¿Estás siendo espiado por el gobierno chino?

(Actualización 20/02/2013: Nuevas reglas añadidas)

Como seguramente muchos de ustedes sepan a estas alturas, la empresa de seguridad digital Mandiant ha emitido un informe donde acusa al Ejército Popular de Liberación chino de estar detrás de multitud de ataques que diversas compañías, tanto estadounidenses como de otras nacionalidades, han venido sufriendo en los últimos años.

En dicho informe, que está accesible desde su web, se proporcionan una gran variedad de detalles técnicos y el conjunto de evidencias que apoyan la teoría de que el gobierno chino está efectivamente detrás de esos ataques, tal y como se ha ido defendiendo durante los últimos años. Aunque algunos técnicos apuntan a sesgos analíticos en el estudio desarrollado por Mandiant (Mandiant APT1 Report Has Critical Analytic Flaws), creo que no cabe duda de que de ser cierto que China tiene programas de espionaje cibernético a través de Internet, eso no sorprendería a nadie. De igual manera que a nadie le sorprendería, tal y como apunta @antoniosanzalc en Twitter, que otras potencias militares como Israel o EEUU tuvieran ya en marcha desde hace años programas de espionaje cibernético. Es más, casi podríamos decir que sería una imprudencia no tenerlos. Al fin y al cabo, si existen espías a pie de campo, no hay razón para no tenerlos también en la red.

Volviendo al informe de Mandiant, los anexos incorporan información que podrían ayudar a detectar sistemas u organismos infectados, ya sea por la conexión con sistemas DNS, uso de certificados SSL u otros. Aunque es posible que tras la publicación del informe —siempre que la información y conclusiones de Mandiant sean ciertas— se produzca una reducción temporal drástica de los sistemas y recursos empleados en los ataques, a partir de la información de dichos anexos hemos creado un conjunto de firmas de Snort que pueden ayudar a identificar circunstancias y destinos de conexión sospechosos, y que pueden descargar del enlace a continuación.

Reglas Snort Informe Mandiant: apt1-unit61398.rar

Las firmas han sido elaboradas a partir de los anexos del informe de Mandiant por el Área de Seguridad de S2 Grupo y más concretamente por Roberto Amado y Raúl Rodríguez. Para cualquier comentario, duda, información o consulta, pueden utilizar los comentarios o ponerse en contacto con nosotros en admin@securityartwork.es.

Tengan en cuenta que no nos hacemos responsables de cualquier consecuencia no deseada (incremento de las alertas, etc.) derivada de la utilización de estas firmas, y que su uso corre por su propia cuenta y riesgo.

Comments

  1. Esta mañana estuve haciendo las alertas, pero use el depth:10 enlugar del byte_test:1,!&,0xF8,2; ¿por qué esa comprobación?

  2. Muy buenos días a todos,

    El «informe Mandiant» creo que va a tener un lugar en la historia de la seguridad informática. Dejando aparte las conclusiones que extrae (que personalmente desde un punto de vista de análisis de inteligencia no están bien razonadas, y que creo que están ahí para satisfacer intereses creados), es el análisis técnico más completo que he visto, y el primero que se podría «llevar a un juez» y que pudiera ser considerado como una prueba en lugar de «yo creo que…».

    Y lo más importante: es la primera vez que una empresa ofrece de forma libre información detallada sobre las APT, que puede ser usada de forma activa para la defensa (como bien han hecho Roberto y Raúl, han surgido en cuestión de horas multitud de firmas para los IDS).

    Las APT están aquí, y están para quedarse. Son sigilosas y están dirigidas con una precisión quirúrgica en muchos casos. Una de las mejores defensas es la información, de ahí que empresas como Mandiant hayan decidido hacer públicos estos datos es una excelentísima noticia para todos.

    Y respecto al tema de la atribución … en realidad a nosotros como expertos en seguridad nos puede importar más bien poco que nos entre un país u otro. Lo que queremos es que no entre nadie (aunque si hilamos fino podríamos hablar horas, pero eso sería política, no seguridad).

    Un saludo,

    Antonio Sanz
    I3A/Universidad de Zaragoza

  3. Joaquín Moreno says

    Hello, son cosas distintas.

    El byte text lo único que está comprobando es que en el paquete DNS el campo QR valga 0 y el campo OPCode valga 0, es decir, que se trate de una consulta DNS. Tmb lo podrías hacer mirando el 11 byte del paquete UDP en vez del 3 byte del protocolo DNS.

    Buen trabajo gente :-)

    Saludos desde las Américas.

  4. Como bien comenta nuestro gran colega Ximo el byte_test cumprueba que en verdad es una petición DNS mirando los flags de 2 bytes del tercer byte del payload (Identification header http://www.networksorcery.com/enp/protocol/dns.htm#Identification). Si te soy sincero no es necesaria tal comprobación como está ya que siempre da TRUE. Pero cuato más azucar mas dulce

    Flags: 0x0100 (Standard query)
    0… …. …. …. = Response: Message is a query
    .000 0… …. …. = Opcode: Standard query (0)
    …. ..0. …. …. = Truncated: Message is not truncated
    …. …1 …. …. = Recursion desired: Do query recursively
    …. …. .0.. …. = Z: reserved (0)
    …. …. …0 …. = Non-authenticated data OK: Non-authenticated data is unacceptable

  5. Pero…si esto es asi, no es una provocacion absoluta del gobierno chino al resto del mundo?

  6. En toda regla, llevan años así no es algo nuevo, lo único que ahora alguien se ha atrevido a manifestarlo públicamente

  7. Post al respecto de nuestro compañero Ximet:

    http://bastionado.blogspot.com.es/2013/02/detectar-mandiant-apt1.html