La CCI rusa (IX): grupos APT

russian-malware-analysis-temp-770x513Hemos hablado hasta el momento de los principales servicios que conforman la comunidad de inteligencia rusa en su ámbito ciber y seguiremos describiendo en sucesivos posts el resto del complejo ecosistema ruso pero, ¿dónde quedan las APT supuestamente rusas? Grupos conocidos por todos, como APT28 (FancyBear, Sofacy…) o APT29 (CozyBear, The Dukes…), deben estar, de alguna forma, relacionados con esta comunidad… si no son parte de la misma, ¿verdad?

Estos grupos, APT28 y APT29 (les llamaremos así, aunque aprovechamos para pedir desde aquí un estándar ISO para nomenclatura de grupos APT, que cada uno tiene una docena ;) son sin duda los más conocidos del panorama ruso, a raíz de los informes de FireEye [5] y [6]. Entonces, ¿son unidades de alguno de los servicios rusos expuestos anteriormente? ¿son mercenarios que venden su trabajo al mejor postor? ¿son grupos organizados que facilitan información a cambio de impunidad? ¿son el resultado de operaciones de bandera falsa de un tercero? Ni lo sabemos ni posiblemente lo sepamos nunca… No obstante, como es imposible, vamos a evaluar en este post, o al menos a intentarlo (recordemos que eso de la atribución es siempre hipotético, por eso nos gusta tanto ;), algunos de los elementos que nos permiten relacionar a estos grupos con los servicios rusos. Hay más grupos supuestamente rusos, como Turla; ya hablaremos de ellos en otro post…

APT28 y APT29
La primera pregunta que debemos plantearnos respecto a estos grupos es si realmente son rusos; los indicadores más técnicos apuntan a que sí: desde las horas y fechas de compilación de su arsenal, coincidente en buena parte con el horario laboral de Moscú y San Petersburgo, hasta la codificación y lenguajes utilizados en buena parte de sus artefactos. No obstante aquí nos topamos con el gran problema de la atribución, y es que la abordamos a partir de artefactos dejados, voluntaria o involuntariamente, por el atacante. ¿Puede un señor de Cuenca saber ruso -incluso coloquial-, cambiar la hora de su equipo para fijarla en ese horario al que hacíamos referencia o configurar el sistema en ruso? Sin problemas ¿Podrían ser estos grupos conquenses, entonces? Por supuesto.

Aunque los indicadores técnicos sean fácilmente alterables, son lo que tenemos para trabajar; tanto en APT28 como en APT29 los analistas identifican no a un señor de Cuenca, sino a un grupo estructurado, con responsabilidades separadas, con metodologías de desarrollo establecidas… algo que podríamos denominar una malware factory. Es decir, se identifica una organización potente detrás, organización que podría ser un grupo independiente, una unidad de un servicio determinado, una empresa… de Moscú, de San Petersburgo o de Cuenca.

Las necesidades de información, y por tanto los objetivos de estos grupos son más difícilmente falsificables que los indicadores puramente técnicos (ojo, pero no es imposible hacerlo); en el caso de estos grupos, sus víctimas son compatibles con las necesidades de información del gobierno ruso de las que ya hablaremos con detalle en esta serie de posts, tanto geográfica como operativamente. Falsificar esto sería mucho más costoso para un tercero -insistimos, pero NO imposible cuando hablamos de un actor con muchísimas capacidades, como un estado-; por tanto, si los indicadores técnicos apuntan a Rusia, los objetivos y víctimas apuntan a Rusia y las necesidades de información reflejadas coinciden con las supuestamente rusas ([8]) la probabilidad de que APT28 y APT29 tengan raíces rusas es ALTA. ¿Podemos confirmarlo al 100%? Por supuesto que NO.

TTP
Las tácticas, técnicas y procedimientos habituales asociados a APT29 pasan por el ataque a través de phishing dirigido a la víctima, con un enlace en el correo para descargar un dropper que al ejecutarse descargará a su vez un RAT; por su parte, APT28 trabaja más con la creación de páginas web fraudulentas similares en aspecto a las de sus objetivos, con nombres de dominios cercanos a los legítimos, para robo de credenciales. El arsenal de APT28 se basa principalmente en la explotación de productos de Microsoft y Adobe, al igual que el de APT29, en ambos casos debido sin duda a la popularidad de estos entornos y por tanto al éxito en su explotación; no obstante, APT28 utiliza más vulnerabilidades sin exploits conocidos que APT29 ([2]) y además su catálogo es mucho mayor que el de este último, lo que podría implicar tanto un número mayor de recursos como una mayor experiencia en el ámbito del ciberespionaje por parte de APT28 que por parte de APT29, pero por contra APT29 es muy discreto y tiene un objetivo de persistencia muy alto. En cualquier caso, ambos grupos son técnicamente excelentes y su catálogo de vulnerabilidades rara vez se solapa, lo que denotaría la separación (y la competencia) de ambos, y que sería compatible con la separación (y la competencia) de los servicios rusos a la que ya hemos hecho referencia en esta serie de posts. Adicionalmente, algunas de las vulnerabilidades explotadas por APT28 y APT29 en sus campañas son también aprovechadas por grupos vinculados al cibercrimen ([2]), lo que puede ser desde una maniobra de distracción hasta algo que quizás refuerce la teoría de la estrecha vinculación entre la comunidad de ciberinteligencia rusa y otros actores de su entorno, como analizaremos más adelante en esta misma serie de posts.

En ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación, la seguridad de sus operaciones (OPSEC)… denotan que APT28 y APT29 no son atacantes individuales o grupos poco organizados, sino grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas. ¿Apoyados por un estado? ¿Parte directa de dicho estado? En [8] encontramos un excelente análisis. La probabilidad es ALTA, ya que pocas organizaciones pueden disponer de estas capacidades pero, como siempre, no podemos confirmarlo con certeza.

Objetivos
Entre los objetivos de APT28 se encuentran sectores como el aeroespacial, defensa, energía, administraciones públicas y medios de comunicación (recordemos el manejo de la información en las estrategias y doctrinas rusas), con un especial cariño por los ministerios de Defensa y organizaciones de los sectores anteriores ligadas al entorno militar ([1]) que casualmente reflejan los intereses de la inteligencia militar rusa; en [5], informe donde FireEye identifica a este grupo como APT28, se detallan algunos de los objetivos -y de las víctimas- de APT28, destacando su interés operativo en los ámbitos cercanos al militar y, adicionalmente, su interés en el control de la información relativa a temas relevantes para Rusia, algo alineado con el amplio concepto de information warfare ruso al que hemos hecho referencia en posts anteriores. APT28 no aborda robo de propiedad intelectual, y adicionalmente, los países comprometidos corresponden con los principales intereses geopolíticos rusos -que ya comentaremos en futuros posts-, y los objetivos son compatibles tanto con el origen ruso del grupo como con la posible cercanía del mismo con el ámbito militar; dicho de otra forma, APT28 y GRU comparten necesidades de información y objetivos, por lo que quizás, sólo quizás, tengan algún tipo de relación. ¿Es APT28 una unidad del GRU? No lo sabemos ¿Es un grupo externo pagado por el GRU? No lo sabemos ¿Es un grupo de Cuenca? No lo sabemos…

Por su parte, APT29 amplía los objetivos de su competidor, desligándolos parcialmente del ámbito militar para focalizarse no sólo en éste, sino además en sectores como el farmacéutico, el financiero o el tecnológico, por poner solo unos ejemplos, así como en ONG e incluso en organizaciones delincuenciales ([7]). Este último elemento es muy significativo, ya que podría reflejar las atribuciones policiales, y por tanto las necesidades de información, del FSB ruso, mientras que el ataque a diferentes ONG implica -o puede implicar- intereses políticos, económicos o de control de la información. En línea con un servicio como el FSB… o en línea con una operación conquense de bandera falsa.

Un ejemplo reciente
Sin duda, el caso reciente más sonado de supuestos compromisos por parte de APT rusas, en esta ocasión tanto por APT28 como por APT29, es el del Democratic National Comitee (DNC) estadounidense, en 2016, y su potencial influencia en los resultados de la campaña electoral, incidente descrito a la perfección en [3]; Crowdstrike puso de manifiesto la presencia de ambos grupos en los sistemas del DNC, con una mayor persistencia por parte de APT29, y dejando la competencia entre estos grupos: no comparten TTP, ni vulnerabilidades, ni recursos… pero en ocasiones comparten objetivos. A los elementos técnicos para la atribución a los servicios rusos, analizados por compañías como la anterior (y reforzados posteriormente por otras como FireEye o Fidelis) se une la sorpresiva aparición de Guccifer 2.0, una identidad presumiblemente falsa (un sockpuppet) compatible con la doctrina militar rusa y completamente alineado con el amplio concepto de information warfare al que ya hemos hecho referencia y que incluye la decepción, la desinformación, etc. Un excelente análisis de este sockpuppet y su potencial relación con una operación de bandera falsa del GRU puede encontrarse en [4].

Conclusiones
Hemos visto en este post que todo apunta a que APT28 y APT29 son de origen ruso y posiblemente cuentan con el apoyo de un gobierno para sus actividades, dos hipótesis de probabilidad ALTA. Las necesidades de información de ambos grupos son compatibles con las necesidades de información del gobierno ruso, y sus objetivos coinciden también con las inquietudes de dicho gobierno en diferentes ámbitos. No comparten inteligencia ni arsenales, lo que sería compatible con la separación de los diferentes servicios de inteligencia rusos si APT28 y APT29 estuvieran ligados a algunos de ellos, pero sí objetivos: el resultado final, la inteligencia, será de mayor calidad. Según diferentes analistas, APT28 puede estar relacionado con la inteligencia militar rusa, el GRU, mientras que APT29 lo estaría con el FSB. Puede que sea así. O puede que no. Muchas veces uno llega a la conclusión de que nombres como APT28, PawnStorm, APT29, Snake… no son más que la forma elegante que tenemos de decir FSB, GRU, FSO… cuando no tenemos las pruebas suficientes para confirmar la implicación de estos servicios en ciertas operaciones. En cualquier caso, si realmente APT28 se corresponde con una unidad del GRU y APT29 con una unidad del FSB (o viceversa, como defiende [9]) es algo que por supuesto ni sabemos a ciencia cierta ni creo que podamos saber a corto plazo: todo son hipótesis. Quizás en estos momentos hay un señor en Cuenca, muy listo y organizado, con muchos recursos, escuchando Radio Moscú para perfeccionar un idioma extranjero y configurando su equipo con la zona horaria de San Petersburgo mientras se ríe de todos los analistas del mundo.

Referencias
[1] Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike. Junio, 2016. https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

[2] RFSID. Running for Office: Russian APT Toolkits Revealed. Agosto, 2016. https://www.recordedfuture.com/russian-apt-toolkits/

[3] Eric Lipton, David E. Sanger, Scott Shane. The Perfect Weapon: How Russian Cyberpower Invaded the U.S. New York Times. Diciembre, 2016. http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html

[4] Thomas Rid. All Signs Point to Russia Being Behind the DNC Hack. Motherboard. Julio, 2016. http://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

[5] FireEye. APT28: A window into Russia’s cyber espionage operations?. FireEye. Octubre, 2014. https://www2.fireeye.com/apt28.html

[6] FireEye. HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group. FireEye. Julio, 2015. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf

[7] F-Secure. THE DUKES. 7 years of Russian cyberespionage. F-Secure. Septiembre, 2015. https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

[8] Jen Weedon. Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. Kenneth Geers (Ed.), Cyber War in Perspective: Russian Aggression against Ukraine. NATO CCD COE Publications. Tallinn. 2015.

[9] Malcolm Nance. The plot to hack America: How Putin’s cyberspies and WikiLeaks tried to steal the 2016 election. Sky horse Publishing, 2016.

Imagen cortesía de Indian Strategic Studies.