Nukin’ Zaragoza: a cyberwar exercise (VII). Lo que sabemos que no sabemos.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Fake news & Social Media

La campaña masiva de noticias falsas sobre el atentado fue fácilmente desmontada gracias a la colaboración tanto de Facebook como de Twitter: cientos de cuentas falsas elaboraron una estrategia coordinada, emitiendo y promoviendo docenas de noticias falsas, apoyadas en algunos casos de pantallazos falsificados de sitios de noticias e incluso de artículos de blogs generados de forma previa al ataque.

Destaca la participación involuntaria en el ataque de agencias de noticias tan prestigiosas como EFE o Reuters. La investigación indica que fueron víctimas de ataques de ingeniería social, ya que recibieron varias llamadas anónimas que se hicieron pasar tanto como por mandos de la OTAN como de altos cargos del gobierno español.  Haciendo uso de toda la información falsificada (IGN, AEMET, etc…) lograron engañarlos por completo.

Ataque militar marruelí  

Esta parte de la investigación la realiza el gobierno marruelí en colaboración con España. Los resultados indican que el gobierno marruelí fue convenientemente desinformado por “fuentes de confianza”, que indicaban que España iba a realizar un ataque nuclear contra Marruelia desde el “Juan Carlos I” en represalia por el atentado de Zaragoza. De ahí la carrera desesperada de la flota marruelí por evitar ese ataque que afortunadamente nunca se produjo.

Sobre la inesperada detención de la armada marruelí en el momento justo se habla y se escribe mucho. La teoría (nunca confirmada) es que el CNI mantuvo un canal de comunicaciones extraoficial con el gobierno marruelí, y que a instancias de la Presidenta lograron convencer de que España no iba a atacar a Marruelia.  Si nos libramos de la 3º Guerra Mundial o no gracias a ellos es algo que nunca sabremos…

OTAN – El DDoS más grande de la historia

Otra incógnita que tiene rápida respuesta es la imposibilidad de establecer comunicación ni con la OTAN ni con ningún gobierno europeo. Todas las infraestructuras de la UE, así como las embajadas y los ministerios de asuntos exteriores sufrieron un ataque de DDoS de 90TBps, prácticamente cien veces más grande que el que ostentaba el record hasta la fecha.

Cientos de miles de dispositivos IoT inundaron de peticiones diversos sistemas de comunicaciones, logrando saturarlos y dejándolos inoperativos. El análisis del ataque descubre dos vertientes muy interesantes: por un lado se atacaron sistemas de telefonía mediante el uso de pasarelas de VoIP, y por el otro los atacantes supieron “encontrar” canales de comunicación comunes con redes restringidas de la OTAN (para así poder atacarlas).

La OTAN afirma que el uso de esos “atajos” ocultos en el sistema de comunicaciones implica un conocimiento profundo de los mismos, y anuncia modificaciones importantes en el diseño de sus redes internas.

IGN & AEMET hacked

El caso de estas páginas web oficiales trae también gran repercusión en el ámbito técnico, debido principalmente al método a través del cual ambas fueron comprometidas: otro 0-day en PHP7.  A pesar de estar correctamente actualizadas, los atacantes encontraron un fallo de seguridad en el sistema de gestión de las caché, lo que les permitió alterar a voluntad los contenidos de la misma (y en cierta medida, los de la propia web).

Los logs de los servidores web de ambas plataformas únicamente muestran peticiones POST extrañas de un servidor situado en Panamá (que se supone que son las que contenían el ataque). El equipo de seguridad de PHP continúa en la búsqueda del posible fallo de seguridad.

Hay nubes blancas en mi cielo azul

La existencia de la gran nube de humo blanco también encuentra una explicación lógica: de forma casi coordinada con el incidente, se produjo un incendio intencionado en las instalaciones de SAICA. Las excelentes medidas de compartimentación de la papelera hicieron que únicamente parte de los materiales se viera afectada, lo que de todas formas produjo la gigantesca nube de humo blanco que se pudo apreciar a decenas de kilómetros de distancia.

Esta rama de la investigación fue la única que logró un éxito apreciable para las FFCCSSE, ya que se logró identificar a uno de los asaltantes: un antiguo trabajador de la empresa, de origen albanokosovar, fue detenido por la Guardia Civil junto a otras dos personas del mismo origen cuando intentaba salir del país.  Al ser interrogados confiesan la autoría de los hechos, pero no son capaces de identificar a quién los contrató para realizar el ataque.

Las llamadas de teléfono emitidas y recibidas por los asaltantes descubren una red de teléfonos desechables (burner phones), con terminales y SIM adquiridas en el mercado negro.

Lo que no se contó

[Fuente: Pixabay]

Una de las razones por las que la investigación se extiende tanto viene dada por lo meticulosos que fueron los atacantes en su intento de dejar Zaragoza totalmente incomunicada, para de estar forma mantener durante el mayor tiempo posible la ilusión del ataque nuclear.

Por ello, todas las redes de comunicaciones privadas de una mínima envergadura (Conferencia Hidrográfica del Ebro, ADIF, Iberdrola, Endesa) fueron atacadas de forma física e inesperada.

Los atacantes lograron identificar en cada uno de los casos los puntos exactos en los que las redes de fibra óptica de las empresas emergían para conectarse con los equipos de comunicaciones, y enviaron a cada uno de ellos un drone cargado con una bomba incendiaria.  La bomba era de pequeño tamaño, pero aplicada en el sitio correcto logró dañar seriamente la red de fibra óptica, dejándola fuera de combate durante varios días.

Resultados de la investigación

Casi seis meses después del incidente, Presidencia emite un informe de varios cientos de páginas explicando en un ejemplar ejercicio de transparencia todo lo sucedido. Del informe se pueden extraer las siguientes conclusiones:

  • Se hizo uso de al menos dos 0-days, ambos de gravísimo impacto (acceso remoto a routers Cisco y Huawei + capacidad de alterar páginas PHP). Los atacantes tienen o una capacidad técnica altísima o muchísimos recursos económicos (para haberlos comprado en el mercado negro).
  • Los atacantes hicieron gala de un dominio muy elevado de diferentes plataformas y sistemas operativos, pudiendo escribir malware y operar con soltura en cada una de ellas.
  • La OPSEC (seguridad operativa) de los atacantes fue prácticamente perfecta. Buena parte de los rastros encontrados en la investigación son parciales, y en algunos casos debido a la suerte (mala para ellos y buena para nosotros en este caso).
  • Los atacantes tenían un profundo conocimiento de la estructura de redes y sistemas de todos los objetivos, lo que implica un trabajo previo de reconocimiento extenso y detallado.
  • El ataque en sí mismo está compuesto por multitud de piezas separadas, que debían de actuar de forma coordinada con un desfase mínimo. El ser capaz de llevar acabo esta operación implica un nivel de planificación y meticulosidad impresionante.
  • La conclusión final del informe: el ataque solo ha podido ser realizado por un estado enemigo. Sin embargo, no hay evidencias concluyentes que permitan una atribución sólida del culpable real del ataque.

Esas fueron las conclusiones finales del informe. Excepto los responsables del incendio de SAICA, nadie fue detenido por uno de los ataques terroristas más cruentos de la historia de España (y que estuvo a punto de desencadenar una guerra entre Occidente y el mundo árabe).

Y así es como termina la historia.

(Continuará…)