Este es un resumen centrado en los acontecimientos más relevantes en el mundo de la Ciberdefensa. Este año nos dejó un importante aumento de actividad relacionada con el Ámbito de la Ciberdefensa. Especialmente en cuanto a la proliferación de operaciones APT: ataques sofisticados de tipo estatal, con objetivos de espionaje empresarial, gubernamental y militar.
En el plano internacional si tuviéramos que resumir el 2014 en una sola frase esta sería “el año de Rusia”. Los ataques APT procedentes de este país se hicieron notorios con el descubrimiento de operaciones desconocidas hasta la fecha, así como la aparición de más información o variantes de alguno de los malware existentes. Entre otros Epic Turla, Snake, Sandworm, Havex y CosmicDuke. En octubre Mandiant publicaba el informe “APT28: A Window into Russia’s Cyber Espionage Operations?” sobre la atribución de algunas de estas operaciones a un grupo estatal ruso. Con este informe Mandiant continua los pasos que ya diera el año anterior al exponer APT1 , la Unidad 61398 del Ejercito Popular chino.
Este incremento de actividad ciber-ofensiva rusa queda enmarcada en los sucesos ocurridos durante el año en Ucrania: La anexión de la península de Crimea en una operación realizada por soldados no identificados pertenecientes a fuerzas especiales rusas. La posterior guerra civil en las provincias del este Ucraniano, entre los leales al gobierno y rebeldes pro-rusos. Así como un incremento de la actividad militar aérea y marítima rusa en todo el mundo sin precedentes desde la guerra fría. En algún caso esta actividad militar llego a bordear la península ibérica.
Los APT de origen chino siguieron activos durante el año, haciéndose público por parte de la empresa Novetta Solutions la existencia del China Axiom Group , según el informe divulgado este grupo ha sido calificado como mucho más capaz y sofisticado que sus compañeros del célebre APT1. Operation SMN: Axiom Threat Actor Group Report.
En noviembre se dio a conocer la existencia de Regin , una operación APT basada en malware altamente sofisticado. Entre sus características más destacables módulos para atacar la infraestructura interna de operadores GSM. Con casi total seguridad su origen estaría en una operación del GCHQ británico , posiblemente en colaboración con la NSA. Una atribución tan concreta se debe a que este malware fue utilizado en el compromiso de Belgacom, una de las operaciones filtrada por documentos de Snowden. Así se recogía en Secret Malware in European Union Attack Linked to U.S. and British Intelligence.
En diciembre la empresa Cylance daba a conocer Cleaver (Operation Cleaver Report) operación detrás de la que estaría Irán , esta campaña APT se une a otras reportadas durante el año procedentes de este país como Saffron Rose o Newscaster.
La guerra civil Siria, continuó teniendo su contraparte en internet con acciones protagonizadas por el Syrian Electronic Army , el insólito grupo hacktivista leal al presidente Assad. Sus acciones como en años anteriores se centraron en la propaganda mediante el deface de páginas web y el secuestro de cuentas de twitter de importantes organizaciones. Así por ejemplo a principios de año la cuenta oficial de twitter y el blog de las fuerzas armadas israelíes fueron momentáneamente secuestradas.
Por otro lado el grupo terrorista Estado Islámico siguió haciendo un uso propagandístico de internet, difundiendo videos y otros materiales. Formando parte integral de su estrategia de reclutamiento de voluntarios extranjeros. Entre otros ejemplos podríamos reseñar la aparición de Dabiq magazine, una cuidada publicación en PDF en ingles contraparte mas sofisticada de casos similares anteriores que ya tratamos en nuestra entrada PSYOPS y la Jihad en Internet. No obstante a finales de año el Citizen Lab reportaba el uso de malware contra activistas sirios opuestos al Estado Islámico, lo que de confirmarse supondría un salto cualitativo respecto al empleo de internet por el grupo terrorista. Citizen Lab: Malware Attack Targeting Syrian ISIS critics.
En Agosto la compañía Gamma International se veía comprometida. Se trata de la creadora del software espía comercial FinFisher del que se conoce su utilización por algunos gobiernos. Se filtró por torrent un total de 40GB de información, incluyendo precios, catálogo de productos, información técnica, etc. Tambien se hicieron publicos los detalles de cómo realizó su intrusión, algo que trataron desde SbD: ¿Como hackearon a Gamma Internacional?.
No fue esa la primera en el año que una empresa privada de “ciberarmas” era puesta en el punto de mira de la opinión pública. Anteriormente en junio Citizen Lab había publicado un informe analizando en profundidad el malware comercial RCS de Hacking Team “Police Story: Hacking Team’s GovernmentSurveillance Malware“.
Terminaba noviembre cuando la empresa Sony se víctima de un ataque que supuso la divulgación de datos financieros y personales de trabajadores, películas sin estrenar, comunicaciones internas y otras filtraciones. Al mismo tiempo aparecieron variantes del malware Destover firmadas con certificados robados a Sony. Como resultado la imagen pública e incluso la cotización en bolsa se vió seriamente afectada. Poco se sabe de GOP, Guardianes de la Paz, grupo que se responsabilizó de esta acción. Entre las teorías más comentadas sostenida incluso por el FBI, Corea del Norte estará detrás de este ataque. El motivo el próximo estreno de una comedia protagonizada por Seth Rogen y James Franco, donde los protagonistas deben asesinar al líder de Corea del Norte, Kim Jon-Un. Finalmente Sony anuncio que retiraba la fecha de estreno prevista del film debido a las amenazas vertidas por el grupo GOP.
Si la intrusión en Sony tuvo una especial relevancia mediática, otros ataques a empresas privadas pasaron más desapercibidos aunque no por ello son hitos menos importantes en el Ámbito de la Ciberdefensa. Así en julio la atacada había sido la norteamericana USIS . Esta empresa privada era contratista para el gobierno norteamericano realizando las investigaciones de seguridad sobre el personal que solicita acreditaciones para el acceso a información clasificada. Se desconoce la identidad de los atacantes y la información sustraída. Pero es evidente el valor que puede tener para los servicios de inteligencia de un potencial enemigo un listado de personas que manejan información secreta.
No siempre es posible atribuir el origen de un ataque, en otros casos es incluso difícil determinar si el ataque se ha producido o la intencionalidad de un suceso. Como ejemplo durante el año Dyn Research publicó diversas instancias de errores de enrutado BGP que provocaron que el tráfico de internet tomara rutas no óptimas para llegar a su destino. Por ejemplo casos en que trafico local ruso acabara siendo dirigido atravesando China. Dyn Research: Chinese Routing Errors Redirect Russian Traffic. ¿Errores puntuales por parte de operadores de telecomunicaciones? ¿Operaciones intencionadas de actores gubernamentales para el secuestro de tráfico de internet?
Un muestra de lo que ha avanzado la ciberguerra es que ya se empieza a tratar no como un tema de futuro, si no que ya empezamos a tener un pasado a nuestras espaldas. Así este año se publicaron dos libros que se centran esta historia reciente. Se trata de @War: The Rise of the Military-Internet Complex de Shane Harris , periodista habitual del Foreign Policy Magazine. Y por otro lado Countdown to Zero Day: Stuxnet and the Launchof the World’s First Digital Weapon de Kim Zetter periodista freelance que ha trabajado en medios como Los Angeles Times, PC World o Wired.
Durante el año se descubrieron una serie de vulnerabilidades de alto impacto que dieron lugar al fenómeno de las vulnerabilidades con nombre propio, y supusieron la necesidad de actualización urgente de gran cantidad de sistemas. Entre otras: Heartbleed, ShellSock, Goto Fail, Android Universal XSS (UXSS), MS14-066 y MS14-068.
Contenido completo en fuente original Areópago21
Conclusiones
En vista de lo ocurrido este año podemos observar diversas tendencias e intentar pronosticar lo que nos depara el próximo año:
Cada vez más naciones disponen y hacen uso de ataques del tipo APT. Incluso las más modestas que no disponen de una capacidad propia de desarrollo hacen uso de malware a “nivel gubernamental” ofrecidos por empresas comerciales. Se podría decir que estamos viviendo una carrera ciber-armamentística en la que ningún país quiere quedarse atrás de los demás.
Puesto que cada vez es más común que los ataques APT sean identificados y expuestos públicamente, es de supone que se realicen cambios para evitar su atribución. Por ejemplo un aumento de variantes de malware, técnicas agent-less. Así como la división de los grupos grandes en otros más pequeños, acciones de bandera falsa o desinformación para dificultar la atribución.
Deja un comentario