lunes, febrero 25, 2013

Informe Mandiant sobre APT1: UNIT 61398

La semana pasada la noticia fue sin duda la publicación del Informe Mandiant sobre APT1, centrada en una de las supuestas unidades del ejército chino encargadas de la ciber-inteligencia a nivel mundial: La UNIT 61398. Esta unidad no es más que uno de los más de 20 grupos APT que según Mandiant están investigando actualmente, aunque éste está en concreto centrado en países de habla inglesa.

Figura 1: Indice general del Informe Mandiant sobre APT1

He de decir que me parece que el gobierno de los USA, teniendo en cuenta la poderosa Acta de Patriotismo bajo la manga, debe tener mucha más información en sus manos que lo que se cuenta en este informe, donde muchos de los datos pueden ser consultados en la red.

Figura 2: Normas a las que se suscriben las empresas tecnológicas que firman el USA Patriot Act

Pensando así, las motivaciones por las que se ha hecho público se me reducen a una: Porque en este momento valía más la pena que se hiciera público que lo que se podría conseguir continuando recogiendo datos. Esto puede ser simplemente porque la UNIT 61398 había accedido ya a esta información y estaba tomando medidas o porque se quería meter una presión mediática sobre ellos que solo se podría conseguir de eta manera.

Por supuesto, el gobierno chino ha desmentido todo y ha dicho que el informe está lleno de especulaciones y datos no comprobables con el objetivo único de implicar públicamente al gobierno de China en actividades de ciberguerra cuando son los Estados Unidos los más peligrosos en este campo. Vamos, un episodio más de los incidentes de ciber-guerra y ciber-espionaje.

Yo he de decir que visto lo visto, no me cabe ninguna duda de que tanto USA como China tienen sus unidades militares para este tipo de actividades, que están tan organizados como deja entrever el informe, y que con este informe solo se ha querido meter algún palo en las ruedas del Ejercito Chino para conseguir "algo". Algo que con este vídeo que publicaba David Barroso en su blog, parece querer ridiculizarse.

Figura 3: Vídeo que resume y pone en duda el informe

Por fin saqué tiempo para leerlo en detalle, y os voy a hacer un resumen, además de recomendaros encarecidamente que leáis todos los detalles, ya que estés de acuerdo o no con lo que se dice, el informe está plagado de reseñas y muestras de trabajo en técnicas OSINT, Reversing e infoSEC que merece la pena disfrutar. Dicho esto, el informe principal, de poco más de 50 páginas, recoge los siguientes puntos clave:

1.- APT1 es la Unit 61398 del Ejercito Popular Chino.

Esta afirmación se hace desde el primer momento y se argumenta mostrando memorandums internos que hacen referencia a su existencia y a las responsabilidades de los miembros de esta unidad.
Figura 4: Supuesta ubicación de la Unit 61398 dentro de la escala

Todas las atribuciones que se les suponen están centradas en network security, reversing, etcétera, lo que deja bastante expuesto que los miembros que allí trabajan son expertos en seguridad informática y técnicas de hacking.

En el informe también se aportan fotos de la supuesta base de operaciones de la Unidad 61389, situada en  una zona de Shanghai, y que por supuesto, después de la liberación del informe ha generado situaciones como la que se produce en este intento de grabar la zona por parte de la CNN.

Figura 5: Vídeo-reportaje de la CNN con una carrera del ejercito Chino para prohibirlo

2.- APT1 ha robado centenares de TeraBytes de información de al menos 141 organizaciones y ha demostrado la capacidad de hacerlo simultáneamente con docenas de ellas.

El siguiente mapa recoge las organizaciones atacadas por esta unidad al rededor de todo el mundo,  siendo siempre ataques dirigidos contra organizaciones concretas. Para ello utilizan técnicas de phishing dirigido, contra personas concretas de la organización de las que previamente han obtenido datos mediante técnicas OSINT.

Figura 6: Operaciones de APT1 por país

3.- APT1 se ha focalizado en ataque a industrias de habla inglesa.

El tipo de organización varia según cada caso, y como puede verse no son estructuras militares o de gobierno, sino industrias claves para la economía, según el informe.

Figura 7: Tipo de industria y año en que se realizó la operación en APT1

4.- APT1 mantiene una extensa infraestructura de sistemas informáticos a lo largo del mundo

A lo largo del informe se dan datos concretos de servidores y nombres de dominio contratados por todo el mundo para poder realizar sus operaciones. Esta correlación de datos se hace en base a información obtenida sobre algunas de las identidades que más adelante se revelan, de miembros de APT1.

Figura 8: Dominios tecnológicos usados en las operaciones

Entre la infraestructura cuentan con un amplio número de nombres de dominios pensados para engañar a los usuarios en diferentes áreas. En la imagen superior algunos dominios del area de tecnología pertenecientes a la organización. Después de la publicación del informe, 26 de estos dominios fueron secuestrados, supuestamente por el gobierno americano.

5. En más del 97 % de los casos en los que Madiant observó intrusiones de APT1 conectándose a su infraestructura de ataque, usaban direcciones IP de Shanghai y equipos configurados con idioma Chino Simplificado.

En el informe se aportan los rangos de las direcciones de IP detectadas en todas las conexiones que, por supuesto, pertenecen a las redes de Shaghai donde está la supuesta base.

Figura 9: Una de las tablas con las direcciones IP aportadas en el informe

6.- El tamaño de la infraestructura de ataque de APT1 implica una organización con al menos docenas, pero potencialmente, cientos de personas.

Con todos los datos aportados en el informe, la especulación del tamaño de la supuesta unidad es de docenas o cientos de personas, aunque solo han revelado el nombre de tres identidades, supuestamente usadas por miembros del equipo bajo los nicknames de UglyGorilla, DOTA y SuperHard. Los datos de ellos los rastrean a través de la web, hasta perfiles del año 2004 como el de UglyGorilla en una conferencia online.

Figura 10: Perfil de UglyGorilla en un foro online de 2004

Para terminar, el informe acompaña 3.000 indicadores en los Apéndices Digitales para detectar y parar el impacto de APT1 en las empresas, entre los que se incluyen los nombres de dominos que deben ser bloqueados en los firewalls, hashes de todo el malware creado por ellos, y utilizado por ellos - algunas son herramientas de hacking conocidas para hacer elevación de privilegios entre las que está  el  Pwdump7, ese que se firmó con un certificado robado de Adobe ¿tendrá algo que ver?- y más de 500 evidencias forenses para que puedan ser analizadas, como ha empezado a hacer José Selvi.

Espero que este resumen te permita tener una mejor información de todo lo que ha pasado alrededor del informe Mandiant sobre APT1, la Unidad 61398 y la ciberguerra entre países.

Saludos Malignos!

7 comentarios:

  1. The world war III its just starting

    ResponderEliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  4. Mi experiencia es que con el ejercito no se juega,y menos con el chino. En 2010 monté un servidor-proxy para que unos amigos pudieran navegar desde China sin problemas ... y por ejemplo leer El Pais, ... el caso es que a las 2 ó 3 horas se llenó el log del Proxy con los registros de un test de penetración lanzado desde unas IP's de Louyang(Henan) ... ciudad famosa por ser la sede de la escuela de inteligencia del Ejercito Rojo.Decidimos dejarlo estar.

    ResponderEliminar
  5. Esto esta de risa me vino ala mente el episodio de south park de cuando cartman piensa los chinos quieren dominar el mundo jajaja es verdad

    ResponderEliminar
  6. No hay nada de que extrañarse tengo entendido que ya lo habian necho con google.

    ResponderEliminar
  7. esta claro que china y ee.uu se llevan la palma en ataques ciberneticos, los mismos que ponen la carne en el asador son los mismos que los cocineros que prepara esta carne! si, viendo mis rango de ips atacadas en españa, aparece unas cuantas ip del ejercito rojo..
    cabe decir que aparte de estas ip chinas, hay unas cuantas mas. Muchas seguridades!

    ResponderEliminar