{"id":7803,"date":"2016-10-06T18:09:01","date_gmt":"2016-10-06T18:09:01","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7803"},"modified":"2022-05-05T09:50:40","modified_gmt":"2022-05-05T15:50:40","slug":"agentes-de-amenazas-dominan-tacticas-de-banderas-falsas-para-enganar-a-victimas-e-investigadores-de-seguridad","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/agentes-de-amenazas-dominan-tacticas-de-banderas-falsas-para-enganar-a-victimas-e-investigadores-de-seguridad\/7803\/","title":{"rendered":"Agentes de amenazas dominan t\u00e1cticas de ‘banderas falsas’ para enga\u00f1ar a v\u00edctimas e investigadores de seguridad"},"content":{"rendered":"

La identidad del grupo que realiza un ataque cibern\u00e9tico dirigido es la \u00fanica interrogante que todo el mundo quiere resolver, a pesar del hecho de que es casi imposible establecer con precisi\u00f3n qui\u00e9nes son en realidad los autores.<\/span><\/p>\n

Para demostrar la creciente complejidad e incertidumbre de atribuir esas acciones en el panorama actual de la inteligencia contra las amenazas, dos expertos de Kaspersky Lab han publicado un documento que revela c\u00f3mo los creadores de las amenazas m\u00e1s avanzadas utilizan las denominadas operaciones de banderas falsas (False Flags) para enga\u00f1ar a las v\u00edctimas y a los investigadores de seguridad.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Los indicadores que m\u00e1s utilizan los investigadores para sugerir de d\u00f3nde provienen los ataques, junto con ilustraciones de c\u00f3mo han sido manipulados por una cierta cantidad de creadores de amenazas conocidas, incluyen:<\/span><\/p>\n

\u00a0<\/span><\/p>\n

\u2022\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Marcadores de tiempo (Timestamps)<\/span><\/b><\/p>\n

Los archivos del malware<\/i> llevan una marca de tiempo que indica cu\u00e1ndo fueron compilados. Si se recolectaran suficientes muestras relacionadas, podr\u00edan determinarse las horas de trabajo de los desarrolladores, y esto, a su vez, sugerir\u00eda un huso horario general para sus operaciones. Sin embargo, este tipo de marcas de tiempo se puede alterar con asombrosa facilidad.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

\u2022\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Marcadores de idioma (Language markers)<\/span><\/b><\/p>\n

Los archivos de malware<\/i>, a menudo, incluyen cadenas y rutas de depuraci\u00f3n que pueden dar una idea de los autores del c\u00f3digo. La pista m\u00e1s obvia es el idioma o idiomas utilizados, as\u00ed como el nivel de dominio del idioma. Las rutas de depuraci\u00f3n tambi\u00e9n pueden revelar un nombre de usuario, as\u00ed como las convenciones de nombres internos para proyectos o campa\u00f1as. Adem\u00e1s, los documentos de phishing<\/i> pueden estar repletos de metadatos que guardan una informaci\u00f3n de estado que apunta a la computadora real del autor.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Sin embargo, los agentes de amenazas pueden manipular f\u00e1cilmente los marcadores de idioma para confundir a los investigadores. Entre las pistas enga\u00f1osas de idiomas dejadas en el malware<\/i> por el agente de amenazas <\/span>Cloud Atlas<\/span><\/a> se encuentran <\/span>cadenas de caracteres en \u00e1rabe para la versi\u00f3n de BlackBerry, caracteres en hindi en la versi\u00f3n para Android y las palabras \u2018JohnClerk\u2019 en la ruta proyectada para la versi\u00f3n de iOS, a pesar de que muchos sospechan que el grupo tiene en realidad una conexi\u00f3n con Europa del Este. El malware<\/i> utilizado por el agente de amenazas <\/span>Wild Neutron inclu\u00eda<\/span><\/a> cadenas de idiomas en rumano y ruso.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

\u2022\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Infraestructura y conexiones secundarias (back-end<\/i>)<\/span><\/b><\/p>\n

La b\u00fasqueda de los verdaderos servidores de comando y control (C&C, por sus siglas en ingl\u00e9s) que utilizan los malhechores es como buscar su domicilio. La infraestructura de C&C puede ser costosa y dif\u00edcil de mantener, por lo cual, hasta los atacantes que disponen de buenos recursos tienden a reutilizar una infraestructura C&C o de phishing<\/i>.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Las conexiones secundarias o de back-end pueden dar una idea de la identidad de los atacantes, si estas no logran el anonimato adecuado en las conexiones a Internet al acumular datos de un servidor de correo electr\u00f3nico o de exfiltraci\u00f3n, al preparar a un servidor intermediario o de phishing<\/i> o al verificar a un servidor pirateado.<\/span><\/p>\n

A veces, este \u201cfracaso\u201d es intencional: Cloud Atlas trat\u00f3 de confundir a los investigadores mediante el uso de direcciones IP que se originaban en Corea del Sur.<\/span><\/p>\n

\u2022\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Kits de herramientas: malware<\/i>, c\u00f3digo, contrase\u00f1as, exploits<\/i><\/span><\/b><\/p>\n

A pesar de que algunos agentes de amenazas ahora dependen de herramientas que est\u00e1n a disposici\u00f3n del p\u00fablico, muchos todav\u00eda prefieren construir sus propias puertas traseras personalizadas, herramientas de movimientos laterales, as\u00ed como exploits<\/i>, y los custodian celosamente. La aparici\u00f3n de una familia espec\u00edfica de malware<\/i> puede, por tanto, ayudar a los investigadores a descubrir a un agente de amenazas.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

El agente de amenazas <\/span>Turla<\/span><\/a> decidi\u00f3 aprovechar esta suposici\u00f3n cuando se vio acorralado dentro de un sistema infectado. En lugar de retirar su malware<\/i>, instal\u00f3 una rara pieza de malware<\/i> chino que se comunicaba con infraestructura localizada en Beijing, nada que ver con Turla. Aunque el equipo de respuesta a incidentes empleado por la v\u00edctima persigui\u00f3 al programa malicioso, Turla desinstal\u00f3 en silencio su propio malware<\/i> y borr\u00f3 todas las pistas de los sistemas de la v\u00edctima.<\/span><\/p>\n

\u2022\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 V\u00edctimas objetivo<\/span><\/b><\/p>\n

Los objetivos de los atacantes tambi\u00e9n son potencialmente reveladores, pero establecer la conexi\u00f3n correcta requiere la interpretaci\u00f3n y an\u00e1lisis de expertos. Por ejemplo en el caso de Wild Neutron,\u00a0 la lista de v\u00edctimas era tan variada que confundi\u00f3 la identificaci\u00f3n.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Adem\u00e1s, algunos agentes de amenazas abusan del deseo p\u00fablico de un v\u00ednculo claro entre el atacante y sus objetivos, funcionando bajo la cubierta de un grupo hacktivista (a menudo inexistente). Esto es lo que intent\u00f3 el <\/span>grupo Lazarus<\/span><\/a>, al presentarse como los \u2018Guardianes de la Paz\u2019 cuando atac\u00f3 a Sony Pictures Entertainment en 2014. Muchos creen que el agente de amenazas conocido como Sofacy ha implementado una t\u00e1ctica similar, haci\u00e9ndose pasar por una serie de grupos hacktivistas.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Por \u00faltimo, pero no menos importante, a veces los atacantes tratan de incriminar a otro agente de amenazas. Este es el m\u00e9todo adoptado por el agente Tigermilk<\/span>[i]<\/span><\/a>, hasta ahora no identificado, que firm\u00f3 sus puertas traseras con el mismo certificado robado que anteriormente hab\u00eda utilizado Stuxnet.<\/span><\/p>\n

\u00a0<\/span><\/i><\/p>\n

\u201cAtribuir los ataques dirigidos es complicado, poco confiable y subjetivo, y cada vez con mayor frecuencia, los agentes de amenazas buscan manipular los indicadores que utilizan los investigadores, creando as\u00ed m\u00e1s confusi\u00f3n. Creemos que identificar con precisi\u00f3n es casi imposible. Por otra parte, contar con inteligencia sobre estas amenazas tiene un valor profundo y amplio que va mucho m\u00e1s all\u00e1 de la pregunta \u2018\u00bfqui\u00e9n lo hizo\u2019. Hay una necesidad global de conocer a los principales depredadores en el ecosistema del malware y de proporcionar inteligencia s\u00f3lida y viable a las organizaciones que la deseen\u2026 ese debe ser nuestro enfoque\u201d, dijo Brian Bartholomew, investigador de seguridad de Kaspersky Lab.<\/b><\/span><\/i><\/p>\n

\u00a0<\/span><\/p>\n

Para saber m\u00e1s acerca de c\u00f3mo las \u2018banderas falsas\u2019 se utilizan para confundir la identificaci\u00f3n en los ataques dirigidos, lea el blog en Securelist: <\/span>https:\/\/securelist.com\/analysis\/publications\/76273\/wave-your-false-flags\/<\/span><\/a><\/p>\n

Para obtener m\u00e1s informaci\u00f3n sobre el servicio de informes de inteligencia APT de Kaspersky Lab, por favor visite:<\/span>https:\/\/latam.kaspersky.com\/enterprise-security\/apt-intelligence-reporting<\/span><\/a><\/p>\n

Acerca de Kaspersky Lab<\/span><\/p>\n

Kaspersky Lab es una compa\u00f1\u00eda mundial de seguridad cibern\u00e9tica fundada en 1997. La experiencia de Kaspersky Lab en seguridad e inteligencia contra las mayores amenazas se traduce constantemente\u00a0 en soluciones de seguridad y servicios de protecci\u00f3n a empresas, infraestructura cr\u00edtica, gobiernos y consumidores de todo el mundo. La amplia cartera de seguridad de la compa\u00f1\u00eda incluye una destacada protecci\u00f3n de terminales y numerosas soluciones de seguridad y servicios especializados para combatir las amenazas digitales m\u00e1s avanzadas y en desarrollo. M\u00e1s de 400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que m\u00e1s les interesa. Obtenga m\u00e1s informaci\u00f3n en <\/span>www.kaspersky.com<\/span><\/a>.<\/span><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Los cibercriminales que llevan a cabo ataques dirigidos utilizan una variedad cada vez m\u00e1s amplia de t\u00e9cnicas enga\u00f1osas para impedir su identificaci\u00f3n y una posible atribuci\u00f3n, al plantar, entre otras cosas, informaci\u00f3n falsa de fechas y horarios, cadenas de c\u00f3digo en varios idiomas, malware, y operar bajo la cubierta de grupos inexistentes, seg\u00fan un documento presentado en Virus Bulletin por Brian Bartholomew y Juan Andr\u00e9s-Guerrero-Sade, investigadores de seguridad de Kaspersky Lab.<\/p>\n","protected":false},"author":2706,"featured_media":7804,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2737],"tags":[2767,34,2694],"class_list":{"0":"post-7803","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-ataques-dirigidos","10":"tag-malware-2","11":"tag-nota-de-prensa"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/agentes-de-amenazas-dominan-tacticas-de-banderas-falsas-para-enganar-a-victimas-e-investigadores-de-seguridad\/7803\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataques-dirigidos\/","name":"ataques dirigidos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7803","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7803"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7803\/revisions"}],"predecessor-version":[{"id":17763,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7803\/revisions\/17763"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7804"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}