APT: Espionaje económico, versión 2.0

 Antiguamente, el espionaje industrial implicaba sobornar a personas de la organización a la que se iba a espiar, o infiltrar en ella a agentes encubiertos con el objetivo de robar sus secretos. Todos tenemos en la memoria la típica imagen del espía con una mini-cámara, haciendo fotos de documentos secretos de manera furtiva o la de agentes en el interior de una furgoneta camuflada escuchando durante horas las conversaciones de las líneas telefónicas pinchadas…

Hoy en día, en un mundo de empresas hiperconectadas a Internet, el espionaje industrial es mucho más sencillo y barato (y si se me permite, mucho menos glamuroso). Los agentes encubiertos de hoy en día son programas informáticos infiltrados en los equipos de la empresa víctima. Dichos programas espía son controlados remotamente, quizás desde miles de kilómetros de distancia, por organizaciones que recolectan gigabytes de información de decenas de empresas víctimas.  Pero, ¿cómo podríamos definir de manera más formal este tipo de ciberespionaje económico?:

Se trata de una forma de espionaje industrial realizada mediante la infiltración electrónica en una entidad, con el objetivo de acceder a información confidencial / secreta de la misma para usarla en beneficio de los organizadores del ataque.  Este tipo de ciberespionaje cae dentro de la categoría de los llamados APT, abreviatura de la versión en inglés de Amenaza Persistente Avanzada y suele estar caracterizado por:

  • Ser un tipo de ataque diseñado y orientado específicamente contra objetivos concretos seleccionados (compañías de tecnología, centrales nucleares, Transporte, Bancos…), alcanzando en algunos casos un alto grado de personalización.
  • La infiltración se realiza mediante técnicas de hacking, infectando equipos de la red informática de la víctima con programas espía que habilitan puertas traseras desde las que pueden ser gestionados remotamente por los atacantes.
  • Son ataques que no suelen ser detectados por los sistemas de seguridad convencionales y sus actividades encubiertas se extienden durante meses e incluso años. Ocultan su actividad camuflándola entre el tráfico legítimo y borran diligentemente las huellas de su actividad.

¿Qué información suele ser objeto de robo?

Analizando el tipo de información que más frecuentemente suele ser robada por este medio, podemos hacernos una idea más clara de por qué este tipo de APT es un “negocio en alza”:

  • Correos electrónicos de los miembros de la alta dirección; actas de reuniones
  • Información sensible sobre adquisiciones, ventas, fusiones
  • Información sobre licitaciones, concursos y procesos de contratación
  • Documentación relacionada con diseño y desarrollo de nuevos productos o servicios
  • Documentación de procesos industriales propietarios
  • Planes de negocio o márketring,
  • Contraseñas de acceso a sistemas críticos usadas por los empleados; claves de cifrado
  • Contraseñas de acceso de usuarios a servicios ofrecidos online por la empresa
  • Definición de controles de seguridad
  • Bases de datos de clientes, usuarios o proveedores.

Las consecuencias del robo de información resultado de un APT son evidentes: pérdida de contratos o licitaciones; pérdida de clientes; pérdida de ventaja competitiva; daño reputacional; pérdidas por sanciones o demandas; pérdidas por fraude…

Cualquiera puede ser víctima

Este tipo de ataques APT se ha hecho célebre en los últimos años a partir de la repercusión en los medios de ataques a empresas como Sony, Google o RSA.  Cualquiera puede llegar a esta obvia conclusión: Si  un gigante líder de la seguridad como es RSA ha sido víctima de un ataque de esta naturaleza, sin que pudiesen evitar el robo de información crítica para la seguridad y confianza en sus dispositivos SecureID;  entonces  cualquier empresa puede ser víctima.

March 18, 2011

Open Letter to RSA Customers

Like any large company, EMC experiences and successfully repels multiple cyber attacks on its IT infrastructure every day. Recently, our security systems identified an extremely sophisticated cyberattack in progress being mounted against RSA. We took a variety of aggressive measures against the threat to protect our business and our customers, including further hardening of our IT infrastructure. We also immediately began an extensive investigation of the attack and are working closely with the appropriate authorities.

Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT). Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack. We are very actively communicating this situation to RSA customers and providing immediate steps for them to take to strengthen their SecurID implementations.

We have no evidence that customer security related to other RSA products has been similarly impacted. We are also confident that no other EMC products were impacted by this attack.

Extracto del comunicado a los clientes emitido  por el CEO de RSA, reconociendo la infiltración y el robo

En un reciente informe de la prestigiosa empresa de seguridad Mandiant sobre el tema, se da cuenta de los sectores de las empresas víctimas de una de las redes de ciberespionaje económico más activas en los últimos tiempos y radicada en China, la red APT1. La lista está ordenada de mayor a menor en cuanto al número de casos de empresas atacadas en cada sector:

  1. Tecnologías de la Información,
  2. Sector Aeroespacial,
  3. Administraciones Públicas,
  4. Telecomunicaciones y Satélites,
  5. Investigación Científica y Consultoría,
  6. Energía,
  7. Transporte,
  8. Construcción y Manufactura,
  9. Ingeniería,
  10. Microelectrónica,
  11. Organismos Internacionales,
  12. Servicios Legales,
  13. Multimedia, Publicidad y Entretenimiento,
  14. Navegación,
  15. Químicas,
  16. Servicios Financieros,
  17. Alimentación y Agricultura,
  18. Salud
  19. Metales y Minería,
  20. Educación

¿Quiénes están detrás de estas operaciones?

En las últimas semanas se ha hablado mucho sobre la responsabilidad del Gobierno Chino sobre  la red APT1.  Aunque parece evidente que el origen de muchas de estas campañas es el gigante asiático, las evidencias aportadas hasta el momento no parecen permitir una atribución de autoría sólida. Lo que sí está claro, es que siempre que haya beneficio económico; posibilidad de obtener ventaja estratégica de una nación o empresa sobre otra; o la posibilidad de liquidar al enemigo, siempre habrá alguien (sea un estado o una organización criminal) dispuesto a poner dinero para organizar una campaña de este tipo.

Cómo se desarrolla una operación

Vamos a describir brevemente las fases de una operación de este tipo:

Infiltrándose en los sistemas de la víctima

Una vez desarrollado el troyano o programa espía que será usado en la operación, el primer paso consiste en infiltrarlo e instalarlo en algún equipo de la red de la empresa víctima. Como se podrá comprobar, el éxito de esta fase depende en gran medida de que la estrategia usada aproveche al máximo el conocimiento sobre la psicología y el comportamiento humanos, pues la instalación satisfactoria del software malicioso dependerá de que el empleado víctima lleve a cabo determinadas acciones.  Los métodos de distribución más frecuentemente usados son:

  • Correos  electrónicos fraudulentos (Spear Phising):

 En ataques dirigidos, cuando se trata de infiltrarse en una empresa concreta, el método más usado es enviar correos electrónicos especialmente diseñados con archivos adjuntos que contienen el programa espía (troyano).   Una vez el correo electrónico ha llegado a un destinatario apropiado, la infección se produce cuando la víctima accede al archivo adjunto.  Es cuando se abre este archivo cuando el troyano se instala  en el equipo de la víctima.

Los señuelos más usuales suelen ser archivos PDF, XLS, ZIP o en general  archivos MS Office.  La infección suele  llevarse a cabo aprovechando vulnerabilidades de los programas que se usan para acceder a este tipo de archivos. El éxito aumenta en la medida en que se trate de explotar vulnerabilidades muy recientes (Zero Day), para las que todavía no se haya distribuido un parche corrector de seguridad y cuyo aprovechamiento no pueda ser detectado por los sistemas antivirus.

Para que el correo electrónico fraudulento sea efectivo, es necesario un trabajo previo; por ejemplo, para identificar destinatarios concretos del correo electrónico o simular la autoría del mismo de una manera lo más verosímil posible. Para estas labores suele ser muy útil acudir a redes como LinkedIn, las páginas web de las empresas víctimas, notas de prensa, etc…  Lo que está claro es que aquí el ingenio es imprescindible: recientemente se ha registrado el envío de  correos a los departamentos de Recursos Humanos con supuestos currículum que están infectados con el troyano; también recientemente se han registrado casos de envío de supuestas facturas con el objetivo de que puedan ser recibidas por los departamentos de contabilidad.

Fecha: Jueves 14 de Abril 2012  23:27:00
De: Fernando Miranda < ate@fgdf.xc>
Tema: Confirmación abono factura retenida
Saludos,
Les informamos que la factura emitida por ustedes 
por importe de 25.000 euros y que
había sido retenida fue abonada ayer.
Disculpen las molestias y reciban un cordial saludo,

Fernando

  • Puertas traseras instaladas en soportes físicos: USB, tarjetas de memoria, CD/DVD….

 Una técnica más directa aún, es incluir el troyano en un soporte como una memoria USB, una tarjeta SD o un CD y de hacer llegar este dispositivo a la o las personas adecuadas. Esta técnica, puede ser la única posible en entornos donde esté muy restringido el uso del correo electrónico e Internet.  El señuelo suele ser una presentación de un supuesto proveedor,  un informe de una materia relevante para la víctima o un software, una vez más la creatividad aquí siempre será valorable (desde el punto de vista de los criminales, claro).

  •  Redes de Malware (Malnet):

 Este tipo de redes permiten infecciones más o menos masivas de usuarios, por lo que no suele ser el método más frecuente en ataques APT dirigidos a objetivos  concretos. Sin embargo, son la mejor opción para ataques de tipo más general.

Las redes de malware son infraestructuras distribuidas por Internet a gran escala y gestionadas y operadas con el único fin de infectar los dispositivos de usuarios desprevenidos.  Suelen estar camufladas como sitios web “legítimos” y sus reclamos más usuales son:

  • Sitios de pornografía
  • Descarga gratuita de programas (juegos, salvapantallas, barras del navegador…),
  • Desinfección gratuita de pretendidas infecciones del PC o móvil,

Además de este tipo de sitios, estas redes operan infectando directamente sitios web legítimos de modo que éstos se convierten en vectores de propagación de los programas espías. Otras veces se crean páginas con links maliciosos que redirigen a sitios legítimos, pero manipulando el contenido que se visualiza en el navegador. De esta manera las víctimas se pueden infectar  con actos tan “inocentes” como hacer clic en hiperenlaces que aparecen en redes Sociales o en los resultados de una búsqueda.

El éxito de la fase de infiltración será la instalación del troyano en el dispositivo (ej: ordenador) de la víctima.

Estableciendo una cabeza de playa

Una vez instalado en un ordenador de la empresa cliente, lo primero que normalmente hará el troyano instalado es señalizar su existencia al centro de control de los cibercriminales.  El objetivo es habilitar la puerta trasera que les permitirá controlar remotamente el  troyano. Para esta señalización de su presencia, el método más frecuente es usar los mecanismos de comunicación con el exterior  que el empleado víctima tenga, usualmente la conexión a Internet y/o el correo electrónico.  De esta manera, una de las formas típicas en las que los criminales envían comandos de control,  es a través de instrucciones que el troyano puede leer desde una página web, por ejemplo bajo cifrado SSL.

Dentro de las acciones más comunes que se pueden llevar a cabo en remoto de este modo están:

  • Descargar  programas
  • Ejecutar programas
  • Subir a Internet ficheros o enviarlos por correo
  • Crear, borrar, modificar ficheros
  • Abrir una consola de comandos del sistema (ej: cmd.exe)
  • Instalar / ejecutar una utilidad de escritorio remoto
  • Listar directorios, o crearlos, borrarlos y modificarlos
  • Listar, iniciar o parar procesos
  • Explorar y modificar parámetros del sistema
  • Explorar otros usuarios del sistemas y equipos de red
  • Listar usuarios con privilegios de administración del sistema
  • Extraer una lista de las contraseñas de los usuarios del equipo
  • Grabar pulsaciones del teclado o imágenes de la pantalla
  • Parar el sistema
  • Cambiar de usuario conectado

Extendiendo las actividades encubiertas

Una vez habilitada la puerta trasera, lo normal es que los cibercriminales intenten adquirir el máximo grado de privilegios en el sistema, para ampliar el rango de actividades posibles, como por ejemplo, extender la infección a otros equipos de la red. Estas actividades no serán fácilmente detectables porque se camuflarán perfectamente con la de los administradores, cuyas credenciales habrán sido previamente obtenidas mediante el uso de herramientas especializadas de “craqueo” de contraseñas. Esto permitirá establecer una infraestructura resistente que permitirá mantener en el tiempo las actividades sin levantar sospechas.

Extrayendo la información, finalización y borrado de huellas

A medida que la operación progresa, los criminales irán recolectando la información de su interés, la irán comprimiendo y la enviarán al exterior usando los canales encubiertos que hemos descrito anteriormente.  De cara a extender al máximo posible su permanencia, los criminales deberán serán cuidadosos e irán borrando las huellas de su actividad. Ha habido casos en los que esta permanencia se ha cifrado en años.  Lo ideal desde la perspectiva de los criminales será, cumplir con sus objetivos, borrar las huellas y desaparecer sin dejar rastro y sin que nadie se entere nunca de lo sucedido.

Gestión de Riesgos

Como suele suceder en cuestiones relativas al Riesgo Tecnológico, lo primero que hay que saber es que hoy por hoy no existen soluciones milagrosas para prevenir este problema. En un entorno de empresas hiperconectadas a Internet y con múltiples dispositivos accediendo a la red, es muy complejo y costoso establecer medidas para prevenir o aún detectar actividades encubiertas como las descritas. De hecho, siendo realistas, debemos admitir que a pesar de las medidas que se implanten y el dinero que se invierta, el riesgo no puede ser eliminado totalmente. Se trata una vez más de conseguir reducir al máximo y dentro de lo razonable la probabilidad de éxito de una infiltración.

En el terreno de la gestión de riesgos por parte de una empresa hay varios puntos iniciales a tener en consideración:

  • Cuál sería la magnitud estimada del impacto de un incidente de este tipo para la compañía.
  • Cuál es el grado de exposición de la empresa, en base al sector de actividad, volumen de negocio y, sobre todo, a las políticas de navegación de Internet y uso de Correo electrónico por parte de los empleados.
  • ¿Existen sospechas de que se haya producido o este esté produciendo de hecho un incidente de ciberespionaje económico?. ¿Podría este producirse sólo en la organización o también en terceras empresas subcontratadas?

La respuesta a estas preguntas determinará en gran medida el curso de acción a seguir y, sobre todo, el coste y recursos de un eventual plan de mejora. Si hay sospechas de que haya sucedido o se esté produciendo un ataque, la recomendación es que se contacte de inmediato con profesionales para ayudar a confirmar y gestionar el incidente.

Medidas higiénicas básicas…y sus limitaciones

Analizando el modo en que se desarrollan las operaciones de espionaje descritas, es obvio que existen una serie de medidas básicas de seguridad que aunque como hemos dicho no van a prevenir o eliminar el problema por si mismas, son necesarias para reducir la probabilidad de éxito; son pues medidas higiénicas básicas a la hora de poner en práctica una medida de estrategia de defensa en profundidad a múltiples niveles, entre ellas:

  • Tratar de generar, mediante campañas de información a los empleados, la suficiente sensibilidad como para aumentar la probabilidad de que estos puedan detectar y notificar un intento de engaño en fases tempranas. Muchos expertos, sin embargo,  son muy pesimistas sobre este tipo de medidas que han demostrado en numerosas ocasiones su  escasa efectividad.
  • Programa de parcheado sistemático de los dispositivos empleados por los usuarios, cubriendo el Sistema Operativo y las aplicaciones.
  • Compartimentalización de la red y limitación de derechos y privilegios de acceso a los sistemas y la información, de acuerdo a las necesidades operativas y de acuerdo al principio de mínimo privilegio y necesidad de saber.
  • Antivirus instalados y actualizados, firewalls de red y personales, sistemas de detección de intrusiones.
  • Filtrados de contenidos basados en el uso listas negras de sitios a los que impedir la navegación y limitación de las acciones de los usuarios, como por ejemplo descarga de contenidos vía web o el correo electrónico. Una de las principales limitaciones de este tipo de soluciones es el rechazo entre los empleados.

No obstante lo dicho, es necesario saber que los firewalls, antivirus, filtros de contenidos y sistemas de prevención de intrusiones al uso tienen unas tasas de detección de  intrusiones tipo APT muy bajas:

  • Se estima que la tasa de detección media de los sistemas antivirus está alrededor del 30%.  Esto es así porque suele ser habitual que los troyanos  APT estén desarrollados de modo que su “forma característica” o “huella” cambie cada vez que se replica, lo que les hace inmunes a la mayoría de los sistemas. Por otro lado, los troyanos suelen ser liberados, solamente cuando se ha comprobado por parte de sus desarrolladores que son invisibles para la mayor parte de los antivirus del mercado.
  • Los firewalls tradicionales (que permiten o deniegan el tráfico basándose en el análisis de protocolos y puertos permitidos), son ciegos ante este tipo de amenazas, dado que los mecanismos encubiertos de comunicación del software espía con el mundo exterior aprovechan, según hemos visto, el tráfico permitido que atraviesa de manera transparente estos dispositivos (ej: las conexiones https).
  • Los firewalls de nueva generación, por el contrario, han supuesto una opción más eficaz dado que van un paso más allá, permitiendo filtrar el tráfico atendiendo a la naturaleza de las aplicaciones que están siendo ejecutadas e inspeccionar el contenido de las transmisiones. Esto facilita que se puedan detectar protocolos camufaldos fraudulentos por puertos, además de permitir la inspección de tráfico encriptado SSH y SSL. En definitiva permiten unas capacidades de inspección del tráfico y del contenido muy profundas. El gran reto es cómo organizar de manera un proceso eficaz de monitorización en profundidad “sin morir en el intento”.
  • Al igual que los antivirus, los sistemas de detección o prevención de intrusiones (IPS) suelen estar basados en el análisis de patrones previamente definidos (firmas),  por lo que las limitaciones de aquellos sistemas aplican también en este caso.  Las intrusiones APT se aprovechan vulnerabilidades de seguridad inéditas (Zero Day)  por lo que en el momento de la infección ni los antivirus ni los IPS suelen estar preparados para detectarlas. Además, los sistemas de detección/prevención de intrusiones suelen ser difíciles de configurar y manejar, siendo frecuente que generen tasas de alarmas falsas de tal magnitud que no es posible hacer una gestión eficiente de ellas

Es decir, que a las tecnologías de seguridad tradicionales le viene algo grande el problema. En este contexto están empezando a aparecer en la arena compañías que están tratando de abrirse mercado con soluciones avanzadas….pero esto quizás lo tratemos otro día que ya me estoy extendiendo demasiado…

Espero que este post cumpla su objeto de explicar de una forma sencilla los aspectos esenciales de esta problemática, de modo que cada cual pueda hacer su propio análisis de riesgos.  Un fuerte abrazo y hasta pronto.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s