Explotando datos de APT for fun and (no) profit (IV): conclusiones

4 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Hemos obtenido algunos datos para soltar frases en las charlas de APT (por favor, no olvidéis usarlos junto a las frases de “El Arte de la Guerra”, de Sun Tzu, que nunca pasa de moda, y comentar lo del eslabón más débil de la cadena y demás :). Con algo de tiempo, podemos obtener conclusiones más o menos interesantes, o más o menos estúpidas, en relación a las actividades, intereses, orígenes… de los grupos APT. Y explotando otros datasets (¿vamos a por MITRE ATT&CK?) podemos ampliar o complementar estas conclusiones.

Algunos de los datos que podemos concluir después de este pequeño análisis:

  • Parece claro que Rusia juega en la Liga de Campeones de las APT; es el país líder en todo tipo de actividades hostiles, desde el sabotaje hasta el espionaje o la delincuencia económica.
  • El líder de todos los grupos APT es también ruso: Turla, operando desde hace casi un cuarto de siglo (y en este caso sí que podemos confirmar que sigue vivo) y con un abanico de objetivos impresionante.
  • El grupo al que los analistas prestan más atención es también ruso: APT28, el más investigado y, casi por este motivo, el que más nombres diferentes tiene.
  • El número de actores con capacidades CNA se está incrementando en los últimos años, de nuevo con Rusia a la cabeza.
  • Aparte de los actores habituales, dos países han estado particularmente activos durante los últimos años: Irán y Corea del Norte.
  • Sería interesante identificar un nuevo parámetro para cada actor, similar a “visto por última vez”, que nos permita saber cuánto tiempo un grupo ha estado activo, o si lo está en estos momentos.
  • Usar diferentes nombres, en función de quién lo llama, para el mismo grupo es un caos a la hora de procesar datos; en este sentido, el esfuerzo de MISP para identificar un UUID por grupo es de agradecer (https://github.com/MISP/misp-galaxy/blob/main/clusters/threat-actor.json#L2434),  como bien nos ha indicado @adulau en Twitter.
  • Con algo de imaginación y gnuplot puedes tener tu propio Magic Quadrant de APT :)
  • Importante: esto es un simple post, no un artículo científico. No esperes verdades absolutas, no discutibles y que sienten cátedra aquí.
  • Y la última conclusión: AWK es nuestro amigo. Recordad:

Ver también en: