En la actualidad existen cada vez más noticias sobre supuestos ciberataques desde Rusia y otros actores hacia intereses tanto públicos como privados de países de nuestro entorno. Estos ciberataques parece que han servido para sustraer información estratégica y competitiva que ha sido utilizada para posteriores acciones como manipulación del mercado o afectación a la continuidad del negocio de compañías estratégicas. Sin embargo, la atribución de estos ataques sigue siendo un tanto difusa y se basa sobre todo en el análisis técnico de las herramientas usadas por los atacantes como exploits, malware, infraestructura de red, etc, y en la información obtenida a través de una incipiente disciplina llamada "ciberinteligencia", que parece que está llamada a ser uno de los grandes pilares de la ciberseguridad en las organizaciones tanto públicas como privadas en los próximos años.En esta charla se quiere mostrar como los actores del tipo estado diseñan y ejecutan operaciones de obtención de información mediante el uso de Internet para mostrar lo que los ponentes consideran errores en la atribución acerca del origen de los ciberataques que se realizan actualmente. Además, se mostrará como la ciberinteligencia tal como es planteada actualmente, es incapaz de precedir este tipo de acciones, siendo algo más reactivo que predictivo.
2. Quienes somos
# Javier Rodríguez
Responsable Departamento Inteligencia Tarlogic Security
Miembro de fundación Comunidad de Inteligencia y Seguridad
Global y Strategic and Competitive Intelligence Professionals.
Arreglo lavadoras;-)
Procedencia: Seguridad Pública – Guardia Civil.
# David Sánchez
Miembro Departamento Ciberseguridad de Tarlogic Security.
3. ¿De qué va esta charla?
q Los medios generalistas cada vez hablan más de los
ciberataques.
q Focalizan sus intenciones y sobre todo la atribución de
los mismos en el caso de actores tipo Estado.
q En una amplia mayoría de los casos ¿Quién dicen que es
el culpable?
6. En esta charla intentaremos mostrar
# Como se están haciendo actualmente las atribuciones de
los APTs.
# Tácticas, Técnicas y procedimientos de:
Actores tipo Estado
Crimen organizado
Inteligencia Económica (*)
# Y si da tiempo, la ciber inteligencia…
12/3/18 www.tarlogic.com 6
7. Pero antes …
# Algo importante…..
# Me suelen preguntar ¿y este cambio de lo público a lo
privado?
12/3/18 www.tarlogic.com 7
8. Yo venía de la seguridad pública…
12/3/18 www.tarlogic.com 8
9. Yo venía de la seguridad pública…
12/3/18 www.tarlogic.com 9
A este seguro que
le conocéis
A ellas me gustaría
conocerlas
13. Pues muy dura ...
12/3/18 www.tarlogic.com 13
Lo que comen en
Tarlogic
Lo que beben en
Tarlogic
Criptograma …
14. Ahora sí …
# Retomando el tema …
12/3/18 www.tarlogic.com 14
15. La charla
# Estudio técnico de varios malwares atribuidos a actores
del tipo Estado.
# Análisis de las técnicas, tácticas y procedimientos de un
actor tipo Estado en el campo “ciber”.
# Análisis de las técnicas, tácticas y procedimientos de un
grupo organizado en el ámbito “ciber”.
12/3/18 www.tarlogic.com 15
16. Muestras a analizar
# Análisis de malware
APTs
Ransomware
# Ejemplos
Wannacry
Duqu 2.0
Petya/NotPetya
Babar
# Agradecimientos
Tzaoh
Batchdrake
Tarlogic en general ;-)
12/3/18 www.tarlogic.com 16
17. Definiciones: ransomware
“Un ransomware es un tipo de programa dañino que
restringe el acceso a determinadas partes o archivos del
sistema infectado, y pide un rescate a cambio de quitar esta
restricción.”
12/3/18 www.tarlogic.com 17
18. Definiciones: APT
“Una amenaza persistente avanzada, también conocida por
sus siglas en inglés, APT (por Advanced Persistent Threat),
es un conjunto de procesos informáticos sigilosos y
continuos de piratería informática, a menudo orquestada por
humanos, dirigido a una entidad específica”
12/3/18 www.tarlogic.com 18
19. Definiciones
# Para que nos entendamos:
Herramienta malware
Con un objetivo: exfiltración de datos, ciberespionaje, beneficio
económico…
Perdura en el tiempo
Distribuida por una organización
12/3/18 www.tarlogic.com 19
20. Wannacry
# Wannacry
# Tipo de malware:
ransomware
# Descubrimiento:
Mayo 2017
# Primera muestra:
El 12 de mayo sobre las 12:00 horas del mediodía, se comienzan
a tener las primeras informaciones sobre un ciberataque a gran
escala
12/3/18 www.tarlogic.com 20
21. Wannacry
# Características técnicas
Crea un nuevo servicio llamado mssecsvc2.0
Intenta propagarse por la red interna de la víctima mediante la
conocida vulnerabilidad “EternalBlue”.
Extrae desde sus propios recursos un nuevo ejecutable en el
directorio C:Windows con el nombre tasksche.exe
12/3/18 www.tarlogic.com 21
22. Wannacry
# Análisis de tasksche.exe
Estos ficheros contienen
información necesaria para la
correcta ejecución de las
funcionalidades de cifrado,
notificación y cobro del
ransomware
Misma contraseña:
WNcry@2ol7
12/3/18 www.tarlogic.com 22
23. Wannacry
# Que encontramos:
RTF en distintos idiomas con
mensajes de información
Dominios .onion
Wallets de bitcoins
12/3/18 www.tarlogic.com 23
24. Wannacry
# Vector de infección
Eternal Blue, el cual explota
la vulnerabilidad de
ejecución remota de código
CVE-2017-0144 (resuelta en
la actualización MS17-010)
DoublePulsar
12/3/18 www.tarlogic.com 24
26. Wannacry
# Atribuciones
Análisis lingüístico determina que los programadores hablan
correctamente Inglés o Chino
Symantec y Kaspersky hablan de similitud de código atribuido
anteriormente a LazarusGroup
12/3/18 www.tarlogic.com 26
28. Duqu 2.0
# Duqu 2.0
# Tipo de malware:
APT
# Descubrimiento:
2015
# Primera muestra:
2011/2014
12/3/18 www.tarlogic.com 28
29. Duqu 2.0
# Análisis técnico:
Realmente difícil de conseguir una muestra
Se distribuye como paquete MSI
Los nombres de las DLLs de la backdoor están ofuscadas con
una clave xor de 32 bits
Múltiples cifrados implementados
Distintas firmas encontradas
12/3/18 www.tarlogic.com 29
31. Duqu 2.0
# Análisis técnico Kaspersky
https://cdn.securelist.com/files/2015/06/The_Mystery_of_Duqu_2_
0_a_sophisticated_cyberespionage_actor_returns.pdf
# Infección mediante el uso de tres 0-day
CVE-2015-2360;
CVE-2014-4148;
CVE-2014-6324;
# Firmado con certificado Foxconn
# Más de 100 plugins
12/3/18 www.tarlogic.com 31
32. Duqu 2.0
# ¿Persistencia?
Se ejecutaba en memoria y se borraba en cada reinicio
Instalación de drivers en gateways y recursos de red
# Exfiltración de datos mediante imágenes cifradas
12/3/18 www.tarlogic.com 32
33. Duqu 2.0
# Impacto
Menos de 100 equipos
Infección a Kaspersky mediante spear-phishing
# Atribución según Kaspersky
Flags erróneos : nombres chinos, uso de Camellia
Ataques los miércoles
Sin logs los viernes y sin actividad los sábados
Considerado el “hermanastro” de Stuxnet
12/3/18 www.tarlogic.com 33
34. Petya/NotPetya
# Petya/NotPetya
# Tipo de malware:
Ransomware/Wiper
# Descubrimiento:
2017
# Primera muestra:
A través del software de gestión MEDoc, en Ucrania.
12/3/18 www.tarlogic.com 34
40. Babar
# Babar
# Tipo de malware:
APT
# Descubrimiento:
2015
# Primera muestra:
Snowden lo data de una operación de 2009
12/3/18 www.tarlogic.com 40
41. Babar
# Muestra analizada:
Cifrado con AES
# Fichero de configuración:
Clave y offset almacenados en el payload
# Objetivo
Interceptar comunicaciones
Compañías de Europa, Canadá o África
12/3/18 www.tarlogic.com 41
excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe,
notepad.exe, wordpad.exe txt, rtf, xls, xlsx, ppt, ppts, doc,
docx, pdf, vsd skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe,
googletalk.exe, yahoomessenger.exe, x-lite.exe
hxxp://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php
hxxp://www.gezelimmi.com/wp-includes/misc/bb/index.php
42. Babar
# Nombre interno: Babar
Serie de dibujos francesa
# Mensajes de depuración activados
12/3/18 www.tarlogic.com 42
44. Resumen
Tipo Sofisticación Recursos Distribución
Wannacry Ransomware Media C&C
Nodos Tor
EternalBlue
Duqu 2.0 APT Muy alta Infraestructura
desconocida
ZeroDay
Certificados
Petya Wiper Media - EternalBlue
Babar APT Media-Baja C&C
¿Webs
comprometidas?
-
12/3/18 www.tarlogic.com 44
45. Resumen
# Necesidades en el desarrollo de un malware
Equipo de desarrolladores
Recursos de desarrollo: Mecanismos de cifrado, Certificados
Infraestructura: Servidores de C&C, Wallets BTC…
Distribución: Exploits, 0-days, campañas de phishing…
12/3/18 www.tarlogic.com 45
46. Llegados a este punto…
# Existe malware con diversa complejidad según el
objetivo.
# Requiere infraestructura específica
# Requiere despliegue específico
# Entonces ¿Quién o que define su desarrollo y
despliegue?
12/3/18 www.tarlogic.com 46
48. Lo que la gente parece imaginar..
# El Presidente de USA se
despierta
# Llama a la mente maligna
de la NSA y sacan unos
zero days del armario.
# Se ponen a explotarlo a
ver que sale
# La NSA lee mis emails !!!
# Apple lee mis whatsapp !!!
12/3/18 www.tarlogic.com 48
Aquí los zero
days
Aquí se hace
el malware
Y aquí el
netcat –l
8888
49. Lo que la gente parece imaginar (II)
# Putin se levanta por la
mañana
# Mientras se lava los
dientes le da por invadir
Crimea
# Y hacer un par de
ransomwares y siete
campañas de
manipulación e influencia
en twitter.
# Rusia es culpable !!
12/3/18 www.tarlogic.com 49
Aquí los zero
days
Aquí se hace
el malware
Aquí el
portátil de
Putin
50. Ideas generales
# Parece que la principal vía de acceso a información es a
través de un malware.
# Parece que hay determinados países que hacen malware
como quien hace churros.
# Parece que esto de infectar e infectar e infectar y robar
“secretos de Estado” es pan comido
12/3/18 www.tarlogic.com 50
51. Respecto a las atribuciones
# Reportes técnicos de fabricantes de medidas de
seguridad.
# La “infraestructura” y el “lenguaje” del malware.
# La “ciberinteligencia”.
Analistas de ciber inteligencia.
Bombardeo en redes sociales.
Bombardeo en medios de prensa generalista.
IOCs, Ips, Threat Intelligence, Actores, Artefactos, Droppers,
Packers..
12/3/18 www.tarlogic.com 51
53. Las necesidades de inteligencia
# Un país tiene una determinadas necesidades de
inteligencia.
Por su situación estratégica
Por los acontecimientos en los que se ve inmerso
Por la situación política de un aliado
Por la situación política de un enemigo
# Necesita inteligencia para tomar decisiones.
# Ejemplo:
Gobierno A necesita saber las acciones de un Gobierno B en
materia económica que lo afectan directamente
12/3/18 www.tarlogic.com 53
54. ¿Y qué es la inteligencia?
# La inteligencia es proporcionar información útil para la
toma de decisiones.
# Es presentar noticias capaces de hacer tomar una
decisión o modificar una ya tomada.
# Producto que resulta de la evaluación, la integración, el
análisis y la interpretación de la información reunida por
un servicio de inteligencia.
12/3/18 www.tarlogic.com 54
55. Decimos entonces que
# Producto que resulta de la evaluación, la integración, el
análisis y la interpretación de la información reunida por
un servicio de inteligencia.
12/3/18 www.tarlogic.com 55
56. Escenario
# Chaquitistán y Rakistán son países fronterizos, con una
mala relación por una región en disputa.
# Esa región se encuentra en Rakistán
# La mitad de la población es de origen Chaquitistaní y la
otra mitad Rakistaní
# En Rakistán hay un cambio de gobierno abiertamente
hostil hacia Chaquitistán.
# ¿Cuáles serán las acciones de Rakistán hacia
Chaquistán?
12/3/18 www.tarlogic.com 56
57. Necesidades de Inteligencia
# Chaquitistán tiene un problema importante
# No conoce la política exterior del nuevo Gobierno.
# No conoce los actores principales del nuevo Gobierno.
# Hay una campaña en medios de prensa en el Rakistán
acerca de endurecer las relaciones bilaterales
# ¿Cuál va a ser la estrategia de Chaquististán?
12/3/18 www.tarlogic.com 57
58. Las herramientas del Estado
# Los Estados poseen varias herramientas para obtener
información
# Sus canales diplomáticos
# Relaciones con países aliados
# Y…. La comunidad de inteligencia
12/3/18 www.tarlogic.com 58
59. ¿A quien pregunta un Estado?
COMUNIDAD DE INTELIGENCIA
Conjunto de organismos
dedicados a la obtención y
elaboración de inteligencia
Modelo anglosajón
• Inteligencia interior
• Inteligencia exterior
Para conocimiento: En España
12/3/18 www.tarlogic.com 59
61. La comunidad de inteligencia
# Un servicio de inteligencia es quien suele producir
inteligencia “exterior”.
# Capacidades globales
# Vale para “un roto y un descosido”.
# Todo lo concerniente al Servicio entra en lo secreto.
# Se puede decir que es lo más potente que tiene un
Estado.
# Es un fiel reflejo de las capacidades de la sociedad de su
país.
12/3/18 www.tarlogic.com 61
62. Lo que la gente cree y lo que es
Lo que la gente cree… Lo más real…
12/3/18 www.tarlogic.com 62
63. ¿Y que hace un Estado?
# Diseñar una operación de
inteligencia.
# El ciclo de inteligencia
Dirección
Obtención
Elaboración
Difusión
12/3/18 www.tarlogic.com 63
64. Los órganos de obtención
# Para responder la pregunta realizada, se necesita obtener
información.
# Se realiza una selección de fuentes disponibles a explotar
Obtención HUMINT
Obtención SIGINT
Obtención “lo que sea” acabado en INT
# Y por supuesto
Obtención técnica, que es la que interesa aquí ;-)
12/3/18 www.tarlogic.com 64
65. Mensaje para los de OSINT
# Buscando en Google es
raro que te encuentres el
plan de estratégico de un
país A sobre un país B.
# El grafo de Twitter no te va
a decir por donde van a
darte.
12/3/18 www.tarlogic.com 65
66. Mensaje para los del Big Data,
Machine Learning, IA..
# Apache Hadoop es
buenísimo, pero va a ser
raro que localice el plan
de lanzamiento de misiles
nucleares de X país.
# Llamadme raro…
12/3/18 www.tarlogic.com 66
67. ¿Quién tiene la información de
interés?
# Se diseña una operación de obtención de información
sobre las siguientes personas y organismos
Miembros del Gobierno
Empresas estratégicas
Personal de interés
# La clave:
Pues que no les “pillen” con el carrito de los helaos
12/3/18 www.tarlogic.com 67
68. ¿Por qué es importante que no nos
“pillen”?
# Crisis diplomática entre ambos países
# Crisis diplomática entre bloques de aliados de ambos
países.
# Posibilidad de respuesta militar clásica
12/3/18 www.tarlogic.com 68
69. Lo que necesita el Estado
# Necesita conseguir todo esto
Desarrollar el binario
Certificado
Infraestructura
Desplegar el binario
# Se reitera: hay que hacerlo sin que se vincule al Estado
12/3/18 www.tarlogic.com 69
70. OPSEC
# Operations Security
# Amplia literatura sobre el tema.
# Básicamente:
La detección de toda información, acción o dato que pueda ser
observado por el “enemigo”.
Las acciones que hay que tomar para evitar que esto suceda, o
reducirlo hasta un nivel aceptable.
# OPSEC es responsabilidad de todo aquel implicado en
operaciones
12/3/18 www.tarlogic.com 70
71. La cobertura
# Según la RAE
Acción de cubrirse (prevenirse de una responsabilidad).
Encubrimiento, ficción.
# Capacidades del Estado
Identidades ficticias
Empresas pantalla
Crear infraestructura en terceros países
CON CAPACIDADES GLOBALES
# Un ejemplo
Directorate of Operations – Clandestine Service - CIA
12/3/18 www.tarlogic.com 71
72. Ejemplo Red Team
# Equipo que simula un agente externo y realizan
ciberataques.
# Las tácticas, técnicas y procedimientos de un Red Team
se ciñen al mundo técnico/ciber
# Ataques de diversa complejidad.
# OPSEC ceñido a desarrollo de binario
Y un poco la infraestructura.
# Agradecimientos: @TheXC3LL ;-)
12/3/18 www.tarlogic.com 72
73. El diseño del binario
# Varias opciones
Lo desarrolla el propio Estado
Lo desarrolla una empresa y lo compra el Estado
Lo desarrollan colaboradores a instancias del Estado
# ¿Y como debe ser el binario?
Que pueda cumplir con su objetivo sin problemas.
Que tenga un tiempo de desarrollo prudente.
Nuevamente: Que bajo ningún concepto se vincule al país de una
forma directa.
12/3/18 www.tarlogic.com 73
74. Importante..
# El binario puede hacerse
en otro país
# El que hace el binario
puede no conocer su
finalidad
# La infraestructura es
deslocalizada.
# El ámbito es GLOBAL
12/3/18 www.tarlogic.com 74
75. Ahora ponte a investigar esto..
12/3/18 www.tarlogic.com 75
78. Inteligencia económica
# La capacidad de
obtención de los Estados
se ha volcado en apoyar a
sus empresas.
# Enlaces de interés
# http://intranet.bibliotecasgc.bage.es/intranet-
tmpl/prog/local_repository/documents/17875.p
df
# http://www.ieee.es/Galerias/fichero/cuadernos/
CE_162_La_inteligencia_economica_en_un_m
undo_globalizado.pdf
12/3/18 www.tarlogic.com 78
79. ¿Y que pasa con los demás?
# Grupo organizado con ánimo de lucro
# Modelo de negocio es simple
Ganar dinero
Complejidad del binario limitada
Desarrollos cortos pero eficaces
Herramientas de terceros
# Infraestructura
Dependencia de terceros
# Medios de blanqueo de dinero
12/3/18 www.tarlogic.com 79