Ataques Dirigidos – APT’s – Códigos Maliciosos II

En nuestra entrada anterior comentamos de una forma breve y a grandes rasgos las metodologías que existen para los Ataques Dirigidos, mencionamos algunas TTP’s (tácticas, técnicas y procedimientos) que se utilizan como ser; Phishing dirigido, uso de exploits de día cero, sitios falsos con nombres similares a los reales para engañar al usuario, sistemas operativos y aplicaciones de uso masivo vulnerables. (flash, java, adobe, ccleaner).

En esta segunda entrada quisiéramos detallar y hacer hincapié a otros aspectos de este tipo de sucesos, dando un foco principal al hecho estratégico y el ciclo de vida que existe de fondo.

Hablamos anteriormente de las metodologías y vectores, hoy prestaremos especial atención al aspecto analítico y funcional de las APT’s. Por otro lado seria interesante comentar datos puntuales en cuanto a fechas y las primeras apariciones de este conjunto de amenazas tan bien orquestadas.

En el 2005 fue el Reino Unido quien reporto los primeros correos maliciosos con troyanos exfiltrando datos, no fue hasta el 2006 cuando EE.UU con el Coronel Rattray Grey al mando, cito el termino “APT”. Pueden conocer mas y leer sobre el : http://www.atlanticcouncil.org/people/gregory-rattray // http://www.atlanticcouncil.org/about/experts/list/gregory-rattray#fullbio 

Para dejar en claro, las técnicas utilizadas son las típicamente conocidas otras no tanto- y se emplean hace algunos años, lo que cambia el patrón y las reglas del juego es que se estén utilizando de forma coordinada, inteligente, dirigida y cuentan con bases económicas solidas para sostenerse, en su mayoría están orientados y originados desde: Estados-Nación, Grandes Empresas/Corporaciones y grupos “selectos” de interés en distintas industrias, a mayor información, mayores grado de atractivo, y por consiguiente se vuelve un objetivo deseable.

Es importante mencionar que en principio el punto de acceso puede ser un empleado de bajo nivel o menor influencia , una vez dentro se puede ir propagando a otros perfiles de mayor interés e iniciar las distintas estrategias planeadas.

Los escritores de Reverse Deception (libro), Bodmer Kilger y Carpenter nos definen algunas características concretas respecto a los APT. (link del libro al final)

Objetivos – El objetivo final de la amenaza, su adversario.

Oportunidad – El tiempo dedicado a probar su acceso al sistema.

Recursos – El nivel de conocimiento y herramientas utilizadas en el evento.

Tolerancia al riesgo – La medida en que la amenaza irá, para no ser detectada.

Habilidades y métodos – Las herramientas y técnicas utilizadas durante todo el evento

AccionesAcciones precisas de una amenaza o de numerosas amenazas.

Puntos de origen del ataqueEl número de puntos en los que se originó el evento.

Número de involucrados en el ataque – ¿ Cuántos sistemas internos y externos afectados? Cuantas personas de diferentes niveles de influencia/importancia?

Fuente de conocimientoCapacidad de discernir cualquier información relacionada con cualquiera de las amenazas especificas a través de la recopilación de información.

Podríamos mencionar que indistintamente quien los ejecute y que linea estratégica siga para perpetuar el fin, implica un riesgo creciente al objetivo en cuestión, sus datos financieros , propiedad intelectual y reputación puede verse “expropiado de manera forzosa”.

Existe datos concretos generados por Mandiant,(Exposing One of China’s Cyber Espionage Units) en donde presentaron datos claros y ciclos de vida sólidos de técnicas APT’s, originados en China. -según los datos y estadísticas. (APT1). Este grupo particularmente logro mantener sus accesos de 2 a 5 años.

El análisis llevado a cabo por Mandiant concluye que APT1 es patrocinado por el gobierno chino, fueron capaces de llevar largas y extensas campañas producto del apoyo directo del estado, hagamos una idea del costo asociado que puede acarrear mantenerse todo proceso.

Ciclo de Vida

Initial compromise.

Establish Foothold.

Escalate Privileges.

Internal Reconnaisance

Move Laterally

Maintain Presence

Complete Mission

Según el informe de Mediant las infiltraciones fueron generadas por la Unidad 61398 con base en Shangai del Ejercito Popular de Liberación. Funcionarios de china han negado todo tipo de actividad.

APT1 se ha centrado en comprometer organizaciones en donde la lengua nativa es el ingles. De las 141 victimas el 87% de ellas tiene origen en el países en donde predomina esa lengua. Particularmente los objetivos tienen negocios estratégicos con china. (motivo suficiente para obtener un beneficio).

APT1 mantiene y administra una extensa infraestructura; Se ha comunicado con 937 servidores Command and Control (C2), alojo 849 direcciones IP en 13 países distintos. Al menos 700 registros de IP fueron en China y 100 en los Estados Unidos.

Documentación original;

https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf 

Por otro lado podríamos resumir los distintos grupos APT, según FireEye y dejar en un poco mas claro, objetivos y país de origen de dichos autores, incluso detallan tipo de malware utilizado.

Daré algunos detalles relevantes de interés personal, y al pie del post les dejo la URL oficial con el contenido original y mas detallado. (están los puntos técnicos de los vectores de ataque, muy interesante).

APT33:

Sus primeras apariciones fueron en el 2013 según los detalles técnicos existe relación con el Gobierno Iraní y posibles vínculos con la Guardia Revolucionaria Islámica. (IRGC).

Sus objetivos fueron organizaciones del sector aeroespacial y energético con cede en Estados Unidos, Arabia Saudita y Corea del Sur .

Malware asociado: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell 

APT32:

También conocido como OceanLotus Group, sus primeras apariciones fueron en 2014, en Gobierno sospechado es el vietnamita.

Sus objetivos fueron empresas extranjeras, fabricantes de productos para consumo, consultoría y hostelería.

Malware asociado: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO.

APT30:

Sus primeras apariciones en 2004, los actores generadores de esta APT fueron identificados en el Partido Comunista de China, puntualmente el Ejercito Popular de Liberación. Han robado información política, económica y militar sobre la región para espionaje. Han logrado perpetuar ataque a redes de aire comprimido en el 2005.

Malware asociado: BACKSPACE, NETEAGLE, SHIPSHAPE, SPACESHIP, FLASHFLOOD.

APT28:

También conocido como Sofacy Group , sus primera apariciones fueron en el 2007. Sus objetivos van desde el Georgia, Europa oriental y la OTAN. (Tratado del Atlantico Norte). La información de interés para este grupo Ruso van desde: Información privilegiada relacionada con gobiernos, militares y organizaciones de seguridad.

Malware asociado: Chopstick, Sourface.

Conclusiones:

Hemos repasado brevemente algo de historia técnicas y metodologías sobre APT’s, haciendo un recorrido global sobre las primeras apariciones y ahora conocemos la motivación de estos grupos, que son bien organizados, bien financiados, como para que su arsenal sea, indetectable, perdure con el tiempo y estratégicamente efectivo.

Son las grandes corporaciones estados y gobiernos, que el día de mañana –u hoy mismo-, la sociedad sea objeto de estos grupos ya lo somos-, recuerden que el objetivo principal es el control de la información, y esa información es la que generamos todos los días y al mismo tiempo somos responsables de vulnerabilidades técnicas y humanas.

El nivel es complejo, los objetivos son socialmente influyentes y cada noticia con la que despertamos día a día, puede ser fatal. En el marco social, en el marco de la salud, la comunicación, etc, etc, etc .

Esto nos genera impacto social sobre todo si entendemos la magnitud de la situación cuando leemos que algún sistema scada, como ser una Planta de Agua, Planta de Energía, o cualquier otro sistema critico es vulnerado y es atacado preocupa, está pasando, existen guerras ciberneticas, existe cibercrimen, y pronto veremos en modo “live”, como naciones son atacadas entre si, en su totalidad, y veremos como un se genera el caos social. Ha pasado con Estonia, un gran Denial Of Service a la ciudad. (dejo un video).

Todos podemos aportar al cambio. Gracias por su visita.

Referencias y Videos
https://www.amazon.es/Reverse-Deception-Organized-Threat-Counter-Exploitation-ebook/dp/B008G05DDA

https://www.securityartwork.es/2017/01/13/la-cci-rusa-ix-grupos-apt/

https://en.wikipedia.org/wiki/Advanced_persistent_threat

https://www.secureworks.com/blog/advanced-persistent-threats-apt-a

https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf

https://www.fireeye.com/current-threats/apt-groups.html

https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html

https://en.wikipedia.org/wiki/PLA_Unit_61398

https://www.youtube.com/watch?v=qUXzOvJ2cd0 ( Ciberguerrilla Cyber Guerilla )

https://www.youtube.com/watch?v=0R05oLqxxK8 ( OTAN: respuesta ante un ciberataque )

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y para la comunidad.

4 comentarios en “Ataques Dirigidos – APT’s – Códigos Maliciosos II”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s