Revista Gerencia (Chile): Ataques a bancos y cajeros automáticos en la Región siguen en aumento

http://itclat.com/2014/12/17/turla-007/

Dmitry Bestuzhev, Director de Investigación y Análisis para Kaspersky Lab en América da a conocer detalles sobre la Operación Turla

Ante los rumores que circulaban en el underground del mundo de la seguridad informática, comenzamos a investigar sobre los detalles de la operación Turla y sus ramificación, para lo cual efectuamos una entrevista a Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina

 1.¿Cómo fue identificado el troyano Turla sobre redes Linux?

El archivo original que dio origen a toda investigación fue subido por alguien a uno de los multi-scanners en Internet. Este, a pesar de ser para Linux, tenía algunas similitudes técnicas con sus versiones para Windows. Esto llamó inmediatamente nuestra atención y dio inicio a la investigación. Vale la pena recalcar que por primera vez la muestra fue subida al Internet desde uno de los países de Europa Occidental.

2.¿Se presume algún origen de esta ATP?

Es razonable creer que el origen de la muestra para Linux es la misma que para Windows, es decir es el mismo actor que está detrás.

Por el momento es temprano hacer una atribución clara ya que las evidencias no son completas. Pero se trata de un actor con mucho peso tanto científico, como operacional.

3.¿Por qué resultaba tan complejo para detectar?

Por un lado las muestras de cualquier APT son limitadas en su distribución y esta de hecho no es masiva. Las víctimas son seleccionadas de una manera cuidadosa y es por esto que no existe una forma fácil de llegar a esas máquinas que muchas veces son manejadas por el personal autorizado únicamente. Uno de los vectores de infección utilizados en la campaña fue e-mail. Los mensajes de correo electrónico con los adjuntos embebidos de exploits se enviaban a dirección bien específicas y quedaban allí. Así que esto era una especie de círculo cerrado difícil de penetrar para un investigador.

4.¿Cómo fue la dispersión del troyano? ¿cuántos países fueron afectados?

Si hablamos de toda la campaña que incluye los implantes para todas las plataformas, la lista de víctimas está compuesta por lo menos de 24 países de varias regiones del mundo. Además hay víctimas que no se puede identificar claramente y que se encuentran clasificadas como internacionales.

La lista completa de víctimas expuesta en un gráfico se puede encontrar aquí http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2014/08/Uroburos_26.jpg

Entre los países que hablan español y que son víctimas del Turla, están España, Chile y Perú.

5.¿Considera que los ATP han abierto una puerta al espionaje industrial?

Diría lo contrario, pues la necesidad que tienen los actores del espionaje industrial y la penetración de Internet junto al uso masivo de tecnologías en los ambientes industriales y otros que pertenecen a las infraestructuras críticas, ha hecho que estos actores ahora usen malware como herramientas APT que les permiten de forma remota llevar a cabo campañas de espionaje. El espionaje industrial ha existido siempre pero era limitado porque alguien físicamente ubicado en una planta o en un país, tenía que robar datos confidenciales y luego entregarlos. En este momento este escenario ha sido reemplazado por completo. Las APTs permiten de forma remota, anónima y más barata lograr dichos objetivos.

6.¿Qué otras plataforma ha afectado Turla?

Entre las confirmadas se encuentran dos: Windows y Linux. Los hallazgos que tenemos en este momento, me refiero a las muestras de malware, son capaces de correr en estas dos plataformas mencionadas.

7.¿Cómo pueden las compañías identificar este vector y eliminarlo?

En este momento la manera más fácil de hacerlo es instalando los productos de seguridad de Kaspersky ya que incluyen firmas de detección heurísticas y exactas para esta amenaza. Otra manera es utilizar los indicadores de compromiso que publicamos en nuestro documento de identificación de la amenaza, revisando las máquinas de forma manual o semi-manual.

Los indicadores de compromiso se encuentran documentados aquí https://securelist.com/files/2014/08/KL_Epic_Turla_Technical_Appendix_20140806.pdf

8. El tráiler de la película “Black Hat” comienza con una frase que dice: “El próximo Perl Harbor puede ser un ciber ataque” ¿qué opinión le merece? 

Hay muchas especulación hoy pero uno tiene que recordar algo importante. Si una nación u otro actor poderoso lanzara uno de los ataques cibernéticos que se podría asemejar a un “Perl Harbor”, entonces la respuesta de la víctima – el blanco atacado, de seguro daría una respuesta física militar. Es decir, una “guerra cibernética”, como tal vez se la imagina, no puede existir sin una guerra convencional. Pero si alguien se pregunta, y ¿qué es lo que estará pasando ahora? Diría que vivimos en una época de ataques de sabotaje y ciberespionaje silenciosos y no frontales pero no hablamos de una guerra.

9.Eugene Kaspersky habla de una ciberguerra ¿Podemos considerar  que Regin y Turla, son las primeras escaramuzas?

Lamentablemente Regin y Turla no son las únicas armas cibernéticas utilizadas para espiar y sabotear. Podemos recordar otros ataques como Stuxnet, Flame, Duqu, Machete, Careto, etc. Esta es una tendencia, de año a año vamos a ver más y más ataques dirigidos. De hecho actualmente tenemos una tendencia – los grandes actores están fragmentando sus grupos, de modo que aparecen más actores pequeños, son grupos que van a lanzar más ataques que todavía van a ser dirigidos.

10.En el último half de 2014 vimos varias operaciones de alto impacto, los gobiernos de la región ¿cómo reaccionaron?

Realmente es difícil decirlo como haya reaccionado cada país en particular pero la tendencia general es que varios países anunciaron la creación de centros de ciberdefensa con todo lo que implica esto: planes, herramientas, personal y presupuestos dedicados junto a los acuerdos de cooperación.

Este es como el efecto de domino. La verdad es que no se lo puede parar. Más y más países están comenzando a armarse cibernéticamente hablando.