miércoles, enero 30, 2013

Incidentes de Ciberguerra y Ciberespionaje entre países

La ciberguerra o el ciberespionaje entre países no existe, o eso insisten en defender la mayoría de los gobiernos, lo que sin duda significa una clara declaración de lo contrario. Desaprovechar un escenario de batalla tan cómodo para los ejércitos como la red es demasiado suculento como para no ser utilizado. Es mucho más barato enviar un exploit que una dotación de tropas, con sus correspondientes aprovisionamientos y armamentos. Además, bien hecho, puede ser el comando más indetectable de todos, por lo que todo son ventajas... a priori.

Las desventajas son las mismas que se convierten en ventajas, pero desde el punto de vista enemigo. La mayoría de los sistemas defensivos pierden utilidad cuando no hay una objeto físico que golpear, sino un payload que bloquear. Hay que cambiar el foco de los presupuestos. Hay que comprar algo menos de hierro y un poco más de talento e inteligencia que pueda ser utilizado tanto en ataque como en defensa.

Dicho esto, hay que decir que mientras que todo el mundo niega hacerlo, algunas organizaciones con OTAN han encargado a expertos la realización de estudios sobre legislación internacional que puede ser aplicada a la ciberguerra, el ciberespionaje o el ciberterrorismo, dando como resultado el Manual Tallinn, que dice cosas como que es legal matar hackers civiles si participan en incidentes.

Hablar de ciberguerra, ciberespionaje o ciberterrorismo se puede hacer sólo desde el punto de vista de los incidentes que han podido ser descubiertos, aunque en muchos de ellos no se ha podido determinar su autoría más allá de ciertas especulaciones. Sin embargo, todos los que han sido descubiertos han contado con alguna ciberarma "cyberweapon", término que aunque a muchos suena mal hace referencia a un tipo de software malicioso creado con un único objetivo, y que lo normal es que solo tenga un uso, pues su ejecución provocará necesariamente su inutilidad.

Es decir, que una vez que se lance hay que darlo por perdido, tanto si tiene éxito como no, pues solo vale para un objetivo. Esta regla no es del todo cierta, pues si el enemigo no aprende del ataque, entonces podrá seguir siendo utilizado algo por lo que los países necesitan sus equipos de defensa cibernética: si no para defender, sí para aprender y no ser atacados dos veces de la misma forma.

Rusia vs Estonia

Dicho esto, como el primer incidente de ciberguerra en la modernidad actual se habla siempre del ataque de denegación de servicio distribuido (D.D.O.S) que se lanzó contra Estonia y que afectó a varios sitios web del gobierno. Estonia acusó al gobierno de Rusia de estar detrás de los ataques, que se produjeron tras la retirada de un memorial escultórico soviético del centro de la ciudad de Tailin para ser recolocado, durante los días del 25 de Abril al 5 de Mayo de 2007. Al final, solo algún joven como Dmitri Galushkevich fue condenado por estos ataques.

China vs USA: Operación Aurora

La Operacion Aurora se catalogó como un ataque de ciberespionaje, aunque alguno alzó la voz para decir que fue un ataque de China a Estados Unidos, aunque realmente se produjo contra los servidores de Google que se encontraban en aquel país. Se produjo durante el año 2009, cuando Google detecto a finales de año que alguien había instalado un backdoor en sus servidores para robar el código fuente de sus proyectos. Tras analizar en detalle el binario utilizado, se descubrió que utilizaban algoritmos de código de redundancia cíclica CRC de los que sólo había documentación en chino y además pudieron descubrir varias rutas que hacían referencia a un programa llamado Aurora, lo que dio nombre a toda la operación.

Figura 1: Código de Aurora donde se ve la ruta del proyecto

Google abandonó China, empezó a servir desde Hong-Khong y se reunió con el presidente Obama al que trasladaron sus sospechas de que el gobierno chino estaba detrás del ataque y llegaron a apuntar hasta a un centro de entrenamiento del gobierno. Se siguió el exploit que había sido utilizado - un 0day del motor JavaScript de Internet Explorer 6 - y se localizó a un descubridor  en oriente medio que se lo había notificado a Microsoft seis meses antes, pero se sospecha que alguien lo vendió al gobierno chino. No pasó nada más ante los medios y Google recomendó a todos sus usuarios utilizar Mac OS X o Linux.

Los incidentes entre China y USA son muchos, y se sospecha que atacantes chinos se colaron en los satélites de USA para interceptar comunicaciones durante los años 2007 y 2008. Lo más curioso se produjo quizá en 2011, donde en un programa de la televisión China aparecía un software para hacer ciberataques en el que se escapó en una lista que se estaba atacando a una universidad americana, lo que levantó ampollas en los USAChina, por su parte también se quejó y denunció también en la televisión que estaba siendo atacada desde direcciones IP pertenecientes a equipos de las redes del gobierno americano, mostrando los datos por la televisión para que todos lo vieran.

Figura 2: La dirección americana que "supuestamente" atacaba a China

Otro popular indicente entre USA y China es, por supuesto, el Informe Mandiant sobre APT1, donde se acusa desde Estados Unidos de la existencia de una unidad militar en el ejercito chino llamada Unit 61398 dedicada al ciber-espionaje estratégico mundial. En el último informe del año 2013 que el DoD (Departement of Defense) del gobierno americano que se envió al Congreso de los USA, se afirma directamente que el ejercito de China ha realizado operaciones de ciberataque a los sistemas de defensa. Concretamente, en el informe de Sistemas Militares Resistentes y Ciberamenzas Avanzadas, el DoD afirma que le han robado diseños militares de alta importancia para la seguridad nacional.

China VS Tibet

Mientras que por otro lado, los activistas políticos pro-Tibet se encuentran desde hace mucho tiempo bajo una orda de ataques especialmente diseñados para Mac OS X - el Dalai Lama usa Mac OS X- donde mutan una y otra vez el malware para robar información de sus sistemas. OSX/Imuler ha sido descubierto en diferentes formas, pero siempre con un gancho que pudiera atraer a miembros pro-Tibet, como una carta en su favor, o unas fotografías de alguna reunión de ellos. Por supuesto, todos apuntan a China como origen de los mismos.

Figura 3: El Dalali Lama usando Mac OS X
Siria, Bahréin, Vietnam e Irán vs disidentes del régimen

No solo China ataca a sus disidentes, los regímenes de Siria, Bahréin, Vietnam e Irán utilizan un buen número de herramientas para censurar las conexiones a Internet y vigilar a los ciudadanos contrarios a ellos, com se recoge en el informe de Reporteros sin Fronteras titulado Enemigos de Internet. Muchos de ellos utilizan técnicas de ciberespionaje con herramientas como FinFisher o Trovicor, y si es necesario tira abajo las conexiones de Internet, como ya hicieran primero Egipto y luego Siria. Todos los actos de este tipo, son recogidos en la web Spy Files de Wikileaks.

USA & Israel vs Irán

Sin duda, el incidente de ciberguerra más impactante a día de hoy sigue siendo Stuxnet, el ataque que se produjo contra las centrales nucleares iranís y del que a día de hoy se sigue hablando en las noticias - que según parece el gobierno americano busca saber quién dio datos a los medios de comunicación sobre que era una operación americana -. Fue descubierto en Junio de 2010 y fue el responsable de acabar con las centrales nucleares iranís mediante la manipulación de los datos en el sistema SCADA.

A día de hoy es ampliamente asumido que fue creado a medias por el gobierno de los Estados Unidos de América e Israel, para conseguir acabar con el programa de enriquecimiento de Uranio del presidente de Irán - no os perdáis las entrevistas del documental de ciberguerra sobre este tema -. El gusano Stuxnet se difundía utilizando varios 0days utilizando los pendrives como medio de infección, ya que los equipos de las centrales nucleares estaban aislados de Internet.

Una vez infectado uno de los equipos de la red, Stuxnet manipulaba valores en los sensores que alimentaban el sistema SCADA, haciendo creer a los ingenieros que algo iba mal en la central, de tal forma que al final lanzaron las medidas de protección, anulando su funcionamiento.

Figura 4: Gráfico de infecciones encontradas de Stuxnet por países

El gusano se les fue de las manos, y a dia de hoy todavía hay equipos infectados con él por todo el mundo. Una obra de ingeniería de seguridad ofensiva que causó por igual miedo y admiración por parte de los técnicos que incluso le premiaron con un Pwnie Award.

¿? vs USA

Estados Unidos no solo ha sido puesto en el lado de los atacantes y él también se ha quejado de intrusiones de ciberataques, ya que según parece, en el año 2008 el Pentágono fue seriamente comprometido por un pendrive que se conectó a una máquina en el oriente medio, y que tuvo acceso a documentos confidenciales que fueron enviados a servidores bajo el control de agencias de inteligencia extranjeras.

USA vs Rusia

También en el año 2010 el gobierno de USA deportó a varios espías rusos - que intercambió con Rusia por otros espías americanos  en Suiza - por acusación de traición, de los cuales uno de ellos había trabajado en Microsoft, lo que hizo que se revisaran todos los procedimientos y datos que podrían haber sido enviados a la otrora némesis en la guerra fría.

Rusia vs Georgia

Y es que a este juego parece que juegan todos y de todas las formas posibles, ya que en noviembre del 2012, la República de Georgía cazó a un ciberespía ruso robando datos por medio de un exploit en un PDF que fue utilizado en su propia contra para ser grabado y reconocido por la antaño República Soviética, lo que volvió a dejar claro que parece que nadie parece resistirse al jugo que dan los ataques cibernéticos a las fuentes de información de las agencias de inteligencia nacionales.

Figura 5: El espía ruso grabado con su propia cam con su propio malware

Ciberespionaje: Duqu, Flame, Red October y NetTraveler

En 2011 apareció Duqu, un gusano cuasi idéntico a Stuxnet pero con un objetivo distinto. Según el análisis técnico del mismo, Duqu fue creado para generar una base de datos de inteligencia mundial, robando datos de todos los equipos infectados. Según parece, tanto Duqu como Stuxnet fueron creados en el año 2007, pero se tardaron años en descubrir.

En el año 2012 apareció Flame, un nuevo malware ligado muy de cerca según Kaspersky a Stuxnet debido a las similitudes en algunos módulos, que estuvo años infectando equipos por todo el mundo y recolectando datos masivamente. Utilizaba varias funciones de infección, y recolectaba hasta los metadatos de las fotografías, pero lo más peculiar de Flame fue tal vez el sistema de protección e infección que usó basándose en un ataque criptográfico a los certificados que Microsoft utilizaba en las licencias de Terminal Services, lo que le dio cuasi carta blanca frente a la mayoría de las soluciones antimalware que no iban a eliminar un software firmado por Microsoft. No se supo quién estaba detrás de él, pero se asume que es una evolución de la operación Stuxnet y Duqu. Por supuesto, también Flame ganó un Pwnie Award al mejor mass ownage.

En Noviembre de 2012 saltó a la primera plana Red October, un malware pensado para crear una infraestructura de robo de información a la carta. Con más de mil módulos distintos para buscar información, y enfocada a altas esferas, el malware tiene detalles de búsqueda de datos tan curiosos como las extensiones de documentos cifrados con Acid Cryptofiler, un software que parece que utilizan en la OTAN.

Figura 6: Operación Red October

En Junio de este año, la operación de espionaje descubierta fuer NetTraveler, un sistema similar a Red October que estaba funcionando desde el año 2004, y que se dedicaba a robar datos de clientes para venderlos al mejor postor.

Ciberespionaje ciudadano en Egipto y USA: FinFisher, FinSpy y 12 Monkeys

Por supuesto, en temas de ciberespionaje hay que hablar de las empresas que venden software  y servicios profesionales de infección vigilancia y control, como el caso del software comercial FinFisher que fue encontrado en las dependencias del gobierno Egipcio - con su versión para dispositivos móvil FinSpy - o todos los servicios de ciberespionaje que ofrecía la empresa HBGary al gobierno americano, como por ejemplo 12 monkeys. A día de hoy, los paneles de control de FinFisher & FinSpy han sido localizados en 25 países.

Las filtraciones de Edward Snowden, el programa PRISM y el espionaje americano

Hay que dedicar un apartado especial a las filtraciones del programa de espionaje PRISM filtradas a la prensa que mostraban cómo el gobierno de USA estaba utilizando a las tecnológicas americanas para espiar a ciudadanos extranjeros. Rápidamente las compañías negaron dar acceso a los servidores, aunque la propia ley les prohibe hablar de ello, así que la información estará siempre mediatizada. La última revelación fue que se armaron comitivas de espionaje para eventos de espionaje del G8 y el G20 que tuvieron lugar en Londres, donde se espió a primeros ministros, como el ruso Dmitry Medvedev.

No pretende ser este post más que una reflexión personal para dejar claro que cuando se dice eso de que la ciberguerra, el ciberespionaje o el ciberterrorismo es cosa de mentira o exageraciones de los medios de comunicación es porque no han visto a un exploit manipular los grados de posicionamiento de los mapas de un avión en un proceso de aproximación para el aterrizaje... Yo sí, y desde entonces no duermo igual de bien ni me subo a los aviones con la misma calma.

Saludos Malignos!

11 comentarios:

WolVeLopeZ dijo...

Muy interesante. Gracias Chema por compartir tu conocimiento.

Anónimo dijo...

Podrias profundizar un poco sobre lo que has comentado del avión? aún estoy flipando, y eso de que lo viste tu, también eres piloto? jajaja saludos

Maligno dijo...

@Anónimo, en las Lacon se ven cosas muy serias ....

Anónimo dijo...

Fenomenal argumento de entrada del artículo. La mayoría de los gobiernos dicen que la NASA puso un hombre en la luna, ¿así que debe ser una declaración segura de todo lo contrario?

Maligno dijo...

@Anónimo, en las charlas de infosec se explica eso muy claro. Desinformación. Una cosa es ciencia, otra guerra.

Saludos!

mario snash dijo...

Muy buen informe. Los gobiernos sin duda cometen delitos informaticos y nadie hace nada, sin embargo a gente como Aaron Swartz que no hizo mas que compartir informacion y pelear por su libertad lo terminaron matando... o el mismo Julian Assange que da a concer delitos importantes, sin embargo el termina siendo el mas buscado

Xavi Ondoño dijo...

@anonimo1 Por este mismo blog si no recuerdo mal, perdido en algun post estaba un video de youtube de la charla donde se mostró lo de los aviones.

Por donde está es otro tema... :P

Anónimo dijo...

Me parece que no se puede saber del todo si USA creo Stuxnet, al menos creo que el gobierno no lo ha reconocido,ademas si yo fuera un país x y quiero atacar a un país como USA, podría hacerme pasar por un 3er país para crear una guerra entre estos 2 países no?

F4l53-19 dijo...

Menudo espía jajaja ¡tapa la webcam jodio! primera regla del atacante... nunca, nunca, bajo nunguna condición, hagas nada chungo desde tu casa.

Ayyyyy si es queeeee....

Anónimo dijo...

Amigo.. Muy buen post.. Muy interesante la información compartida.. Yo un día leí que según Kaspersky Lab decía que Duqu era un malware que estaba echo con un lenguaje de programación desconocido.. Que tan cierto es eso? Saludos :)

Maligno dijo...

@Anónimo, Duqu estaba escrito en Plain C }:)

Eleven Paths Blog

Seguridad Apple

Entradas populares