La identidad del grupo que realiza un ataque cibernético dirigido es la única interrogante que todo el mundo quiere resolver, a pesar del hecho de que es casi imposible establecer con precisión quiénes son en realidad los autores.
Para demostrar la creciente complejidad e incertidumbre de atribuir esas acciones en el panorama actual de la inteligencia contra las amenazas, dos expertos de Kaspersky Lab han publicado un documento que revela cómo los creadores de las amenazas más avanzadas utilizan las denominadas operaciones de banderas falsas (False Flags) para engañar a las víctimas y a los investigadores de seguridad.
Los indicadores que más utilizan los investigadores para sugerir de dónde provienen los ataques, junto con ilustraciones de cómo han sido manipulados por una cierta cantidad de creadores de amenazas conocidas, incluyen:
• Marcadores de tiempo (Timestamps)
Los archivos del malware llevan una marca de tiempo que indica cuándo fueron compilados. Si se recolectaran suficientes muestras relacionadas, podrían determinarse las horas de trabajo de los desarrolladores, y esto, a su vez, sugeriría un huso horario general para sus operaciones. Sin embargo, este tipo de marcas de tiempo se puede alterar con asombrosa facilidad.
• Marcadores de idioma (Language markers)
Los archivos de malware, a menudo, incluyen cadenas y rutas de depuración que pueden dar una idea de los autores del código. La pista más obvia es el idioma o idiomas utilizados, así como el nivel de dominio del idioma. Las rutas de depuración también pueden revelar un nombre de usuario, así como las convenciones de nombres internos para proyectos o campañas. Además, los documentos de phishing pueden estar repletos de metadatos que guardan una información de estado que apunta a la computadora real del autor.
Sin embargo, los agentes de amenazas pueden manipular fácilmente los marcadores de idioma para confundir a los investigadores. Entre las pistas engañosas de idiomas dejadas en el malware por el agente de amenazas Cloud Atlas se encuentran cadenas de caracteres en árabe para la versión de BlackBerry, caracteres en hindi en la versión para Android y las palabras ‘JohnClerk’ en la ruta proyectada para la versión de iOS, a pesar de que muchos sospechan que el grupo tiene en realidad una conexión con Europa del Este. El malware utilizado por el agente de amenazas Wild Neutron incluía cadenas de idiomas en rumano y ruso.
• Infraestructura y conexiones secundarias (back-end)
La búsqueda de los verdaderos servidores de comando y control (C&C, por sus siglas en inglés) que utilizan los malhechores es como buscar su domicilio. La infraestructura de C&C puede ser costosa y difícil de mantener, por lo cual, hasta los atacantes que disponen de buenos recursos tienden a reutilizar una infraestructura C&C o de phishing.
Las conexiones secundarias o de back-end pueden dar una idea de la identidad de los atacantes, si estas no logran el anonimato adecuado en las conexiones a Internet al acumular datos de un servidor de correo electrónico o de exfiltración, al preparar a un servidor intermediario o de phishing o al verificar a un servidor pirateado.
A veces, este “fracaso” es intencional: Cloud Atlas trató de confundir a los investigadores mediante el uso de direcciones IP que se originaban en Corea del Sur.
• Kits de herramientas: malware, código, contraseñas, exploits
A pesar de que algunos agentes de amenazas ahora dependen de herramientas que están a disposición del público, muchos todavía prefieren construir sus propias puertas traseras personalizadas, herramientas de movimientos laterales, así como exploits, y los custodian celosamente. La aparición de una familia específica de malware puede, por tanto, ayudar a los investigadores a descubrir a un agente de amenazas.
El agente de amenazas Turla decidió aprovechar esta suposición cuando se vio acorralado dentro de un sistema infectado. En lugar de retirar su malware, instaló una rara pieza de malware chino que se comunicaba con infraestructura localizada en Beijing, nada que ver con Turla. Aunque el equipo de respuesta a incidentes empleado por la víctima persiguió al programa malicioso, Turla desinstaló en silencio su propio malware y borró todas las pistas de los sistemas de la víctima.
• Víctimas objetivo
Los objetivos de los atacantes también son potencialmente reveladores, pero establecer la conexión correcta requiere la interpretación y análisis de expertos. Por ejemplo en el caso de Wild Neutron, la lista de víctimas era tan variada que confundió la identificación.
Además, algunos agentes de amenazas abusan del deseo público de un vínculo claro entre el atacante y sus objetivos, funcionando bajo la cubierta de un grupo hacktivista (a menudo inexistente). Esto es lo que intentó el grupo Lazarus, al presentarse como los ‘Guardianes de la Paz’ cuando atacó a Sony Pictures Entertainment en 2014. Muchos creen que el agente de amenazas conocido como Sofacy ha implementado una táctica similar, haciéndose pasar por una serie de grupos hacktivistas.
Por último, pero no menos importante, a veces los atacantes tratan de incriminar a otro agente de amenazas. Este es el método adoptado por el agente Tigermilk[i], hasta ahora no identificado, que firmó sus puertas traseras con el mismo certificado robado que anteriormente había utilizado Stuxnet.
“Atribuir los ataques dirigidos es complicado, poco confiable y subjetivo, y cada vez con mayor frecuencia, los agentes de amenazas buscan manipular los indicadores que utilizan los investigadores, creando así más confusión. Creemos que identificar con precisión es casi imposible. Por otra parte, contar con inteligencia sobre estas amenazas tiene un valor profundo y amplio que va mucho más allá de la pregunta ‘¿quién lo hizo’. Hay una necesidad global de conocer a los principales depredadores en el ecosistema del malware y de proporcionar inteligencia sólida y viable a las organizaciones que la deseen… ese debe ser nuestro enfoque”, dijo Brian Bartholomew, investigador de seguridad de Kaspersky Lab.
Para saber más acerca de cómo las ‘banderas falsas’ se utilizan para confundir la identificación en los ataques dirigidos, lea el blog en Securelist: https://securelist.com/analysis/publications/76273/wave-your-false-flags/
Para obtener más información sobre el servicio de informes de inteligencia APT de Kaspersky Lab, por favor visite:https://latam.kaspersky.com/enterprise-security/apt-intelligence-reporting
Acerca de Kaspersky Lab
Kaspersky Lab es una compañía mundial de seguridad cibernética fundada en 1997. La experiencia de Kaspersky Lab en seguridad e inteligencia contra las mayores amenazas se traduce constantemente en soluciones de seguridad y servicios de protección a empresas, infraestructura crítica, gobiernos y consumidores de todo el mundo. La amplia cartera de seguridad de la compañía incluye una destacada protección de terminales y numerosas soluciones de seguridad y servicios especializados para combatir las amenazas digitales más avanzadas y en desarrollo. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que más les interesa. Obtenga más información en www.kaspersky.com.