Ciberamenazas avanzadas, analítica de mecanismos y vínculos sociopolíticos I
Tiempo de lectura estimado: 9 minutos
Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es comprender qué son y qué tipos de APTs existen, así como sus vínculos con la geopolítica actual.
Comenzaremos definiendo APT, Amenazas Persistentes Avanzadas (en inglés): se trata de un adversario con alto nivel de experiencia y recursos significativos, lo que le permite mediante el uso de múltiples vectores de ataque diferentes, generar oportunidades para lograr su objetivo. Se caracteriza por su persistencia, sigilo y tener habilidades avanzadas.
Ciclo de vida de las APT
- Lanzamiento: de la amenaza sobre la víctima, suelen ser ataques entre Estados. Cuando se alcanza un objetivo relevante o que tenga sentido, pasamos al siguiente paso.
- Infección: se ejecuta la acción y se somete a la víctima. Esta infección puede durar incluso años.
- Control: va aparejada a la infección.
- Encuentro: se trata de buscar en la red atacada los activos más valiosos.
- Persistencia: capacidad de estar controlando a las víctimas durante largos periodos de tiempo. Se necesitan muchos recursos para hacerlo posible.
Para qué se usan las APT
Tienen tres grandes fines:
-
Robo de información sensible (diplomática, secretos de Estado...).
-
Obtención de ventajas competitivas (think tanks, propiedad intelectual...).
-
Compromiso de la infraestructura estratégica.
De ciber a real
Actualmente, según MITRE se estima que hay 122 grupos de APT en el mundo. Los Estados se atribuyen ataques a gran escala de unos a otros (EEUU declara que le ha atacado China). En 2010 se produce uno de los primeros ataques globales con el gusano Stuxnet y aparece la figura del ciberespacio como el quinto dominio de barrera. En 2016 la OTAN afirma que en el ciberespacio se pueden producir enfrentamientos al igual que en tierra, mar, aire y espacio exterior.
En el 2007 en Estonia, se produjo un homenaje a soldados caídos, y en ese momento se realiza un ciberataque procedente (supuestamente) de Rusia. Este ataque tenía como objetivos bancos, medios de comunicación, y en definitiva, la sociedad en general.
En 2018, se produce otro encuentro entre el mundo ciber y el geopolítico. Occidente denunció una trama de ciberespionaje ruso a escala global desarrollada en el ámbito de una reunión internacional de la organización para la prohibición de armas químicas. Cuatro hombres (supuestamente diplomáticos rusos) fueron deportados por colocar un coche en las cercanías de la reunión. Su maletero contenía equipo capaz de interceptar las señales de lo que se producía en la reunión.
Algunos de los APTs principales pertenecen a China (APT1, APT30…), Rusia (APT28, APT29...), Corea del Norte (APT38, Lazarus...), Irán (OilRig, APT33…) y otros, como Líbano y Vietnam.
APT de China
Son caracterizadas por su persistencia tenaz, y la mayoría tienen nombres relacionadas con “panda”. Muchas de las amenazas se descubren meses o incluso años después de haberse producido la infección. No son amenazas puntuales, sino que buscan su desarrollo a lo largo del tiempo.
APT30 se demostró que había atacado a países como India, EEUU, Arabia Saudí o Corea del Sur. En otros, como Japón, Filipinas, Nepal, Singapur, Indonesia o Laos, no se confirmó pero había sospechas. Se pueden establecer claras relaciones entre los conflictos que tiene China con sus vecinos y los objetivos de APT30.
Las APT Chinas tienen predilección por los entornos gestionados. Es decir, que se delega en un tercero la gestión de los servidores web, de correo, VPNs… Así, si consiguen penetrar en la infraestructura del tercero que lo gestiona, no solo tendrá acceso a una organización si no a todas las que gestionen.
APT de Rusia
Son asociadas a los osos si provienen de este país. Se puede observar cómo Rusia ha atacado (supuestamente) a países con los que comparte un espacio geopolítico concreto.
Las APT de origen ruso se les atribuye una vinculación con diferentes unidades que forman parte de su entramado político y policial. Los interese militares o de inteligencia se pueden asociar a TURLA, y las cuestiones diplomáticas están más cerca de APT28 y APT29.
Su patrón de actuación suele pasar por la vulneración del propio usuario. Pueden simplemente enviar un mensaje de phishing y a partir de ahí desarrollar su actividad maliciosa.
APT de Irán
Se dan las fases que comentábamos al principio. En la siguiente imagen se muestran algunas de las herramientas que utilizan o desarrollan para atacar, probablemente no todas sean suyas pero sí saben utilizarlas.
Por tanto, observamos a un actor que no tiene tantos recursos como otros, o no está tan técnicamente desarrollado, pero aún así comienza a tener un peso relevante. Como decíamos, las técnicas de phishng no son nada avanzadas, son muy antiguas, pero tienen un nivel de credibilidad que si es novedoso.
APT de Corea del Norte
Presenta un problema de hermetismo de datos debido al régimen, por lo que es complicado comprender que está pasando dentro. En el pasado aparecieron sanciones a Corea del Norte por parte de EEUU para dificultar su liquidez y Corea respondió con ciberataques. En 2017 con WannaCry Ransomware, atacó a la operadora española Telefónica. Estos ciberataques, ante la falta de liquidez se desarrollan, no solo para conseguir información, sino dinero (100 millones de dólares en el fraude SWIFT).
Se puede observar que la tendencia de las amenazas es ascendente y se observa un incremento muy acusado. Haz click aquí para leer la segunda parte.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: José María de Fuentes
Profesor titular de Computer Security Lab (COSE) en la Universidad Carlos III de Madrid.
¿Cuál es tu reacción?