Ciberamenazas avanzadas, analítica de mecanismos y vínculos sociopolíticos I

C1b3rWall Academy C1b3rWall Academy
Enero 31, 2022 - 14:00
0
Ciberamenazas avanzadas, analítica de mecanismos y vínculos sociopolíticos I

Tiempo de lectura estimado: 9 minutos

Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es comprender qué son y qué tipos de APTs existen, así como sus vínculos con la geopolítica actual.

Comenzaremos definiendo APT, Amenazas Persistentes Avanzadas (en inglés): se trata de un adversario con alto nivel de experiencia y recursos significativos, lo que le permite mediante el uso de múltiples vectores de ataque diferentes, generar oportunidades para lograr su objetivo. Se caracteriza por su persistencia, sigilo y tener habilidades avanzadas.

Ciclo de vida de las APT

  1. Lanzamiento: de la amenaza sobre la víctima, suelen ser ataques entre Estados. Cuando se alcanza un objetivo relevante o que tenga sentido, pasamos al siguiente paso.
  2. Infección: se ejecuta la acción y se somete a la víctima. Esta infección puede durar incluso años.
  3. Control: va aparejada a la infección.
  4. Encuentro: se trata de buscar en la red atacada los activos más valiosos.
  5. Persistencia: capacidad de estar controlando a las víctimas durante largos periodos de tiempo. Se necesitan muchos recursos para hacerlo posible.

Para qué se usan las APT

Tienen tres grandes fines:

  • Robo de información sensible (diplomática, secretos de Estado...).

  • Obtención de ventajas competitivas (think tanks, propiedad intelectual...).

  • Compromiso de la infraestructura estratégica.

De ciber a real

Actualmente, según MITRE se estima que hay 122 grupos de APT en el mundo. Los Estados se atribuyen ataques a gran escala de unos a otros (EEUU declara que le ha atacado China). En 2010 se produce uno de los primeros ataques globales con el gusano Stuxnet y aparece la figura del ciberespacio como el quinto dominio de barrera. En 2016 la OTAN afirma que en el ciberespacio se pueden producir enfrentamientos al igual que en tierra, mar, aire y espacio exterior.

En el 2007 en Estonia, se produjo un homenaje a soldados caídos, y en ese momento se realiza un ciberataque procedente (supuestamente) de Rusia. Este ataque tenía como objetivos bancos, medios de comunicación, y en definitiva, la sociedad en general.

En 2018, se produce otro encuentro entre el mundo ciber y el geopolítico. Occidente denunció una trama de ciberespionaje ruso a escala global desarrollada en el ámbito de una reunión internacional de la organización para la prohibición de armas químicas. Cuatro hombres (supuestamente diplomáticos rusos) fueron deportados por colocar un coche en las cercanías de la reunión. Su maletero contenía equipo capaz de interceptar las señales de lo que se producía en la reunión.

Algunos de los APTs principales pertenecen a China (APT1, APT30…), Rusia (APT28, APT29...), Corea del Norte (APT38, Lazarus...), Irán (OilRig, APT33…) y otros, como Líbano y Vietnam.

APT de China

Son caracterizadas por su persistencia tenaz, y la mayoría tienen nombres relacionadas con “panda”. Muchas de las amenazas se descubren meses o incluso años después de haberse producido la infección. No son amenazas puntuales, sino que buscan su desarrollo a lo largo del tiempo.

APT30 se demostró que había atacado a países como India, EEUU, Arabia Saudí o Corea del Sur. En otros, como Japón, Filipinas, Nepal, Singapur, Indonesia o Laos, no se confirmó pero había sospechas. Se pueden establecer claras relaciones entre los conflictos que tiene China con sus vecinos y los objetivos de APT30.

Las APT Chinas tienen predilección por los entornos gestionados. Es decir, que se delega en un tercero la gestión de los servidores web, de correo, VPNs… Así, si consiguen penetrar en la infraestructura del tercero que lo gestiona, no solo tendrá acceso a una organización si no a todas las que gestionen.

APT de Rusia

Son asociadas a los osos si provienen de este país. Se puede observar cómo Rusia ha atacado (supuestamente) a países con los que comparte un espacio geopolítico concreto.

Las APT de origen ruso se les atribuye una vinculación con diferentes unidades que forman parte de su entramado político y policial. Los interese militares o de inteligencia se pueden asociar a TURLA, y las cuestiones diplomáticas están más cerca de APT28 y APT29.

Su patrón de actuación suele pasar por la vulneración del propio usuario. Pueden simplemente enviar un mensaje de phishing y a partir de ahí desarrollar su actividad maliciosa.

APT de Irán

Se dan las fases que comentábamos al principio. En la siguiente imagen se muestran algunas de las herramientas que utilizan o desarrollan para atacar, probablemente no todas sean suyas pero sí saben utilizarlas.

Por tanto, observamos a un actor que no tiene tantos recursos como otros, o no está tan técnicamente desarrollado, pero aún así comienza a tener un peso relevante. Como decíamos, las técnicas de phishng no son nada avanzadas, son muy antiguas, pero tienen un nivel de credibilidad que si es novedoso.

APT de Corea del Norte

Presenta un problema de hermetismo de datos debido al régimen, por lo que es complicado comprender que está pasando dentro. En el pasado aparecieron sanciones a Corea del Norte por parte de EEUU para dificultar su liquidez y Corea respondió con ciberataques. En 2017 con WannaCry Ransomware, atacó a la operadora española Telefónica. Estos ciberataques, ante la falta de liquidez se desarrollan, no solo para conseguir información, sino dinero (100 millones de dólares en el fraude SWIFT).

Se puede observar que la tendencia de las amenazas es ascendente y se observa un incremento muy acusado. Haz click aquí para leer la segunda parte.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: José María de Fuentes

Profesor titular de Computer Security Lab (COSE) en la Universidad Carlos III de Madrid.

Artículo previo

Marco estratégico del marketing en la transformación digital

Siguiente articulo

¿Cómo innovar rápidamente y con los mínimos costes?

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

C1b3rWall Academy

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/

Posts relacionados

Pensamiento exponencial vs lineal

Pensamiento exponencial vs lineal

C1b3rWall Academy Octubre 14, 2021 0

¿Todavía no estás en DevSecOps?, ¿a qué esperas?

¿Todavía no estás en DevSecOps?, ¿a qué esperas?

C1b3rWall Academy Marzo 11, 2022 0

mIOTA versus XRP versus ETH versus BTC

mIOTA versus XRP versus ETH versus BTC

Francisco José Medrano Fernández Junio 11, 2021 0

Doctor Ryuk

Doctor Ryuk

C1b3rWall Academy Julio 2, 2021 0

Inteligencia y Fuentes de Información

Inteligencia y Fuentes de Información

C1b3rWall Academy Enero 21, 2022 0

Mitigación de ataques por fuerza bruta

Mitigación de ataques por fuerza bruta

C1b3rWall Academy Junio 14, 2023 0