martes, 26 de febrero de 2013

China, ciberguerra y el informe Mandiant (I)

Recientemente han aparecido en la prensa noticias sobre la supuesta responsabilidad del Ejército Chino en ataques y robos de información a empresas y organismos. Por supuesto el Gobierno Chino lo ha desmentido.

El origen de esta información ha sido un informe emitido por la empresa Mandiant, especialista en seguridad informática.

Es informe  se puede descargar desde este enlace y sin ser demasiado extenso ni profundo dice cosas muy interesantes y que merecen ser explicadas.

Empieza el informe indicando que lleva investigando desde el 2004 a los grupos más activos en ataques, reconoce que tiene identificados a más de 20, a los que llama APT (Advanced Persistent Thread). Curiosamente la amenza china es el APT1. Lo que es toda una declaración de intenciones de que empezaron por China.
Es de suponer que entre esos grupos APT se encuentren también grupos como Anonymous.
Así define a la APT1

  y más adelante aclara con un organigrama este galimatías.


Poco clara el informe sobre el tamaño de esta unidad. Habla de varios cientos quizá miles de personas con al menos alguna de las siguientes habilidades:


Y las dimensiones de los recursos son espectaculares:

Miles de sistemas dedicados en casi 1000 Centros de Control diseminados en 13 paises, aunque la mayoría de estos centros de control está en la propia china (según demuestran las IP's obtenidas).

Antes de entrar en otras cuestiones indicaré que la mayoría de los ataques están dirigidos a la industria:


Siguiendo un patrón clásico.

En este sentido poca novedad aporta APT1:

  • Reconocer
  • Penetrar
  • Escalar privilegios
  • Mantener el acceso. 

Según la fuente la principal forma de comprometer lo sistemas es mediante ataques de phishing. Sí, sí, la ingeniería social está detrás
APT1 mediante en la fase reconocimiento inicial identifica nombres y personas del objetivo y crea falsas cuentas de correo a través de las cuales se dirige a otros empleados.

¿Quien desconfiaría de un correo dirigido por el CEO de la compañía, usando el lenguaje habitual y todos las firmas, logos e imagén de los correos corporativos?
Y si además tenemos un anexo tan tentador como este:

 Una buena ingeniería social hará que este correo se mande solo a las personas adecuadas y en los momentos adecuadas.

Una vez un sistema está comprometido el siguiente paso es abrir una puerta trasera. Normalmente, y para evitar a los cortafuegos pobremente configurados la puertas traseras son activas, es decir hace que los equipos infectados se conecten al atacante.
Esta técnica también tiene un punto débil: hace más complicado camuflar la dirección IP del atacante. Aunque parece que los amigos de APT1 tampoco eran demasiado escrupulosos en ese sentido porque según dicen en el resumen el 97% de los ataques identificados provenían de direcciones registradas en Shangai.

Este es uno de los puntos que sirven al Gobierno Chino como argumento para negarlo todo. Lo poco determinante que puede ser una dirección IP para demostrar una autoría.

Las siguientes etapas siguen el manual: obtener los hashes de las contraseñas para poder efectuar ataques de fuerza bruta offline, explorar el entorno  y obtener un sitio seguro donde colocar las puertas traseras que nos garanticen el acceso durate el tiempo necesario para sacar la información deseada.

Por no alargarme demasiado doy punto final a este post y deja para un futuro post un estudio de los recursos usados por APT1 para llevar a cabo los ataques.


No hay comentarios:

Publicar un comentario