las vulnerabilidades con nombre
propio, y supusieron la necesidad de actualización urgente de gran cantidad de
sistemas. Entre otras: Heartbleed, ShellSock, Goto Fail, Android Universal XSS
(UXSS), MS14-066 y MS14-068
Centrándonos en nuestro país, el descubrimiento de “Careto” en
febrero suscito un gran revuelo. Se trataba de un malware con características
APT claramente diseñado por un actor de tipo estatal. La presencia de la cadena
de texto “careto” y que entre los objetivos estuvieran Marruecos, Gibraltar y
algunos países sudamericanos levanto la sospecha de que pudiera tener un origen
Español. Diversos medios en nuestro pais recogieron estas teorias, por ejemplo El diario ¿Puede estar España detrás del malware Careto/The Mask?
En agosto, Kaspersky daba a conocer otra operación APT de
origen hispanoparlante, “El Machete”. Kaspersky Lab identifies a cyber-espionage campaign targeting Latin America. En este caso sus objetivos eran
importantes organizaciones y gobierno de Venezuela, Ecuador, Colombia, Perú,
Cuba, España e incluso una embajada Rusa en uno de los países citados.
El año en España se ha saldado con un importante aumento de
todo lo relacionado difusión del conocimiento en el ámbito la Ciberdefensa,
realizándose gran cantidad de jornadas, cursos y otras actividades de
concienciación. Desde Areopago21 colaboramos en un evento
realizado en la Universidad de Murcia. Entre los participantes habituales en
ese tipo de jornadas no ha faltado personal del MCCD, Mando Conjunto de
Ciberdefensa de nuestras fuerzas armadas. Este mando celebraba en septiembre su
primer aniversario desde la obtención de la IOC, Capacidad Inicial Operación.
En octubre el Instituto Nacional de las Tecnologías de la
Comunicación (INTECO), paso a ser el Instituto Nacional de Ciberseguridad (INCIBE). Una denominación que se ajusta mejor a sus funciones en los últimos
tiempos, dirigidas en exclusiva al área de la seguridad en internet. En el 2014
INCIBE llevo a cabo diversas actividades destacables como la realización de la
primera edición del Curso avanzado de Ciberseguridad en Sistemas de Control Industrial
o el evento CyberCamp 2014.
Conclusiones
En vista de lo ocurrido este año podemos observar diversas
tendencias e intentar pronosticar lo que nos depara el próximo año:
Cada vez más naciones disponen y hacen uso de ataques del tipo APT. Incluso las más modestas que no disponen de una capacidad propia de desarrollo hacen uso de malware “nivel gubernamental” ofrecidos por empresas comerciales. Se podría decir que estamos viviendo una carrera ciber-armamentística en la que ningún país quiere quedarse atrás de los demás.
Puesto que cada vez es mas común que los ataques APT sean identificados y expuestos públicamente, es de supone que se realicen cambios para evitar su atribución. Por ejemplo un aumento de variantes de malware, técnicas agent-less. Así como la división de los grupos grandes en otros más pequeños, acciones de bandera falsa o desinformación para dificultar la atribución.
En el lado positivo observamos una mayor concienciación en la protección y especialmente en nuestro país el salto fue notable. La Ciberdefensa ya se considera un campo asentado, el planeamiento que se realiza empieza ha ser a nivel estratégico y a largo plazo.
Cada vez más naciones disponen y hacen uso de ataques del tipo APT. Incluso las más modestas que no disponen de una capacidad propia de desarrollo hacen uso de malware “nivel gubernamental” ofrecidos por empresas comerciales. Se podría decir que estamos viviendo una carrera ciber-armamentística en la que ningún país quiere quedarse atrás de los demás.
Puesto que cada vez es mas común que los ataques APT sean identificados y expuestos públicamente, es de supone que se realicen cambios para evitar su atribución. Por ejemplo un aumento de variantes de malware, técnicas agent-less. Así como la división de los grupos grandes en otros más pequeños, acciones de bandera falsa o desinformación para dificultar la atribución.
En el lado positivo observamos una mayor concienciación en la protección y especialmente en nuestro país el salto fue notable. La Ciberdefensa ya se considera un campo asentado, el planeamiento que se realiza empieza ha ser a nivel estratégico y a largo plazo.
