(Ciber) GRU (IX): estructura. Otras unidades

Además de las dos unidades anteriores, que han cobrado protagonismo a partir de la información sacada a la luz en 2018, el GRU cuenta con otras Unidades Militares ligadas a inteligencia de señales, ciberseguridad o guerra de información; algunas de las que podemos encontrar datos en fuentes públicas son las siguientes:

  • Unidad Militar 11135 (18th Central Research Institute). Históricamente ([1]) se ha identificado dentro del GRU al Central Scientific Research Institute, que desde Moscú diseña equipamiento SIGINT para el GRU y que quizás en la actualidad sea esta Unidad Militar, focalizada hoy en día no sólo en interceptación de comunicaciones de radio y satélite sino también en dispositivos inalámbricos, sistemas SCADA o protección de las comunicaciones ([2]).
  • Unidad Militar 40904, conocida como el “177º Centro Independiente para la Gestión del Desarrollo Tecnológico”. Ubicada en Meshcheryakova, 2 (Moscú), con alta probabilidad, esta unidad se especializa en el procesamiento de inteligencia de señales ([3]).
  • Unidad Militar 36360. Aparentemente es una unidad formativa del GRU en la que se imparten, el menos desde enero de 1949, cursos avanzados de inteligencia. Esta formación, también aparentemente y según fuentes abiertas, incluye temas muy ligados al ámbito ciber como los siguientes:
    • Ingeniería de Telecomunicaciones (comunicación por radio, radiodifusión y televisión). 
    • Tecnologías, redes y sistemas de comunicación.
    • Sistemas y tecnologías de información: información y análisis.
    • Ingeniería de software.
    • Matemáticas aplicadas y ciencias de la computación. 
    • Seguridad de la información. 
    • Software informático. 
    • Sistemas automatizados de procesamiento y control de información. 
    • Traducción y estudios de traducción (lingüística).
  • Unidad Militar 54726 (46th Central Research Institute), centro focalizado en información técnica militar, en especial sobre las capacidades de países extranjeros, que potencialmente incluye investigación en el ámbito ciber.

[Read more…]

Grupo WIRTE atacando a Oriente Medio

Desde el Grupo de Elaboración de Inteligencia (GREIN) de S2 Grupo se ha llevado a cabo una investigación sobre un actor sobre el que desde GREIN no se han podido encontrar referencias o similitudes en fuentes abiertas y al que se ha identificado como WIRTE.

El equipo de DFIR (Digital Forensics and Incident Response) de S2 Grupo identificó por primera vez este actor en agosto de 2018 y a partir de ese instante se ha llevado a cabo el seguimiento durante los últimos meses.

Este grupo ataca a Oriente Medio y no utiliza mecanismos muy sofisticados, al menos en la campaña iniciada en agosto de 2018 que fue la monitorizada. Se considera poco sofisticado por el hecho de que los scripts están sin ofuscar, las comunicaciones van sin cifrar por HTTP, utilizan Powershell (cada vez más monitorizado), etcétera. Pese a este modus operandi aparentemente poco sofisticado respecto a otros actores, consiguen infectar a sus víctimas y llevar a cabo sus objetivos. Además, como se verá durante este artículo, la tasa de detección de alguno de los scripts en el mes de diciembre de 2018 por los principales fabricantes de antivirus es baja, aspecto que es necesario resaltar. Hay que ser consciente que una vez se ejecutan estos scripts es cuando el análisis por comportamiento de muchas soluciones los detectarán, pero este hecho no ha sido objeto de estudio por parte de GREIN.

Este actor en todos los artefactos analizados muestra a sus víctimas un documento señuelo en árabe con diferentes temáticas. Durante el informe se analizarán estos documentos y quienes podrían ser los objetivos dependiendo de la temática tratada en el documento. [Read more…]

Inteligencia artificial y ciberseguridad

El eterno juego del ratón y el gato entre atacantes y defensores en el mundo de la ciberseguridad ha implicado históricamente una mejora constante de las metodologías llevadas a cabo por ambas partes. El rápido y novedoso desarrollo de la Inteligencia Artificial (IA) resulta muy atractivo para el desarrollo de nuevas metodologías tanto para los atacantes como para los defensores.

A grandes rasgos, la IA hace referencia al aprendizaje que pueden realizar las máquinas u ordenadores en este caso, para llevar a cabo acciones consideradas como “inteligentes”. Uno de los grandes retos de esta disciplina consiste en dotar de capacidades “humanas” a éstas para que puedan llegar a tener comportamientos semejantes a los nuestros. Una de las ramas con mayor potencial hoy en día en la inteligencia artificial es la denominada ‘Machine Learning’. El objetivo básico de esta rama consiste en “entrenar” a la máquina para que sea capaz de dar una respuesta adecuada en base a unos parámetros de entrada. [Read more…]

El reto de integrar RGPD, ENS y ahora también LOPD-GDD

Después de más de 7 meses de la entrada en vigor de la aplicación del RGPD, la mayoría de las Administraciones Públicas y muchas de las empresas privadas que trabajan para ellas en procesos críticos, como vigilancia de la red, seguridad perimetral, mantenimiento y soporte de sistemas, desarrollo y/o mantenimiento de aplicaciones, se enfrentan actualmente al reto de integrar su adaptación al RGPD con su declaración o certificación de conformidad con el Esquema Nacional de Seguridad, ENS.

El RGPD y el ENS exigen demostrar conformidad y comparten requisitos regulatorios basados en la exigencia de realizar un análisis de riesgos y en implantar medidas enfocadas a mitigar los riesgos identificados. [Read more…]

Seguridad en Windows Server 2019

A finales del pasado mes de diciembre, Microsoft publicó un documento titulado What’s new in Windows Server 2019 sobre las nuevas características y funcionalidades renovadas que aportará esta nueva versión de Windows Server. Esta entrada, como no podría ser de otra manera, se centrará en aquellas funcionalidades relacionadas con las mejoras en seguridad que aporta Windows Defender ATP y que ya se habían visto en Windows 10 a través de Windows Defender Exploit Guard, EMET (Enhanced Mitigation Experience Toolkit) que dejó de tener soporte el pasado 31 de julio de 2018, así como WDAC (Windows Defender Application Control).

Conforme se estaba desarrollando la entrada, se fue ahondando en la investigación y esto llevó a un documento mucho más completo sobre ATP, en concreto Windows Defender Advanced Threat Protection. Este post pretende ser un breve resumen ordenado de todo aquello que recogen los múltiples enlaces del documento anteriormente citado.
[Read more…]

EternalSilence: por qué tu router puede estar en riesgo a causa de esta herramienta de la NSA

El artículo de hoy es cortesía de John Mason, cofundador de TheBestVPN.com y articulista en TripwireStaySafeOnline, DigitalGuardian y Educause. Puedes encontrarlo en twitter como @JohnCyberMason.

¿Confías en tu router para mantenerte a salvo de hackers y espías? Puede que quieras echar otro vistazo sólo para asegurarte.

Akamai descubrió recientemente una campaña de malware que ya ha comprometido a más de 45 113 routers domésticos y corporativos. Para ello se utilizó una herramienta basada en las herramientas de hacking de la NSA que se filtraron en 2017. Para explicar cómo los hackers utilizan esta herramienta para convertir un router en un servidor proxy, primero tenemos que entender cómo funciona UPnP.

[Read more…]

“ALGO” de “RITMO”: algoritmos en la toma de decisiones

¿Has realizado alguna compra por Internet últimamente? ¿Has accedido a algún servicio digital? ¿Y crees que las decisiones tomadas al comprar o acceder a dichos servicios ha sido una decisión libre y atendiendo a tus propios criterios? Pues va a ser que no…

No dudamos que has buscado, comparado y tomado una decisión propia en base a gustos y necesidades, pero siento decirte que a tus gustos y necesidades le han dado “algo de ritmo”, es decir, tu decisión en gran medida ha sido “algoritmizada” (que es una palabra inventada, lo sé, pero en algún momento había que inventarla…)

Sobre algoritmos y su capacidad o competencia para dirigir nuestras decisiones vitales y no tan vitales se ha escrito largo y tendido y desde multitud enfoques en este y otros muchos blogs. Sin embargo, me gustaría compartir con vosotros mis dudas e inquietudes acerca de una aplicación concreta de los algoritmos. La toma de decisiones en el ámbito penal y el impacto de los sesgos en dichas decisiones. [Read more…]

Informe: Grupo Gamaredon

Desde GREIN (Grupo de Elaboración de Inteligencia de S2 Grupo) se ha elaborado un informe relacionado con el grupo GAMAREDON. Este grupo según informes previos de PaloAlto y Looking Glass centra su actividad en atacar a Ucrania.

El informe pretende actualizar la información relacionada con este grupo desde un punto de vista técnico y explicar la situación actual que se vive entre dos países como Rusia y Ucrania con un análisis geoestratégico y geopolítico.

Quizá uno de los aspectos más interesantes del estudio y que merece la pena resaltar es este comentario de @DrunkBinary el 30 de Noviembre de 2018:

En este comentario, y en otros referentes a GAMAREDON, @DrunkBinary lanza la hipótesis de que Ucrania puede estar siendo objeto de ataque de unos alumnos pertenecientes a una academia del FSB (vamos como si fuera la academia Enigma del FSB :O) y estos estuvieran haciendo sus prácticas sobre un objetivo real. Después de realizar este informe pensamos que no es una hipótesis muy descabellada, difícil de verificar, pero hay varios indicadores que hacen pensar que esto pudiera ser así.

Aunque fuera cierto que se tratara de una academia atacando, no hay que olvidar que están infectado a víctimas reales por la información manejada por GREIN y por lo publicado recientemente por el CERT de Ucrania, con la gravedad e impacto que esto conlleva.

Desde GREIN esperamos que les sea de utilidad el informe y cualquier comentario será bienvenido.

– Descargar informe –

[Read more…]

Análisis de Linux.Sunless

Siguiendo con nuestra serie de artículos de seguimiento de botnets IoT, en el siguiente artículo vamos a analizar el malware Sunless, el cual fue detectado en nuestros honeypots entre el 18 y el 19 de diciembre.
Este malware se caracteriza por distanciarse en gran medida de variantes basadas en Mirai, incorporando mecanismos de eliminación de la “competencia” a través de técnicas rudimentarias, vistas anteriormente en mineros.

Infección

Tal y como podemos observar en la imagen inferior, Sunless recicla el método de infección característica del malware IoT, utilizando el famoso script bricker.sh, el cual podemos encontrar en numerosas fuentes abiertas.
[Read more…]

DEFCON 2018 DFIR CTF – Reto forense (Nivel 3 + Conclusiones)

Puesto de usuario – Nivel básico

1. ¿Qué dirección IP tiene el puesto de usuario?

El registro lo sabe TODO. En este caso, el hive SYSTEM:

Un poco de RegistryExplorer y ya tenemos la respuesta:

* Respuesta: 74.118.138.195

2. ¿Cuál es el SID de la cuenta de Administrador? [Read more…]