Ataques Dirigidos – APT’s – Códigos Maliciosos II

En nuestra entrada anterior comentamos de una forma breve y a grandes rasgos las metodologías que existen para los Ataques Dirigidos, mencionamos algunas TTP’s (tácticas, técnicas y procedimientos) que se utilizan como ser; Phishing dirigido, uso de exploits de día cero, sitios falsos con nombres similares a los reales para engañar al usuario, sistemas operativos y aplicaciones de uso masivo vulnerables. (flash, java, adobe, ccleaner).

En esta segunda entrada quisiéramos detallar y hacer hincapié a otros aspectos de este tipo de sucesos, dando un foco principal al hecho estratégico y el ciclo de vida que existe de fondo.

Hablamos anteriormente de las metodologías y vectores, hoy prestaremos especial atención al aspecto analítico y funcional de las APT’s. Por otro lado seria interesante comentar datos puntuales en cuanto a fechas y las primeras apariciones de este conjunto de amenazas tan bien orquestadas.

En el 2005 fue el Reino Unido quien reporto los primeros correos maliciosos con troyanos exfiltrando datos, no fue hasta el 2006 cuando EE.UU con el Coronel Rattray Grey al mando, cito el termino “APT”. Pueden conocer mas y leer sobre el : http://www.atlanticcouncil.org/people/gregory-rattray // http://www.atlanticcouncil.org/about/experts/list/gregory-rattray#fullbio 

Para dejar en claro, las técnicas utilizadas son las típicamente conocidas otras no tanto- y se emplean hace algunos años, lo que cambia el patrón y las reglas del juego es que se estén utilizando de forma coordinada, inteligente, dirigida y cuentan con bases económicas solidas para sostenerse, en su mayoría están orientados y originados desde: Estados-Nación, Grandes Empresas/Corporaciones y grupos “selectos” de interés en distintas industrias, a mayor información, mayores grado de atractivo, y por consiguiente se vuelve un objetivo deseable.

Es importante mencionar que en principio el punto de acceso puede ser un empleado de bajo nivel o menor influencia , una vez dentro se puede ir propagando a otros perfiles de mayor interés e iniciar las distintas estrategias planeadas.

Los escritores de Reverse Deception (libro), Bodmer Kilger y Carpenter nos definen algunas características concretas respecto a los APT. (link del libro al final)

Objetivos – El objetivo final de la amenaza, su adversario.

Oportunidad – El tiempo dedicado a probar su acceso al sistema.

Recursos – El nivel de conocimiento y herramientas utilizadas en el evento.

Tolerancia al riesgo – La medida en que la amenaza irá, para no ser detectada.

Habilidades y métodos – Las herramientas y técnicas utilizadas durante todo el evento

AccionesAcciones precisas de una amenaza o de numerosas amenazas.

Puntos de origen del ataqueEl número de puntos en los que se originó el evento.

Número de involucrados en el ataque – ¿ Cuántos sistemas internos y externos afectados? Cuantas personas de diferentes niveles de influencia/importancia?

Fuente de conocimientoCapacidad de discernir cualquier información relacionada con cualquiera de las amenazas especificas a través de la recopilación de información.

Podríamos mencionar que indistintamente quien los ejecute y que linea estratégica siga para perpetuar el fin, implica un riesgo creciente al objetivo en cuestión, sus datos financieros , propiedad intelectual y reputación puede verse “expropiado de manera forzosa”.

Existe datos concretos generados por Mandiant,(Exposing One of China’s Cyber Espionage Units) en donde presentaron datos claros y ciclos de vida sólidos de técnicas APT’s, originados en China. -según los datos y estadísticas. (APT1). Este grupo particularmente logro mantener sus accesos de 2 a 5 años.

El análisis llevado a cabo por Mandiant concluye que APT1 es patrocinado por el gobierno chino, fueron capaces de llevar largas y extensas campañas producto del apoyo directo del estado, hagamos una idea del costo asociado que puede acarrear mantenerse todo proceso.

Ciclo de Vida

Initial compromise.

Establish Foothold.

Escalate Privileges.

Internal Reconnaisance

Move Laterally

Maintain Presence

Complete Mission

Según el informe de Mediant las infiltraciones fueron generadas por la Unidad 61398 con base en Shangai del Ejercito Popular de Liberación. Funcionarios de china han negado todo tipo de actividad.

APT1 se ha centrado en comprometer organizaciones en donde la lengua nativa es el ingles. De las 141 victimas el 87% de ellas tiene origen en el países en donde predomina esa lengua. Particularmente los objetivos tienen negocios estratégicos con china. (motivo suficiente para obtener un beneficio).

APT1 mantiene y administra una extensa infraestructura; Se ha comunicado con 937 servidores Command and Control (C2), alojo 849 direcciones IP en 13 países distintos. Al menos 700 registros de IP fueron en China y 100 en los Estados Unidos.

Documentación original;

https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf 

Por otro lado podríamos resumir los distintos grupos APT, según FireEye y dejar en un poco mas claro, objetivos y país de origen de dichos autores, incluso detallan tipo de malware utilizado.

Daré algunos detalles relevantes de interés personal, y al pie del post les dejo la URL oficial con el contenido original y mas detallado. (están los puntos técnicos de los vectores de ataque, muy interesante).

APT33:

Sus primeras apariciones fueron en el 2013 según los detalles técnicos existe relación con el Gobierno Iraní y posibles vínculos con la Guardia Revolucionaria Islámica. (IRGC).

Sus objetivos fueron organizaciones del sector aeroespacial y energético con cede en Estados Unidos, Arabia Saudita y Corea del Sur .

Malware asociado: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell 

APT32:

También conocido como OceanLotus Group, sus primeras apariciones fueron en 2014, en Gobierno sospechado es el vietnamita.

Sus objetivos fueron empresas extranjeras, fabricantes de productos para consumo, consultoría y hostelería.

Malware asociado: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO.

APT30:

Sus primeras apariciones en 2004, los actores generadores de esta APT fueron identificados en el Partido Comunista de China, puntualmente el Ejercito Popular de Liberación. Han robado información política, económica y militar sobre la región para espionaje. Han logrado perpetuar ataque a redes de aire comprimido en el 2005.

Malware asociado: BACKSPACE, NETEAGLE, SHIPSHAPE, SPACESHIP, FLASHFLOOD.

APT28:

También conocido como Sofacy Group , sus primera apariciones fueron en el 2007. Sus objetivos van desde el Georgia, Europa oriental y la OTAN. (Tratado del Atlantico Norte). La información de interés para este grupo Ruso van desde: Información privilegiada relacionada con gobiernos, militares y organizaciones de seguridad.

Malware asociado: Chopstick, Sourface.

Conclusiones:

Hemos repasado brevemente algo de historia técnicas y metodologías sobre APT’s, haciendo un recorrido global sobre las primeras apariciones y ahora conocemos la motivación de estos grupos, que son bien organizados, bien financiados, como para que su arsenal sea, indetectable, perdure con el tiempo y estratégicamente efectivo.

Son las grandes corporaciones estados y gobiernos, que el día de mañana –u hoy mismo-, la sociedad sea objeto de estos grupos ya lo somos-, recuerden que el objetivo principal es el control de la información, y esa información es la que generamos todos los días y al mismo tiempo somos responsables de vulnerabilidades técnicas y humanas.

El nivel es complejo, los objetivos son socialmente influyentes y cada noticia con la que despertamos día a día, puede ser fatal. En el marco social, en el marco de la salud, la comunicación, etc, etc, etc .

Esto nos genera impacto social sobre todo si entendemos la magnitud de la situación cuando leemos que algún sistema scada, como ser una Planta de Agua, Planta de Energía, o cualquier otro sistema critico es vulnerado y es atacado preocupa, está pasando, existen guerras ciberneticas, existe cibercrimen, y pronto veremos en modo “live”, como naciones son atacadas entre si, en su totalidad, y veremos como un se genera el caos social. Ha pasado con Estonia, un gran Denial Of Service a la ciudad. (dejo un video).

Todos podemos aportar al cambio. Gracias por su visita.

Referencias y Videos
https://www.amazon.es/Reverse-Deception-Organized-Threat-Counter-Exploitation-ebook/dp/B008G05DDA

https://www.securityartwork.es/2017/01/13/la-cci-rusa-ix-grupos-apt/

https://en.wikipedia.org/wiki/Advanced_persistent_threat

https://www.secureworks.com/blog/advanced-persistent-threats-apt-a

https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf

https://www.fireeye.com/current-threats/apt-groups.html

https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html

https://en.wikipedia.org/wiki/PLA_Unit_61398

https://www.youtube.com/watch?v=qUXzOvJ2cd0 ( Ciberguerrilla Cyber Guerilla )

https://www.youtube.com/watch?v=0R05oLqxxK8 ( OTAN: respuesta ante un ciberataque )

Ataques Dirigidos – APT’s – Códigos Maliciosos.

Una amenaza persistente avanzada es un conjunto de procesos informáticos con un fin específico, su objetivo es perpetuar los sistemas informáticos y generar persistencia ocultando sus actividades por largos periodos de tiempo, posterior a la infección se escalan privilegios en el sistema de manera total, y continua con el proceso de exfiltración toda clase de información posible.

Utilizan técnicas complejas, silenciosas y estructuradas, previamente se desarrolla ardua inteligencia sobre el objetivo y la infraestructura en cuestión. Estos modelos de ataques suelen ser, dirigidos, críticos y generalmente las empresas que son víctimas, no lo detectan hasta que se hace público, aveces por parte de los atacantes. En otras ocasiones la propia entidad notifica una vez mitigado el mismo, habiendo hecho el análisis “post mortem” del incidente, de esa forma se podría analizar los sucesos y entender como se generó dicho ataque.

Tengamos presente que llamamos “información de interés“, a un “todo” como un gran paquete de información, dado que una vez dentro dentro del sistema, ese paquete se comercializa en el mercado negro y gran parte del mismo remite ganancias:

Información de empleados, clientes externos, datos financieros, cuentas de correo electrónicos, datos de la infraestructura, backdoors para posteriores ingresos, herramientas corporativas, licencias de productos MS, documentación privada de altos mandos y documentación de propiedad intelectual.

Todo vale, incluso para posteriores ataques a terceros o involucrados con la empresa atacada (clientes expuestos). Se pueden notar campañas de phishing posteriores a estos grandes ataques.

Sabemos que estos grupos actúan de forma profesional, por lo que también el código y las metodologías de ataque lo son, utilizan técnicas complejas y avanzadas, he ahí una de las razones por las cuales lleva tiempo ser detectados.

Las metodologías de infección van desde:

Exploits 0days.

Phishing.

Vulnerabilidades del tipo WebDav (MS15-089).

Infecciones de unidades USB(BadUSB).

Fuerza bruta de password por defecto en sistemas críticos SCADA (Stunex)

Inyecciones de código malicioso en documentos ofimáticos.

Vulnerabilidades en Navegadores (CVE-2010-0249 y KB939752 IE 7,8 ejemplo)

Drive by Download (JS/Exploit.CVE-2010-0249 y variantes Win32/AutoRun.Delf Win32/Agent.OBZ,)

Las posteriores acciones:

Ofuscan y cifran las comunicaciones con sus CC’s (command control)

Ejecuciones de código mediante librerías nativas del sistema operativo, por lo que los antivirus no pueden detectar movimientos anómalos. (script de powershell)

Cifrado de disco en donde ejecutan sus acciones maliciosas, borrando huellas en el sistema volviéndolo al estado anterior.

Reutilizan o copian el código de distintas muestras o examples, así ocultan su verdadero origen, lo que hace pensar que pueden ser llevados a cabo por los mismos grupos. (o no).

Inician sus acciones en horarios nocturnos, o bien en horas de alto trafico. Pasan desapercibidos por el alto volumen de datos que existe en la red.

Firman sus certificados a nombre de entidades de confianza.

Interacciones vía P2P (en caso de que la comunicación con su CC se anule).

Modifican extensiones y se ejecutan en procesos ocultos del sistema de manera silenciosa.

Vectores:

Java,MS Office, Adobe Reader, IE/Chrome. Recientemente el objetivo fue CClenaner, e inclusive se utilizan repositorios de PlayStore y AppStore para diseminar el malware.

Black Swans relevantes

Operación Aurora (Comele o Hydraq) https://www.welivesecurity.com/la-es/2010/01/21/que-es-operacion-aurora/

Stuxnet https://es.wikipedia.org/wiki/Stuxnet

Duqu https://en.wikipedia.org/wiki/Duqu

Flame, Gauss, miniFlame, Shamoon https://es.wikipedia.org/wiki/Flame_(malware)

Starts https://es.wikipedia.org/wiki/Stars_(virus_inform%C3%A1tico)

USB Thief https://es.wikipedia.org/wiki/USB_Thief

Conclusiones y Recomendaciones :

Podríamos afirmar que estos ataques por sus facilidades de ejecución, son bastante efectivos a la hora de infectar usuarios y equipos, son de garantía para los atacantes y el éxito del mismo. El hecho de abrir un link infectado o ingresar vía un navegador vulnerable es lo que preocupa, ya que existe la “mínima” interacción con el usuario.

Las empresas y sus vulnerabilidades criticas generan un clima ideal para que estas propagaciones en masa sean efectivas, por otro lado logran un gran volumen de infecciones en muy poco tiempo.

Como usuarios responsables que somos, debemos atender los parches y actualizaciones de nuestras aplicaciones y sistema operativo, ninguna aplicación esta excluida. La negligencia de las personas a la hora de asegurar los sistemas, ayudan al éxito de este método.

Por ultimo existe otro escenario para las grandes corporaciones a la hora de aplicar parches y actualizaciones. Las empresas que prestan servicios deben analizar su proceso de implementación. Se debe llevar a un nivel de “stress” tal, que les “garantice efectividad y seguridad.” Aplicar tales cambios.

Hay un largo camino y mucho trabajo por delante. Todos podemos aportar. Gracias por su visita.

Fuentes y recomendaciones a leer:

https://www.wired.com/story/iran-hackers-apt33

https://www.cronista.com/financialtimes/Hackers-rusos-apuntan-al-candidato-frances-Macron-20170426-0027.html

https://www.welivesecurity.com/wpcontent/uploads/2015/11/Guia_respuesta_infeccion_malware_ESET.pdf

https://www.welivesecurity.com/la-es/2017/09/01/phishing-credenciales-de-mastercard/

https://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica

https://www.welivesecurity.com/la-es/2017/09/21/falso-documento-de-afip-vulnerabilidad/

https://www.securityartwork.es/2017/01/13/la-cci-rusa-ix-grupos-apt/

http://blog.segu-info.com.ar/2017/05/snaketurlauroburos-apt-dirigida-osx.html

https://www.wired.com/story/iran-hackers-apt33

http://www.pandasecurity.com/spain/mediacenter/pandalabs/webinar-ataques-dirigidos/ (incluye videos)

 

Robots Multiuso y Militares

Desde robots jardineros, músicos, trabajadores agrícolas, cocineros, avicolas y periodistas. Dos grandes firmas como ser Abundant Robotics y Associated Press nos hacen llegar estas maravillas que pretenden “aliviar y mejorar” desde la producción en los campos, medir la temperatura del suelo y garantizar un mejor cultivo y producto final.

Recuerdo por aquel entonces al ver “Volver al Futuro” en donde veíamos sesiones virtuales en la TV tipo Skype , parecía tan legano y hoy tenemos hasta copilotos androides,  nos aconsejan por donde ir  y “ayudan” al conductor recomendando como actuar. Nos garantizan seguridad y disminución del riesgo vial.

Y como no puede ser de otra forma, nos toca mencionar la otra cara de la realidad. Sabemos que los gobiernos, por su capacidades y recursos, e intereses y otros detalles que no vienen al caso. Incursionan en la tecnología mucho antes que la sociedad lo tenga en el día a día. (Arpanet/Milnet y hoy en día Internet).

Sin ir mas lejos me gustaría mencionar algunas características de los Robots Militares, autónomos o robots móviles a control remoto diseñados para contra-espionaje o contra-inteligencia, investigación de terreno, pudiendo soportar situaciones hostiles, sea por la flora y fauna, pudiendo acceder a lugares que el ser humano no podría, o bien por sus “habilidades configurables de combate y persistencia en el terreno”.

Data desde la Segunda Mundial con el Modelo Predator MQB-1, los primeros resultados obtenidos por la CIA, una unidad aérea pretendía obtener datos para inteligencia. Como mencionamos antes el objetivo principal, seria que estas unidades sean “totalmente autónomas” y no tripuladas por ejemplo : IAI Pioneer & RQ-1 Predator equipados armas del tipo misiles tierra-aire.

El limitante lo impone la manipulación de armas de fuego, es ahí donde el ser humano actúa, tomando el mando y controlando la unidad, de esta forma se “garantiza” que el objetivo este dentro del área de alcance y sea “Seguro” disparar. Según el convenio de Ginebra y las leyes de guerra, esto se debe respetar. 

Por otro lado Rusia inicio sus actividades en la materia entre 2014 y 2015, su objetivo es cubrir todos los entornos: agua, tierra, aire.

En la actualidad se están desarrollando los requisitos técnicos y los estándares de uso.
Además, hay una serie de cuestiones importantes que se tienen que resolver: la sustitución de las importaciones, el establecimiento de criterios claros en las pruebas y una cooperación efectiva entre la industria de defensa y el Ministerio.

Modelos actuales en distintos países.

DRDO Daksh
Elbit Hermes 450 (Israel)
Geoalkeeper CIWS
Guardium
IAIO Fotros (Irán)
PackBot
MARCbot
RQ-9 Predator B
Predator RQ-1
TALON
Samsung SGR-A1
Shahed 129 (Iran)
Gladiator Tactial Unmanned Ground Vehicle (Marines EEUU).
Soviético TT-26 teletank, febrero 1940
Foster-Miller TALON SWORD

Referencias:

10 Robots Militares mas avanzados del mundo

Las 6 letes dela robótica

Leyes de Ginebra

Rusia presenta sus nuevos Robots Militares

Definición Robot Militar Wikipedia

Robots Multiuso:

La rebelión de las maquinas, robots que reemplazan a los soldados

Bienvenidos

Aquí podrán encontrar todo lo relacionado a la InfoSec, Malware, OSINT, Seguridad defensiva y ofensiva, reviews de algunas tools de interés, desde una óptica personal y tratando de evidenciar los hechos, según las fuentes que tengamos disponibles.

Sin otro particular, les doy la bienvenida a mi espacio, espero puedan encontrar de interés este material y aprendamos todos.