Creo que sobra decir que en la actualidad Internet se ha vuelto un campo de batalla, donde las guerras se libran día sí día también bajo una aparente calma.
De vez en cuando, alguna noticia llega a oídos del gran público. China ataca a una empresa americana, Rusia aporta digitalmente recursos para la guerra de Ucrania, o EEUU es pillado espiando a X país aliado,… Todo sin llamar a James Bond y sin salir de la comodidad de sus centros de inteligencia.
En uno de los últimos reportes de Kaspersky, hablaban sobre uno de estos temas que parecen tabú en la sociedad de la información del siglo XXI: la importancia que están tomando los ataques dirigidos (EN) en esta nueva Guerra Fría digital, secundados (y ofuscados) habitualmente bajo ataques de Denegación de Servicio.
Así es que en este artículo de la la serie #MundoHacker, veremos qué tipologías de ataques cibernéticos están siendo utilizados en esta guerra, así como sus similitudes y diferencias, centrándonos en aquellos denominados Ataques Dirigidos. Comencemos.
Índice de contenido
Rifles de francotirador frente a la artillería pesada
El primer punto que quería tratar es la diferencia estratégica entre realizar ataques puntuales muy específicos o bombardear a lo burro todo lo que se pone a tiro.
Una cosa no quita la otra, y como decía por arriba, no es raro encontrarse con que un ataque de denegación de servicio sirve para atraer la mirada del equipo de ciberdefensa mientras por otro lado se realiza el verdadero ataque.
Así, tanto en uno como en otro escenario, vivimos una paulatina sofisticación de ataques, alejados ya del abuso forzado de recursos.
Los ataques de denegación de servicio, que podemos considerar la artillería pesada, ocurren bajo clientes que anteriormente han sido infectados, y que sin conocer la situación, están apoyando la causa. Ya no es necesario contar con cientos de ordenadores y conexiones para realizar masivamente peticiones que acaben por tirar los recursos del servicio web objetivo, sino tan solo alquilar dichos dispositivos en una botnet anteriormente creada.
Veíamos recientemente el ataque de China a GitHub como ejemplo de la evolución del DDoS. A China le bastó con redirigir el tráfico IP de menos del 2% de usuarios extranjeros de Baidu para transformar a esos clientes en pequeños nodos de ataque, que juntos tumbaron la web objetivo.
Todo sin que los propios clientes se dieran cuenta. Todo a un precio prácticamente ridículo.
Pero en cambio, hay veces que el objetivo no es causar el mayor daño posible de golpe, sino o bien obtener la máxima información comprometida posible, o bien causar el máximo daño posible sin levantar sospechas.
Así es como llegamos a los ataques dirigidos, que podemos distinguir entre dos tipos.
APT: Advanced Persistent Threat
La amenaza avanzada persistente sería un tipo de ataque dirigido muy sofisticado, habitualmente llevado a cabo por perfiles especializados y con grandes recursos, en el que el objetivo es pasar el mayor tiempo posible «dentro» de la víctima, para causar el mayor daño posible.
Recurren a todas las herramientas habidas y por haber para la consecución de este objetivo: Desde malware, pasando por ingeniería social, phishing y vulnerabilidades.
Un ataque de este estilo empieza habitualmente con la recopilación de información de los posibles trabajadores de la compañía objetivo mediante técnicas OSINT cuyo perfil tiende a no ser crítico, y por ello, suelen tener una política de protección más flexible.
El objetivo de esta fase es conocer las debilidades del eslabón más débil de la cadena: el usuario. Y para ello las redes sociales, como ya hemos demostrado en más de una ocasión, son una herramienta potentísima.
Recopilada toda esa información, se procesa y se buscan los puntos débiles de esa persona. El resultado de ese análisis dará al atacante una idea de por dónde puede comenzar el APT, que habitualmente se sirve de estrategias de phishing (emails haciéndose pasar por otro amigo o superior) e ingeniería social (llamadas de teléfono del supuesto equipo de soporte) para conseguir acceso al terminal de la víctima.
Desde él, se mapea la red, se instala el malware adecuado para asegurarse un acceso remoto, y con paciencia, se va escalando en el organigrama hasta la consecución de los objetivos iniciales.
Son ataques por tanto que pueden durar meses, años o incluso décadas. Se mantienen en un continuo segundo plano, recopilando información y corrompiéndola levemente para evitar llamar la atención, hasta que llega un punto en el que quizás todos esos pequeños cambios que durante todo este tiempo han realizado terminan por ser catastróficos para ese organismo, como le ocurrió en su día a la producción de uranio en Irán mediante el gusano Stuxnet.
AVT: Advanced Volatile Threat
Frente a la estrategia común de un APT (pasar desapercibido durante mucho tiempo), los AVT se encargan de realizar un objetivo específico y desaparecer del entorno lo antes posible.
Su forma de trabajar es semejante, a diferencia de que estos no dejan rastro en los sistemas una vez han obtenido lo que buscaban, al guardarse en memoria RAM y no en el disco duro.
El ciclo de vida de este tipo de amenazas es también distinto. Mientras que un APT puede estar décadas en funcionamiento, los AVTs entran, realizan su cometido, y desaparecen en apenas unas horas.
Tan pronto esa máquina se reinicie, lo único que quedará del ataque son las consecuencias, lo que les vuelve un vector de ataque muy potente en entornos de espionaje.
¿Estamos preparados para defendernos de este tipo de ataques?
Esta es la duda que me queda. La mayoría de las defensas con las que contamos no cubren todo el perímetro de posibles vectores de ataque.
Tampoco están preparados para campañas capaces de operar durante meses a muy bajo nivel, sin levantar sospechas. Las herramientas defensivas que tenemos buscan activa o pasivamente registros sospechosos. Acciones extrañas que se salen de lo normal dentro del conjunto de acciones esperables en ese entorno.
Pero ¿y si todas las acciones que se realizan entran dentro de los límites esperables? Cuando el tiempo no es un problema, diminutos cambios en la rutina durante muchos días pueden en definitiva hacer más daño que un ataque masivo.
[Tweet «.@PYDotCom: ‘¿Conoces las diferencias y similitudes entre ataques APTs y AVTs?'»]
Eso sin olvidarnos que para el eslabón más débil de la cadena no hay antivirus posible. El usuario suele ser el principal vector de ataque, al que se le engañará para hacerse con el control, con sus permisos y sus acciones, de la máquina desde la que trabaja.
Sabiendo todo esto, ¿qué podemos hacer desde dentro de una organización para defendernos de este tipo de amenazas?
- Contar con las medidas de seguridad perimetrales esperables: Y con esto quiero decir que tanto el antivirus, como el firewall, como los posibles WAFs e IDS/IPS deben poder comunicarse entre sí. Por si solos seguramente van a ser ineficientes, pero quizás si trabajan en conjunto un aviso de uno de ellos, con el log de otro y con un reporting de un tercero acaben en definitiva lanzando una alerta.
- Mantener todos los sistemas actualizados: Esto es de primero de hacking. Una vez se elige la víctima, lo segundo es conocer las tecnologías con las que se enfrenta a diario, con el fin de ver cuáles de ellas no están actualizadas y por tanto son vulnerables a algún ataque específico. Si mantenemos actualizados todos los sistemas informáticos (o al menos, y en el caso de que alguna tecnología, por requisitos del trabajo, no esté actualizada, esté convenientemente monitorizada y bloqueada mediante defensas perimetrales) minimizamos enormemente el riesgo, al tener los malos que utilizar 0days para el ataque (mucho más caros y difíciles de encontrar).
- Formar al usuario: Desde los de arriba hasta los de abajo, ya que cualquiera puede ser objetivo. Concienciar a cada trabajador a aplicar la lógica que habitualmente aplica en el mundo físico en el mundo digital. Si algo huele a podrido, previsiblemente es que en verdad lo está.
Y con estos tres puntos estaremos en una posición ventajosa respecto a la mayoría de organizaciones. Igualmente podremos ser víctimas de un ataque de este estilo, ya que si los otros cuentan con recursos y tiempo suficiente, como veíamos recientemente con el caso de Equation Group, es probable que en algún punto encuentren una guardia baja por la que entrar.
Pero les va a costar muchísimo más. Tanto que quizás los beneficios acaben por no ser rentables, y de eso precisamente se trata.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Como herramienta contra atp esta
Fireeye, para los avt está un buen siem integrado a los demás componentes de seguridad informática existentes en la compañia.
Buen aporte Pilo. Dx. Muchas gracias.
Buen artículo Pablo. Claro y conciso para quienes no entienden mucho del tema. Mi posición sobre seguridad informática comienza en la importancia de que la alta gerencia, no importa el tamaño de la compañía, tome consciencia de los riesgos, se asesore y tome medidas pertinentes. Y es importante entender que la seguridad informática no es un producto. La seguridad informática es un proceso.
Cuánta razón FVESGA, cuánta razón. Incluso iría más lejos. La seguridad afecta cada vez más al negocio.
Si no hay una planificación y ejecución adecuada, acaba transformándose en pérdidas económicas.
El principal problema que encontramos dentro del sector es que quitando algunos sub-sectores (por ejemplo, el del riesgo informático), resulta muy complicado medir el peso que la seguridad tiene en el business de una gran compañía.
Es decir, el riesgo es cuantificable (este año hemos evitado la fuga de X miles de datos que se traducirían en X miles de euros/dólares), pero ¿qué medimos en ciberseguridad? Porque cuando una buena política de ciberseguridad funciona, precisamente el resultado es que no hay resultados.
Ahí quizás está el discurso que nosotros como profesionales del sector deberíamos estudiar a fondo, para poder defenderlo ante aquellos que toman las decisiones, y que están acostumbrados a otros paradigmas más cuantificables (RRHH, contabilidad, IT,…).
Claro Pablo. Allí es donde nos lleva la falta de previsión, a las pérdidas económicas. Por aquí, es muy usual reaccionar después de los incidentes. Cuando la directiva se ve enfrentada a la pérdida de información, al hackeo de infraestructuras es cuando reacciona y busca al rarito ese que le ha mencionado muchas veces las falencias en seguridad y recurre a pedir ayuda desesperada. Es decir, terminamos convertidos en una unidad de bomberos apaga incendios. En medio del desconocimiento muchos directivos no ven con buenos ojos la inversión en tecnologías y procesos que cuando mejor hacen su trabajo, más silencio producen.