(Ciber) GRU (I): Introducción

17 de diciembre de 2018 Por

Como ya adelantamos en el post donde se hablaba de él, dentro de la serie sobre la Comunidad de Ciberinteligencia rusa, el GRU (GU) es el más opaco de los servicios rusos, manteniendo casi intacta su herencia soviética frente a los “occidentalizados” FSB o SVR: de hecho, la estructura y funcionamiento del Servicio no ha sido especialmente conocida, siendo la principal referencia [1] hasta hace más bien poco. Más allá de datos puntuales de operaciones sin una atribución clara, o de las identidades de su Director y Directores Adjuntos -nada secreto-, poco o nada se sabía del Servicio. Sin embargo, y seguramente muy a pesar del GRU, en 2018 hay -hasta ahora- tres hechos que dan un giro radical a esta opacidad: [Read more…]

Las herramientas de los dioses

4 de abril de 2018 Por

Hoy en SAW no vamos a hablar de seguridad sino de religión. De la religión verdadera, de la buena: de Unix. Y de sus dioses: Kernighan, Ritchie, Thompson… podríamos citar unos cuantos. Y de las herramientas que, en los años setenta, estos dioses nos enviaron a los pobres mortales, como el maná caído del cielo para el pueblo elegido. Y es que estos dioses crearon un sistema operativo de verdad, con unas herramientas técnicamente maravillosas y una filosofía muy sencilla: capacidades simples que combinadas hacen tareas complejas. La perfección. La vida es Unix ejecutando un script. Han pasado más de cuarenta años y nosotros, pobres mortales que éramos el pueblo elegido, ¿qué hemos hecho en este tiempo? Tratar de deshonrar ese legado divino con capas artificiales e inútiles (“de abstracción”, las llaman, para tratar de darles sentido) que introducen dos problemas innecesarios en cualquier entorno tecnológico “moderno”: complejidad, y por tanto probabilidad de error, y lentitud. Sirva de ejemplo el ejecutable “true”, al hilo de la historia que hace poco comentaba Rob Pike en Twitter:

$ >mytrue;chmod +x mytrue
$ ./mytrue
$ echo $?
0
$

Un programa cuya única finalidad es devolver siempre 0. Un ejecutable vacío. VACÍO. No puede haber algo más simple y que funcione, desde hace cuarenta años… pues bien, aquí entramos los mortales. Año 2018:

$ ls -l /usr/bin/true
-rwxr-xr-x 1 root wheel 17760 29 abr 2017 /usr/bin/true
$ file /usr/bin/true
/usr/bin/true: Mach-O 64-bit executable x86_64
$ otool -L /usr/bin/true
/usr/bin/true:
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1238.0.0)
$ /usr/bin/true
$ echo $?
0
$

Por supuesto, este es solo un ejemplo, y no de los graves, sobre cómo nos gusta complicarnos. Como dijo un profeta hace años, “Those who do not understand Unix are condemned to reinvent it, poorly.”. Me imagino el brainstorming inicial en un grupo que luego acaba sacando a la luz determinadas tecnologías:

– Tíos, vamos a hacer unas herramientas para manejar grandes conjuntos de datos que ahora están en ficheros planos.
– Pero, si ya tenemos awk, sed, grep…
– Funcionan demasiado bien y la gente no contrata mantenimiento. Escuchad, las llamaremos “bases de datos”.
– ¿Bases de datos? Irás de coña, ¿no?
– No, no, lo tengo todo atado: hacen que el fichero por debajo sólo se pueda procesar con nuestro programa metiendo varias capas de abstracción, pero realmente también están manejando archivos de texto, como hasta ahora…
– Jajajaja, ¡qué cabrón! ¡No hay huevos, Larry!
– Sujetadme la cerveza.

#define SELECT grep
#define ALTER sed
#define DELETE cut
#define DROP “>”
int make_program_look_bigger[1000000];

– Eres el puto amo, Larry. ¿Qué va a ser lo próximo, chicos? ¿Un lenguaje de programación que pueda convertir esta Sun 3500 en un 8086, con alguna excusa? ¿Qué se os ocurriría?
– Podemos meter un sleep en las líneas pares de nuestro código C y decimos que es independiente de plataforma.
– Jajajajajaja, no colará… Espera, ¿qué haces, James?
– Sujetadme la cerveza…

Evidentemente, situaciones como las anteriores se producen porque aunque sabemos que Unix es la religión verdadera, Kernighan, Ritchie y demás son sus dioses y algunos otros son sus profetas, aún así hay entre nosotros ateos (los llamaremos así para no ser crueles, aunque el nombre técnico es Human Malware), perfiles aparentemente técnicos que no han querido, sabido o podido ver la luz verdadera; los perfiles no técnicos están disculpados, porque Unix no ha iluminado sus vidas aún. Todos conocemos a algún ateo: son los que siempre buscan soluciones complejas a problemas triviales. Preguntadle a cualquier creyente cómo realizar una operación sobre, pongamos, un log, y con una línea de awk lo resolverá. Preguntadle a un ateo y definirá una estructura en base de datos, parseará el log con un programa en Java que tira de varias librerías bajadas de github para convertirlo en un XML, para luego insertarlo en la base de datos de antes, y montará un comité para determinar aspectos críticos, como elegir los tonos pastel para la interfaz gráfica o analizar la ubicación de los botones en una aplicación web que conecta vía API contra un servidor en cloud que a su vez aplica técnicas de machine learning sobre el puto log. ¿Y esto para qué? Para sacar las líneas que contienen la cadena “foo”. Ojo, en el tercer campo, ahí es nada.

Dentro de esa familia que estamos denominando amablemente “ateos” podemos diferenciar varios tipos característicos; son los siguientes:

Proceseitor. Lo arregla todo con comités, procesos, procedimientos, controles, controles de los controles, seguimientos periódicos y derivados. Realmente esta subespecie no es un ateo, sino que es peor: está intentando convertir gente a otra religión, ITIL, considerada como secta destructiva en muchos entornos. Debe considerarse a proceseitor como ALTAMENTE PELIGROSO y, en caso de encontrase con uno, se recomienda no acercarse a él y avisar inmediatamente a las autoridades; también podemos cambiarles alguna de sus obras de cabecera, como Coaching for IT Strategists: a fist fucking approach, por un ejemplar de The Magic Garden Explained o The Design of the Unix Operating System, lo que conseguirá una combustión espontánea en cuanto comiencen la lectura.

Visual developer. Programador que no sabe usar punteros y por tanto reniega de C; el scripting no es una alternativa porque “son ñapas”. Ante un problema (“especificación de requisitos” le llaman) analiza durante días la situación, hace comparativas entre varias tecnologías, monta unos entornos de desarrollo para realizar benchmarkings y, en seis meses, determina que va a desplegar diez capas de abstracción para empoderar al usuario en su relación con la tecnología y evitar así el tratamiento personalizado del dato. Ríete tú de ISO/OSI. Por supuesto el programa nunca funcionará, pero será por culpa de una especificación de requisitos incorrecta; en estos casos, invitar al ateo leer e interiorizar las Sagradas Escrituras, The C Programming Language y The Unix Programming Environment, puede ser útil, aunque no tanto como un disparo en la rodilla.

Segurata. Acaba de actualizar su LinkedIn para poner que es “Senior Security Architect, Red Team Leader and Chief Strategist Hacker” porque se ha leído un manual de metasploit mientras acaba el máster y ya va a tope, con su Kali Linux y sus menús; por supuesto, prefiere ese manual al Computer Networks o al Modern Operating Systems de Tanenbaum, porque Tanenbaum no es jaker y además usa troff, y eso no es cool… Al contrario que en el caso anterior, el disparo en la rodilla suele ser contraproducente, porque el ateo seguiría molestando y encima se pondría paranoico, activando en su vida el modo MOSSAD_CLAIMS_FOR_ME y siendo aún más pesado; es más efectivo modificar su /etc/hosts para apuntar www.sgae.es a www.fsb.ru, convencerlo para atacar a la SGAE por el tema del canon de los CD, que nunca pasa de moda, y dejar que la naturaleza siga su curso.

DevOps. Administra máquinas Ubuntu y se ha comprado una Raspberry, así que lo debemos considerar devops, porque cree que es un BOFH de verdad pero de vez en cuando se le escapan palabros como XML o agile. Acude regularmente a encuentros endogámicos donde algunos devops explican a otros devops cosas de devops, con dockers y tal, y cuenta la leyenda que una vez uno de ellos recompiló un núcleo Linux y no se lo contó a los demás. A Quarter Century of Unix History puede ser un buen detalle con estos ateos, para que sean conscientes de que muchas cosas no las han descubierto ellos, como también puede serlo un teclado sin intro, que nunca viene mal en estos casos. Y si además nos lo queremos pasar bien, tampoco está mal meterles el evil.sh en su .bash_profile.

El usuario. Aunque se considera a sí mismo un perfil técnico porque una vez consiguió salir de vi y se hizo youtuber e instagramer a la vez, realmente sus conocimientos no son muy amplios y debemos considerarlo un usuario. De vez en cuando dice frases como “Nosotros, los técnicos” o “Aquí todos venimos de la parte técnica”, que te suenan como cuando los gibraltareños dicen “Nozotro lo ingleze”. Ante este tipo particular de ateo no podemos recomendar ninguna lectura, sólo comprensión y paciencia, y también hablarles despacito para que no hagan swap; por otro lado, es fácil -y divertido, hay que decirlo- entretenerlos con algunos palabros sabiamente combinados para que no molesten, como “Es que en el red team estamos trabajando con una VPN a través de USB que envía paquetes TCP a dispositivos IoT”. Ale, a procesar, campeón.

¿Qué hacemos con esta gente? Guardad el AK-47, por favor, que os veo venir y no debemos legislar en caliente. La situación es compleja, principalmente porque los ateos no tienen depredadores naturales y, sobre todo en los últimos años, se han dedicado a reproducirse de manera exponencial; si os cruzáis con uno podéis regalarle condones para frenar su tendencia reproductiva, pero un consejo: jamás os hagáis los héroes, que esta gente ya no tiene nada que perder, como los administradores de Lotus Notes, y pueden incluso ponerse agresivos. Por ejemplo, a proceseitor le molestan especialmente cosas como que alguien se salte el paso 3, punto 3.8, apartado 3.8.A, párrafo 3.8.A.c, línea 3.8.A.c.XVI, del procedimiento “Gestión de recursos informáticos corporativos en plena sinergia con el negocio”, que dice que todo renice debe ser aprobado mediante un burofax con el sello oficial, firmado por el IT Manager y dirigido al Business Strategist de la organización. Se pone nervioso, le da vueltas la cabeza y empieza a hablar en ITIL.

En SAW no tenemos la solución mágica para hacer frente al colectivo de ateos que pululan en las organizaciones; algunos ingenuos piensan que se pueden recuperar con iniciativas sencillas, por ejemplo con campañas donde se use el hashtag #AdoptaUnAteo (#AdoptALuser) para enviarles indirectas simpáticas que traten de marcarles el buen camino, del tipo “biff también avisa de nuevos mensajes… desde hace 40 años y sin soniditos ridículos, imbécil #AdoptaUnAteo”, “Menos stackoverflow y más RTFM #AdoptaUnAteo” o “No abras ficheros CSV con Excel, hijo de puta! #AdoptaUnAteo”. Pero nosotros sabemos que esto no funcionará: ni devolverá al ateo al camino verdadero ni tampoco conseguiremos que convierta el agua en vino. Por eso miramos a la Historia: ¿qué se ha hecho de siempre con la gente que abandona la religión verdadera? Dos cosas: exorcismos y sacrificios humanos. Punto.

Si vamos a exorcizar ateos, por ejemplo poseídos por systemd, debemos ir con cuidado; desde SAW recomendamos que un exorcismo lo ejecuten sólo profesionales, porque si sale mal nos confiamos, creemos haberlo recuperado y un día nos encontramos al falso creyente diciendo en un foro que ifconfig está deprecated. Cuando se dé cuenta de que vamos a exorcizarlo, el ateo tratará de confundirnos para hacernos creer que ha visto la luz verdadera; puede decir cosas en idiomas desconocidos, fruto de la posesión, del tipo “Powered by Solaris…” o “alias nano=‘rm -f’”, pero no nos dejemos engañar: al acercarle el Essential System Administration, su solo contacto le producirá quemaduras, comenzará a girar la cabeza 180 grados, a escupir espuma por la boca y a soltar blasfemias como “Has visto lo que ha hecho la cerda de tu hija”, “Tómame, tómame” o “Yo soy el Maligno y capturo SIGKILL”. Cuidado. Aquí es cuando el exorcista, un profesional, arrojará varios SIGTERM contra el PID del ateo y pronunciará unas palabras sagradas para liberar su alma:

Te exorcizamos Espíritu Inmundo, quienquiera que seas, Java, XML o Word. En el nombre de Unix seas arrojado de las almas de la religión verdadera. No oses oscurecer a los elegidos a quienes pretendes hacerte semejante; te lo ordena Brian, te lo ordena Dennis, te lo ordena Rob, que se hicieron carne y habitaron entre nosotros. Que los descendientes de MULTICS se apiaden de ti, que la pureza de un buen script limpie tu alma, que uses goto cuando tengas que usarlo. Unix es la senda y yo soy su pastor, así está escrito en mi GECOS. Hosanna, K&R, limpiad esta alma.

En este momento el ateo debe mostrar signos de reconversión, por ejemplo desinstalando la máquina virtual de Java o recitando de memoria la página man de getpwent(3). Si no es así ya debemos rociarlo de SIGKILL o, directamente, ejecutar un shutdown, que es el último recurso del exorcista antes de pasar a mayores: si el exorcismo no funciona ya sólo nos queda el sacrificio humano. Por ejemplo, en SAW, desde el fallecimiento de Ritchie hace más de siete años, mensualmente sacrificamos en su honor a un ateo en la hoguera, a la antigua, con encanto; lo hemos puesto en el cron y así no falla, que si no luego se reencarnan en consultores ISO y la liamos. Pero no penséis que es un simple kill -9, no: antes de quemarlo lo abrimos en canal con un CD donde están las fuentes de System V, nos comemos sus vísceras, bebemos su sangre y rezamos dos scriptnuestros para que aquellos dioses que se hicieron carne en los 70 vuelvan a poner cordura en este mundo 4.0 que nos rodea. Todo esto en honor a los creadores de maravillas como Unix, C o awk y, por qué no, también porque nos gusta.

DISCLAIMER: Todo este post está basado en hechos ficticios y no refleja en ningún momento opiniones personales del autor, efectivamente y no. Cualquier parecido con la realidad es pura coincidencia.

CSIRT.es

13 de febrero de 2018 Por

Ayer CCN-CERT publicó el comunicado relativo al relanzamiento del grupo CSIRT.es, foro que aglutina a los equipos de respuesta ante incidentes españoles o con ámbito de actuación en España, y cuyo objetivo es centralizar el intercambio de información y facilitar la coordinación entre estos mismos equipos.

Actualmente CSIRT.es lo componemos más de veinte equipos y, como se indicaba en el comunicado, están representados actores públicos y privados, de diferentes sectores, con diferentes objetivos… pero que tienen muchos puntos en común; el principal, por definición, dotar de una capacidad de respuesta a una comunidad determinada. Y esa capacidad hoy en día no puede funcionar si se pretende operar de manera independiente y aislada de otros equipos: requiere necesariamente de vías directas de colaboración con terceros. Más allá de foros como FIRST o TF-CSIRT, creemos que un punto que posibilite la colaboración entre CSIRT con ámbitos de actuación en España es más que interesante y necesario. [Read more…]

La CCI rusa (XVIII). Conclusiones

7 de septiembre de 2017 Por

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

[Read more…]

La CCI rusa (XVII): objetivos. España

27 de julio de 2017 Por

La Primera Dirección General del KGB era la responsable de todas las operaciones del servicio fuera de la URSS; esta Dirección incluía departamentos focalizados en diferentes áreas geográficas del mundo, que constituían el núcleo operativo de la Dirección General, y que eran responsables entre otros cometidos de casi todas las empresas ligadas al KGB que operaban fuera de territorio soviético. Y dentro de estos departamentos geográficos, el Quinto se ocupaba de Francia, Italia, Países Bajos, Irlanda… y España. Sin duda no llegábamos al nivel de Estados Unidos y Canadá (Primer Departamento, ocupado en exclusiva por estos dos países) pero tampoco andábamos muy lejos, quizás en un segundo nivel. Por diferentes motivos que obviamente han ido cambiando a lo largo de los años, desde la Guerra Civil hasta nuestros días España ha sido un objetivo histórico (no el más prioritario, pero sí relevante) para la inteligencia soviética y ahora lo sigue siendo para la inteligencia rusa: desde el NKVD durante su tiempo de vida hasta los servicios actuales, pasando obviamente por el KGB desde mediados hasta finales del pasado siglo. Exactamente igual que la URSS, o Rusia en la actualidad, también es y ha sido un objetivo importante para Occidente: por ejemplo, no tenemos más que leer algo sobre la operación Mari, en los años 60 ([2]).

Un buen ejemplo de las actividades rusas en la España de los años setenta y ochenta es SOVHISPAN. Esta consignataria soviético española, fundada en 1971 y que operó hasta 1993, aprovechó la situación estratégica de las Islas Canarias para desplegar allí una capacidad de abastecimiento de los buques soviéticos que faenaban en las costas africanas o hacían paradas técnicas en los viajes transatlánticos (bien de pasaje o científicos). A primera vista, una interesante relación comercial entre dos países y una espectacular fuente de ingresos para las Islas, con vuelos directos entre Las Palmas y Moscú operados, entre otros, por Aeroflot. Pero además, una cobertura perfecta para el KGB y el GRU y sus intereses en España: desde la entrega del Sahara o la llegada de la democracia, hasta la utilización del independentismo canario como posible elemento desestabilizador para evitar la entrada de España en la OTAN. Los servicios españoles no fueron ajenos a esta situación, y propiciaron la expulsión de soviéticos acusados de espionaje; se estima que entre 1977 y 1985 fueron expulsados de España al menos quince agentes del KGB y del GRU, algunos de ellos relacionados directamente con SOVHISPAN, como el propio Director General de la compañía, Yuri Bitchkov (1981).

Ni hace años, como ya hemos indicado, ni tampoco en la actualidad, con unas necesidades de información diferentes: España no es el objetivo prioritario de la inteligencia rusa. Por poner unos ejemplos, en el ámbito OTAN somos una potencia media frente a países como Francia o Alemania, estamos alejados geográficamente de Moscú ([1]), no podemos desestabilizar a la Madre Rusia ni por nuestra influencia en la zona del este de Europa ni por nuestras reservas energéticas, no disponemos de una capacidad militar que suponga una amenaza real a las fronteras rusas (pero por otro lado, estamos en OTAN)… No obstante, no ser el objetivo prioritario no significa no ser un objetivo; debemos considerar a España como un objetivo significativo en la actualidad para los intereses rusos, como lo sigue siendo todo el ámbito OTAN u “Occidente” ([3]). Y para ello no es necesario remontarse al siglo pasado y a las actividades de SOVHISPAN: más recientemente se han identificado diferentes casos de espionaje ruso contra España que han saltado a la opinión pública. A finales de 2010, dos miembros de la embajada rusa en España fueron expulsados del país acusados de espionaje (en realidad, fue todo más discreto: se les invitó a abandonar el territorio nacional por realizar acciones ajenas a su estatus diplomático…), medida ante la que Rusia reaccionó como es habitual, expulsando a dos diplomáticos españoles de Moscú. También fue difundida por toda la prensa generalista la detención en 2007 de un antiguo miembro del CNI al que se había identificado como un agente doble que vendió información sensible a los servicios rusos hasta el año 2004; primer condenado por traición en democracia, que a día de hoy sigue en prisión.

Pero, ¿qué busca la inteligencia rusa en España? En función de las necesidades de información rusas, vistas con anterioridad en esta misma serie, volvemos a identificar cuatro grandes ámbitos de interés para los servicios rusos en España o, generalizando, en cualquier parte del mundo: la inteligencia científico-técnica, la inteligencia política y diplomática, la inteligencia militar y la inteligencia económica; incluimos el ámbito “ecológico” (energético) como de especial interés en casi todos ellos. Vamos a analizar cada uno de estos ámbitos en el escenario español actual, tanto en la Administración Pública como en la empresa, partiendo del hecho de que, sobre el papel y de manera formal, España y Rusia mantienen un acuerdo desde hace años para la protección mutua de la información clasificada, en especial la política, militar, técnico-militar y económica ([5]). Nos suenan estos ámbitos, ¿verdad? También es cierto que este acuerdo habla explícitamente de información “intercambiada en el curso de la cooperación”, no de la información “no intercambiada”…

Centrémonos en primer lugar en la Administración Pública; las Administraciones Autonómicas (mucho menos las Locales) no tienen por qué ser un objetivo ruso, al menos habitual, aunque es necesario recordar que en ciertos casos podría ser interesante para Rusia acceder a información del contexto autonómico. Si así fuera, las Comunidades Autónomas con más interés potencial para Rusia podrían ser Cataluña, Comunidad Valenciana, Andalucía e Islas Canarias, y por motivos obvios la Comunidad de Madrid; en todas estas Comunidades existen Consulados rusos (en algunas de ellas, honorarios). Esto tiene una explicación sencilla: en el litoral catalán, en la Costa del Sol, en la Comunidad Valenciana y en el archipiélago es donde más ciudadanos rusos se concentran (Barcelona es la ciudad y Alicante la provincia de España con más población rusa). De esta manera, ocasional -y potencialmente, potencialmente, como siempre- podría ser interesante para la inteligencia rusa acceder a un historial médico de un ciudadano de esta nacionalidad que esté siendo tratado en un hospital español, por poner un ejemplo, por lo que las zonas con más posibilidades de ser un objetivo puntual serían las citadas.

Pero más allá de intereses ocasionales, si hablamos de la Administración Pública española, es necesario mirar a la Administración General del Estado (AGE), supuesto objetivo clave para Rusia, como supuesto objetivo clave para los servicios de cualquier país del mundo; todos los Ministerios que conforman la AGE son un objetivo ruso. La AGE tiene obviamente un interés político y diplomático, una de las necesidades básicas de la inteligencia rusa, e incluso alguno de sus Ministerios un interés científico-técnico (Defensa, Fomento, Educación…) o económico; mención aparte merece el Ministerio de Defensa, con el añadido del interés militar para la inteligencia rusa. De hecho, según el CCN-CERT los principales objetivos rusos en España son gubernamentales; pero aunque todos los Ministerios españoles sean un objetivo, por diferentes motivos, puede haber algunos que lo sean más que otros… ¿cuáles podrían ser los principales objetivos? Quizás, sólo quizás, los siguientes -con su denominación formal correspondiente-: Presidencia, Exteriores, Defensa, Interior y Economía. ¿Por qué estos cinco? Porque por la sensibilidad de los datos que manejan, lo serán de cualquier servicio extranjero en general: no en vano han conformado la CDGAI (Comisión Delegada del Gobierno para Asuntos de Inteligencia, [4]).

Aparte de Secretarías, Direcciones Generales, etc., cada Ministerio tiene diferentes Organismos Públicos vinculados; focalizándonos en los cinco anteriores, dentro de los dependientes de Presidencia el objetivo clave por definición seguramente será el Centro Nacional de Inteligencia, el principal actor de la inteligencia española, o el Departamento de Seguridad Nacional, por supuesto muy por encima de otros organismos como el BOE o Patrimonio Nacional. En el caso de Exteriores, los principales objetivos podrían ser la AECID (Agencia Española de Cooperación Internacional para el Desarrollo) o el Centro de Estudios Internacionales -buena parte del resto son centros culturales-, mientras que si hablamos de Defensa todo, en mayor o menor medida, es un potencial objetivo ruso: desde el INTA o la DGAM hasta el ISFAS (aunque seguro que éste es menos interesante que los dos primeros). Para Interior la Policía, Guardia Civil o Instituciones Penitenciarias pueden ser especialmente sensibles -recordemos el amplio ecosistema de inteligencia ruso y sus relaciones con terceros- y por último, en Economía, quizás el mayor foco de interés lo constituyan organismos como el CDTI o CSIC, por la ventaja científico-técnica que su información puede aportar a los servicios y empresas rusas.

Mención aparte de la propia Administración merecen las empresas públicas (o semi públicas) adscritas; en el Inventario de Entes del Sector Público Estatal (INVESPE) se relacionan todas las sociedades mercantiles adscritas a Ministerios. Tenemos más de 150 empresas públicas que van desde algunas con tan poco interés potencial -en este contexto- como “Aparcamiento Zona Franca, S.L.” o “Compañía Española de Tabaco en Rama, S.A.”, adscritas ambas a Hacienda, hasta otras que sí pueden ser un objetivo claro, como ISDEFE, S.A. (Defensa) o INCIBE, S.A. (Industria). En este caso, en el de las empresas, los intereses de la inteligencia rusa no estarán tan focalizados en política y diplomacia, sino que se centrarán en el espionaje científico-técnico y en el económico, como lo harán en la empresa privada; por este motivo, aquí puede ser necesaria una mención especial a las empresas adscritas a determinados Ministerios que participan en proyectos de muchos millones de euros, como Fomento, por el espionaje económico y técnico del que puedan ser objeto (y no sólo ruso).

Si ya pasamos al ámbito privado, el de las empresas, el espionaje político o el militar pierden obviamente fuerza en favor del científico técnico y el económico en diferentes sectores -como hemos dicho, lo mismo que en la empresa pública-: las empresas rusas compiten en grandes concursos con las españolas y sus servicios tendrán un interés legítimo en favorecerlas, además del interés en obtener una ventaja técnica directa mediante el robo de información. Uno de los principales sectores de interés puede ser el energético, principal motor ruso, por lo que podemos hablar de las empresas de este sector como un objetivo claro; sin ir más lejos, recordemos el interés de Lukoil por entrar de manera severa en REPSOL hace unos años. En este grupo entrarían todas las grandes energéticas españolas (sin dar nombres, seguro que todos las identificamos), así como otras empresas ligadas directa o indirectamente al sector.

Pero más allá del energético, cuando hablábamos de las necesidades de información rusas unos posts atrás hacíamos referencia a otros sectores marcados como clave por su Estrategia de Seguridad Nacional: TIC, biomedicina, farmacia, tecnología nuclear, nanotecnología… en definitiva, sectores punteros que pueden hacer avanzar a un país de forma significativa. Nada extraño ni para los servicios rusos ni para los de ningún otro país, por supuesto. Las empresas de estos sectores serán objetivo potencial de la inteligencia rusa, como seguramente lo serán de muchos otros servicios: sus investigaciones, proyectos, patentes… valen mucho dinero. Una relación de las empresas españolas en cada uno de estos sectores no es ningún secreto, y consultando fuentes abiertas podemos hacernos una idea aproximada de posibles objetivos en España con todo lujo de detalles.

Un ámbito especialmente interesante es el del espionaje científico-técnico en empresas ligadas a Defensa, posible objetivo tanto de la inteligencia civil como de la inteligencia militar rusas. Aquí, la Dirección General de Armamento y Material (DGAM) tiene inscritas unas seiscientas empresas en su catálogo; el dato es clasificado, pero no hay más que consultar WikiPedia para obtener un interesante listado de empresas de este sector; si dejamos a un lado empresas más clásicas y nos focalizamos en tecnología (ojo, no sólo informática, hay muchas tecnologías interesantes para la Defensa… y sobre todo caras, objetos de interés ruso) obtenemos una relación jugosa de empresas en este ámbito. O más sencillo aún: podemos acudir, por ejemplo, a páginas web de asociaciones que aglutinan a las propias empresas del sector donde, en algún caso, además de proporcionar la relación de asociados -algo obvio- se clasifican éstos en función de diferentes parámetros, como el número de empleados: así podemos identificar fácilmente empresas españolas que trabajan en tecnologías para el sector Defensa o afines con, por ejemplo, menos de cincuenta trabajadores. ¿Qué significa esto? Que tenemos una excelente relación de empresas interesantes para los servicios rusos pero que además son de pequeño tamaño, lo que a priori -no tiene por qué ser así, y esperemos que no lo sea- puede implicar que son objetivos blandos; para hacernos una idea, estas empresas trabajan en entornos tan variados e interesantes como la fabricación de buques de guerra, la nanofotónica militar o la electrónica submarina…

En definitiva, España ha sido y sigue siendo un objetivo de la inteligencia rusa, no el más prioritario pero quizás sí en un segundo nivel; por tanto no es de extrañar que los servicios rusos, o las APT rusas, tengan a España en su punto de mira, tanto en la Administración Pública (prioritario) como en el sector privado (biomedicina, TIC, defensa…), buscando información alineada con sus necesidades, por supuesto siempre presuntamente. A modo de ejemplo, si en el Targeted Cyberattacks Logbook de Kaspersky seleccionamos campañas de ciberespionaje o robo de información que hayan tenido a España en el Top 10 de sus objetivos encontramos cinco, de las cuales tres son Turla, Agent.BTZ y Crouching Yeti. Nos suenan, ¿verdad? Por curiosidad, las otras dos son de habla hispana: Machete y Careto. Otros trabajos hablan claramente de España como un objetivo relevante para APT28 ([6]), MiniDuke ([7], [8]) o Energetic Bear ([9]), por poner solo unos ejemplos de APT supuestamente rusas que han impactado en nuestro país. De hecho, FireEye, en sus informes sobre EMEA, indica que en esta zona España pasó del décimo puesto en detección de APT en 2014 al tercero en 2015 ([10]), algo que demuestra que está en el punto de mira de diferentes actores -no sólo rusos-.

Para finalizar este apartado, dos comentarios. En primer lugar, es necesario recordar que los objetivos aquí identificados no constituyen en ningún caso una relación exhaustiva; aunque quizás éstos sean unas prioridades, recordemos la capacidad y voracidad de los servicios rusos y sus amplias necesidades de información: pocas organizaciones cuya información tenga valor político o económico deben considerar a Rusia una amenaza lejana -ni tampoco a otros actores-. En segundo lugar, todo lo reflejado en este post ha sido extraído de fuentes públicas y en muchos casos son opiniones estrictamente personales, como casi siempre…

Referencias
[1] Javier Morales, Eric Pardo. Rusia en la estrategia de seguridad nacional 2013. UNISCI Discussion Papers, número 35. Mayo, 2014.
[2] Claudio Reig. El espía que burló a Moscú. Ed. libros.com. Abril, 2017.
[3] Mira Milosevich-Juaristi. ¿Por qué Rusia es una amenaza existencial para Europa?. Real Instituto Elcano. Julio, 2015.
[4] Gobierno de España. Real Decreto 1886/2011, de 30 de diciembre, por el que se establecen las Comisiones Delegadas del Gobierno. BOE 315, de 31 de diciembre de 2011.
[5] Gobierno de España. Acuerdo entre el Gobierno del Reino de España y el Gobierno de la Federación de Rusia sobre la protección mutua de la información clasificada. BOE 312, de 26 de diciembre de 2014.
[6] Razvan Benchea y otros. APT28 Under the Scope. A Journey into Exfiltrating Intelligence and Government Information. BitDefender. 2015.
[7] F-Secure. The Dukes. 7 years of Russian cyberespionage. F-Secure Labs Threat Intelligence. Septiembre, 2015.
[8] Costin Raiu, Igor Soumenkov, Kurt Baumgartner, Vitaly Kamluk. The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor. Kaspersky Lab. Febrero, 2013.
[9] Symantec. Dragonfly: Cyberespionage Attacks Against Energy Suppliers. Symantec Security Response. Julio, 2014.
[10] Álvaro García. APT. Evolución de las tácticas. Situación de España en el panorama europeo. IX Jornadas STIC CCN-CERT. Diciembre, 2015.

La CCI rusa (XVI): objetivos. Países

21 de junio de 2017 Por

Cualquier país del mundo es un objetivo potencial del espionaje ruso —o no ruso—. A modo de ejemplo, la infiltración en América ha sido históricamente alta, no solo en Estados Unidos, país de prioridad máxima para la inteligencia rusa, sino también en toda América Latina.

No obstante, el mantenimiento de un gran ecosistema de inteligencia no es barato —aunque seguro que gracias a las particularidades y relaciones de los servicios rusos, no es tan caro como lo sería en otras circunstancias—, por lo que como sucede en cualquier país los rusos deben priorizar sus actividades e intereses habituales, dejando para ocasiones especiales aquellos objetivos temporales: por ejemplo, Oriente Medio y Oriente Próximo (Siria, Irán…) pueden considerarse en la lista de estos objetivos temporales, por motivos tanto de seguridad —contraterrorismo— como económicos —clientes o proveedores de bienes básicos para Rusia—.

Adicionalmente a éstos, países como Australia o Nueva Zelanda, desarrollados tecnológicamente y cercanos a Occidente —no desde el punto de vista físico, por supuesto— son también objetivo de Rusia por diferentes motivos, como el espionaje industrial. Resaltamos en gris los países objetivo del espionaje ruso:

[Read more…]

La CCI rusa (XV): objetivos. Necesidades de información

9 de junio de 2017 Por

Recapitulemos: hasta el momento llevamos varias entradas relativas a la CCI rusa, en las que hemos contextualizado a la inteligencia rusa, hemos descrito sus diferentes servicios con atribuciones ciber y hemos analizado, en la medida de lo posible, sus relaciones con terceros, describiendo así el complejo ecosistema de inteligencia en Rusia. Con este ecosistema ya descrito (en algún momento había que parar), vamos a tratar ahora de analizar los objetivos de esta inteligencia, sus necesidades de información: ¿qué busca -y dónde- Rusia?

Un poco de historia: Vasili Mitrokhin fue un archivista del KGB que, tras la disolución de la URSS, desertó y colaboró con el MI6 británico; el material exfiltrado por Mitrokhin, que dio lugar a varios libros que se conocen en su conjunto como «el archivo Mitrokhin», desvelaba entre otros muchos secretos que el líder soviético Mikhail Gorbachev ya consideraba el espionaje industrial como un aspecto clave para la supervivencia económica y para la reestructuración del país. Esto se puso de manifiesto tras la disolución de la URSS, tanto que de conformidad con su base jurídica ([3]), el objetivo de la inteligencia rusa ha sido recabar información en los ámbitos político, económico, militar, científico, técnico y ecológico para apoyar el desarrollo económico y el progreso científico-técnico y militar de la Federación Rusa; incluso el GRU tiene encomendada la adquisición de información militar, político-militar, tecnológica-militar y económica-militar. En otras palabras, a Rusia le preocupa su defensa, tanto militar como económica, desde la era soviética (a partir de la información de Mitrokhin) hasta la Rusia de final del siglo pasado. Algo, por otra parte, completamente lógico en cualquier país moderno.

Pero no es necesario remontarse ni al archivo Mitrokhin ni a la legislación que regula la inteligencia rusa para identificar las necesidades de información rusas; revisando algo más reciente, la Estrategia de Seguridad Nacional ([1]) y algunos de sus análisis (como [2]), se puede inferir que, como hemos dicho, la seguridad nacional rusa ya no se basa únicamente en las amenazas militares o políticas a la Madre Rusia -que también- sino que se habla de términos como seguridad económica o seguridad a través del desarrollo del país. En esta Estrategia de Seguridad Nacional se definen claramente las prioridades e intereses rusos:

  • Defensa nacional, que aparece en primer lugar como la prioridad básica de la Estrategia, y que hace la obligada referencia a la OTAN, a la protección de las fronteras rusas, a la estabilidad en la zona que rodea geográficamente a Rusia…
  • Seguridad pública, basada protección del sistema y la soberanía rusos -y de sus ciudadanos-; ya hablamos del modo “Guerra Fría” y del «Rusia está en peligro», no sólo físico sino también espiritual…
  • Mejora de la calidad de vida de los ciudadanos rusos, mediante la garantía de servicios y suministros básicos: agricultura, biotecnología, farmacia, infraestructuras críticas…
  • Crecimiento económico, mediante el desarrollo de tecnología y modernización de sectores clave para la economía, como el financiero o el energético, con una mención especial a las nuevas tecnologías.
  • Ciencia, tecnología y educación, proporcionando ventajas competitivas a la economía y defensa rusas mediante una estrecha colaboración público-privada; la Estrategia plasma una especial preocupación por la dependencia tecnológica de terceros países y por la transferencia del conocimiento ruso al extranjero.
  • Salud, proporcionando a los ciudadanos rusos un sistema de salud moderno con una importante componente técnica y tecnológica: informática y comunicaciones, farmacia, biotecnología, nanotecnología…
  • Cultura rusa, protegiendo la unión de todos los territorios rusos y de sus ciudadanos -diferentes etnias, culturas, problemáticas, demografía…-, en especial frente a terceros que quieran romper o corromper los valores rusos.
  • Ecología y recursos naturales, evitando el agotamiento de los recursos naturales rusos, como el mineral… o el agua.
  • Estabilidad estratégica y colaboraciones equitativas con terceros, manteniendo a Rusia como un actor clave dentro del panorama internacional -político, militar, diplomático…-.

Para asegurar estos elementos prioritarios, Rusia debe focalizar sus necesidades de información en diferentes ámbitos que pueden extraerse de la propia estrategia: defensa, seguridad interior, tecnología, energía, política, diplomacia, energía, economía, ecología… En resumen, las necesidades de información rusas han cambiado poco desde 1996 -algo que, por otra parte, es perfectamente normal-, y la ley firmada por Yeltsin a la que ya hemos hecho referencia ([3]) las dejaba claras: política, economía, defensa, ciencia, tecnología y ecología son las prioridades de la inteligencia rusa, que podemos agrupar en dos grandes frentes: la protección económica de Rusia en el sentido amplio de la palabra (incluyendo robo de información científica o técnica para proporcionar una ventaja competitiva a Rusia) y la defensa del país también en el sentido más amplio (desde el ámbito militar hasta el político… o el cultural). Por supuesto, no se trata de dos frentes inconexos, sino que se relacionan entre sí para tratar de proteger al país en el panorama internacional: el progreso técnico también se aplica al ámbito militar, por poner un ejemplo. El objetivo: garantizar su progreso y posición internacional, salvaguardando a la Madre Rusia de cualquier amenaza. ¿Recordamos aquello del modo Guerra Fría?

Empecemos por el final: la ecología. El interés ruso por el medio ambiente es histórico: Rusia tiene un Ministerio denominado «de Recursos Naturales y Medio Ambiente» o una Agencia Federal para la supervisión de asuntos ecológicos, tecnológicos y nucleares (Rostekhnadzor); además, justo este año 2017 ha sido declarado por Putin como año de la ecología. Pero, ¿por qué tanto interés ecológico? ¿Por qué el Kremlin mantiene la ecología como uno de sus intereses prioritarios? Si nos fijamos en los nombres y atribuciones del Ministerio y la Agencia Federal que hemos comentado podemos intuir una explicación: cuando se habla de ecología no debemos entenderla en el sentido del respeto al medio ambiente, sino como la protección de los recursos naturales rusos y la superioridad que dichos recursos proporcionan al país; dicho de otra forma: “ecología” en ruso significa, más o menos, “energía”. Ya dijimos al principio de esta serie de posts que Rusia posee las mayores reservas de recursos energéticos y minerales del mundo todavía sin explotar, por lo que es considerada la mayor superpotencia energética, así como también la mayor reserva mundial de recursos forestales, y dispone además de la cuarta parte de agua no congelada del mundo. Obviamente Rusia sabe que esto le proporciona una posición ventajosa frente a otros países, usa esta ventaja y por supuesto la protege; por tanto, cuando se habla de ecología se habla de energía, y de hecho Rusia en más de una ocasión ha utilizado sus reservas energéticas para obtener influencia mundial o, al menos sobre otros países de los que Rusia es proveedor (recordemos la novena prioridad de las expuestas anteriormente: mantenimiento de Rusia como un actor clave en el panorama internacional). Curiosamente, algunas APT tan dirigidas a objetivos energéticos como Sandworm o Energetic Bear están atribuidas a Rusia, bien o mal. Sólo curiosamente.

En relación al ámbito científico y técnico, en [7] se puede obtener una excelente visión de las actividades de inteligencia rusas en estas áreas. Rusia mantiene una actividad comparable, según todas las hipótesis o incluso las declaraciones de altos cargos de la ODNI estadounidense o del MI5 británico, a la de la antigua Unión Soviética e identifica claramente sectores clave para su desarrollo ([1]): energía -de la que ya hemos hablado-, tecnologías de la información, telecomunicaciones, biomedicina, farmacia, tecnología nuclear, nanotecnología… Y para lograr este desarrollo la inteligencia de señales, de todas las señales, juega un rol muy interesante para los servicios rusos, quizás por encima de la inteligencia de fuentes humanas, aunque también es cierto que diferentes países han expulsado a científicos de sus universidades, empresas y centros de investigación por descubrir robos de información presuntamente vinculados a los servicios rusos, desde Suecia (Ericsson, 2002) hasta Holanda (Universidad de Tecnología de Eindhoven, 2014). Ya en inteligencia de señales, estas necesidades de información pueden convertir en objetivos de la inteligencia rusa a empresas, universidades, centros de investigación… sin importar su tamaño -una APT es más barata que las fuentes humanas- que trabajen en tecnología puntera, I+D+i, diseños, patentes… de los campos citados con anterioridad. Aunque quizás siempre pensemos que el actor más activo en estos ámbitos es China, recordemos a Jeffrey Carr: “The threat from China is over-inflated, while the threat from Russia is underestimated”.

Como hemos dicho, el FSB o el resto de servicios buscan hacer cada vez más competitiva a Rusia en el panorama internacional ([6]), y obtener esa posición relevante y apoyar el progreso de la nación no se basan exclusivamente en ciencia y tecnología, que también, sino que se extienden a la adquisición de información que proporcione una ventaja económica directa; en este ámbito, en el económico, algunos analistas ([5]) identifican una guerra abierta entre el SVR y el GRU, guerra a la que tampoco es ajeno el FSB: ya hemos hablado en anteriores posts de la serie de las acusaciones del DoJ estadounidense contra agentes del FSB en relación al ataque a Yahoo, a los que acusa, entre otras cosas, de espionaje económico. Como cualquier actor del mundo (cualquiera), Rusia aprovecha sus capacidades y actividades de inteligencia para obtener un beneficio económico para el país y para catalizar el desarrollo tecnológico nacional; recordemos la base jurídica a la que hemos hecho referencia, que encomienda a la inteligencia apoyar el desarrollo económico y el progreso científico-técnico y militar del país. Este apoyo puede implicar desde robo de información por parte de una APT hasta compromisos más severos, por ejemplo para reforzar la posición de empresas nacionales en concursos frente a empresas de terceros países.

En cualquier caso, la principal prioridad rusa parece seguir siendo la defensa. Militarmente, Rusia tiene claras sus necesidades, y éstas pasan por el interés en la información de sus vecinos y en el ámbito OTAN; y en especial, de sus vecinos cercanos al ámbito OTAN, como son las ex Repúblicas Soviéticas más cercanas a la influencia de la Alianza. Rusia considera “inaceptable” el acercamiento de la OTAN a sus fronteras, que ve como una amenaza a la integridad de la Madre Rusia (de nuevo, recordemos todo aquello del modo Guerra Fría); de esta manera, la inteligencia rusa puede tener interés, hipotéticamente, en tratar de debilitar a «Occidente» (el ámbito OTAN, dicho de otra forma): una OTAN fuerte es un peligro para los rusos, al menos bajo su punto de vista. Curiosamente, como siempre, APT28 tiene entre sus objetivos a organizaciones como OTAN u OSCE, empresas europeas que trabajan para defensa y países del este de Europa, entre otros.

También relativo a la defensa, aunque quizás más cercano a la seguridad interior (o a la «seguridad pública» según la estrategia), Rusia está preocupada por el terrorismo cerca o incluso dentro de sus fronteras; el golpe sufrido por el país en el teatro Dubrovka de Moscú en octubre de 2002 hizo ver a Rusia su exposición al terrorismo en el mismo corazón del país -no hablaremos de los atentados en apartamentos (1999) y su análisis-. Adicionalmente, Rusia ha sufrido terribles ataques indiscriminados de grupos islamistas, algunos cercanos -en otros no tanto- al independentismo de determinadas repúblicas rusas; recordemos el derribo del avión de Metrojet o, ya este mismo año, los ataques en el metro de San Petersburgo. Su controvertido rol en conflictos como el sirio han puesto al país en el punto de mira de diferentes grupos, con lo que las necesidades de información en este sentido están más que justificadas. De hecho, según algunos analistas ([8]) APT28 está muy interesada en Siria desde el inicio del conflicto, algo de nuevo compatible con las supuestas necesidades de información del gobierno ruso.

Por último, en el ámbito político y diplomático, como en el de defensa, Rusia tiene un especial interés en lo que denominan “Occidente”; algunos servicios europeos, como el AIVD holandés ([4]), han alertado públicamente del interés ruso en la desestabilización de la Unión Europea -y por extensión de la OTAN- a través de una estrategia de “divide y vencerás” en la que a través de diferentes vías, una de ellas la del suministro energético, Moscú trata de atraer a estados miembros a su órbita; por este motivo, parece lógico que un interés muy relevante en cuanto a necesidades de información para la inteligencia rusa sea conocer cómo influenciar, directa o indirectamente, en las grandes decisiones de terceros países, por supuesto para aprovechar esa influencia en beneficio propio: imaginemos desde una posible operación de bandera falsa en medios de comunicación (o no) hasta una intervención de elecciones en algún país (siempre hipotéticamente, por supuesto) que debilite un poco a la OTAN. O recordemos a The Dukes y algunos de sus objetivos, Ministerios de Asuntos Exteriores de países de Europa del Este, o a APT29 y su interés en la política europea y estadounidense. Profundizaremos, en el próximo post de la serie, en los países en los que Rusia puede tener un mayor interés.

En resumen, dos grandes objetivos y por tanto dos grandes familias de necesidades de información: por un lado la protección de Rusia desde una perspectiva de defensa de la nación (militar, política, diplomática…) y por otro la protección económica de Rusia (ecología, economía, tecnología…), estando ambos frentes relacionados en muchos casos. La Madre Rusia debe seguir siendo una potencia mundial en todos los sentidos, algo por supuesto completamente legítimo y habitual para unos servicios de inteligencia.

Referencias
[1] President of the Russian Federation. Strategy for the national security of the Russian Federation up to 2020. Mayo, 2009.
[2] Keir Giles. Russia’s National Security Strategy to 2020. NATO Defense College Research Division. Junio, 2009.
[3] President of the Russian Federation. On Foreign Intelligence. Russian Federation Federal Law no. 5. Enero, 1996.
[4] General Intelligence and Security Service. Annual Report 2014. AIVD. Abril, 2015.
[5] Mark Galeotti. Putin’s Hydra: Inside Russia’s Intelligence Services. European Council on Foreing Relations. Mayo, 2016.
[6] Jared S. Easton. The Industrial Spy Game: FSB as Russian Economic Developer. Modern Diplomacy. Agosto, 2015.
[7] Fredrik Westerlund. Russian Intelligence Gathering for Domestic R&D – Short Cut or Dead End for Modernisation? Swedish Defence Research Agency (FOI). Abril, 2010.
[8] FireEye. APT28: at the center of the storm. FireEye. Enero, 2017.

La CCI rusa (XIV): el ecosistema de inteligencia. Cibercrimen

2 de mayo de 2017 Por

Las relaciones del Kremlin (por extensión, de sus servicios de inteligencia) con el crimen organizado “clásico”, con las mafias rusas, es un hecho más o menos probado; sin ir más lejos, en documentos filtrados por WikiLeaks el fiscal español José Grinda vincula directamente a la mafia rusa con los servicios de inteligencia del país.

Pero más allá de estas filtraciones de WikiLeaks y su grado de fiabilidad, en informes públicos -en este caso, del mismo fiscal- se ha puesto de manifiesto dicha relación de manera oficial y abierta ([1]), diciendo textualmente «[…] parte del FSB, que ha implantado un régimen de crimen organizado en determinadas esferas del poder ruso a través del cada vez mayor control del crimen organizado, tesis que ya fuera sostenida por el fallecido Litvinenko«; dicho de otra forma, se asumen las tesis de Alexander Litvinenko relativas a que los servicios rusos controlan por completo a los grupos mafiosos del país, obteniendo un beneficio mutuo de esta relación.

Recordemos, que Litvinenko, antiguo agente del KGB y del FSB, fue asesinado con Polonio 210 tras sus duras críticas al FSB y a sus actividades al margen de toda legislación, asesinato por el cual Reino Unido intentó extraditar al ex oficial del FSO Andrey Lugovoy, que casualmente disfruta de inmunidad en Rusia por ser miembro de la Duma; de la historia de Litvinenko, y de su especial colaboración con los servicios y la Justicia españoles, se puede obtener una excelente visión en [2].

Es de esperar que las relaciones de los servicios rusos con el crimen organizado, de las que ya dimos pinceladas de su origen en el post de esta serie relativo al ecosistema de inteligencia, se extiendan al ámbito tecnológico, a lo que denominamos cibercrimen -o cibercrimen organizado-; siempre de manera hipotética, por supuesto… De hecho, oficialmente es todo lo contrario: el FSB, dentro de sus atribuciones policiales tiene encomendadas actividades contra el cibercrimen, según algunos analistas incluso reemplazando con su 16a Dirección, de la que ya hemos hablado en posts anteriores, a la famosa Dirección K del Ministerio del Interior ruso ([6]), que oficialmente investiga el ciberdelito y las actividades ilegales relacionadas con tecnologías en Rusia; recordemos además que esta Dirección del FSB dispone de capacidades CNA, que quizás puedan ser activadas contra grupos de cibercriminales siempre que sea interesante para la Madre Rusia… en cualquier caso, al menos sobre el papel las dos Direcciones de ambos organismos se complementan a la perfección en sus actividades contra la delincuencia tecnológica ([3]).

Un hecho cierto es que el gobierno ruso, tanto a través del FSB como de la Dirección K de su Ministerio del Interior, ha dado pasos para combatir las actividades delictivas en Internet, aunque también es cierto que dichos esfuerzos se han focalizado más en combatir tales actividades cuando han impactado contra intereses rusos que, cuando con origen en Rusia, han impactado contra intereses extranjeros.

A modo de ejemplo, en [10] se analizan algunas de las notas de prensa publicadas en 2016 por el FSB en este sentido: en total, tres notas para informar de:

  • La detención de un grupo organizado, ruso, que había robado varios millones de euros a bancos rusos (junio).
  • El descubrimiento de un código dañino (sin especificar origen) que había comprometido diferentes organizaciones gubernamentales, militares, de investigación… rusas (julio).
  • El aviso al gobierno y la ciudadanía rusos relativo a ciberataques masivos contra sus infraestructuras, provenientes de servicios extranjeros, ataque que finalmente no se produjo o fue perfectamente mitigado por las capacidades rusas (diciembre).

Como vemos, las principales acciones han sido orientadas a proteger a Rusia y sus intereses (cosa obvia, dicho sea de paso) más que a colaborar con terceros para mitigar problemas originados en Rusia, aunque también -ya sin nota de prensa oficial- es público que en noviembre del pasado año el FSB detuvo al grupo detrás del malware bancario Dyre, de origen ruso pero con víctimas de casi todo el mundo… menos de Rusia.

La última de las actividades más notorias del Servicio durante el año pasado, también sin nota de prensa asociada, fue la detención, en diciembre, de Sergey Mikhaylov y Ruslan Stoyanov, ambos relacionados de una u otra forma, pasada o presente, con unidades gubernamentales especializadas en la lucha contra el cibercrimen, aunque dicha detención no parece relacionada con dicha lucha: la acusación oficial habla, sencillamente, de «traición», lo que puede interpretarse de muchas formas (incluso ya se apunta a su colaboración con la CIA o el FBI), no todas positivas de cara a demostrar el interés de las autoridades rusas para combatir el delito en la RuNET.

Históricamente, Rusia ha sido cuna de unas capacidades técnicas muy elevadas, capacidades que pueden usarse para bien o para mal; ya hablamos en un post anterior del establecimiento de relaciones de los servicios rusos con su ecosistema de inteligencia y de la situación vivida a finales del pasado siglo. Extrapolando esta situación al ámbito ciber es fácil comprender cómo las capacidades técnicas rusas pueden orientarse con facilidad hacia negocios no legales, a lo que denominamos ciberdelito o cibercrimen: desde spam o phishing hasta pornografía infantil, pasando por falsificación y venta de documentos oficiales; un repaso general al cibercrimen ruso puede ser el reflejado en [11].

Y en cuanto a la relación entre inteligencia y crimen organizado en este ámbito ciber, ya a finales del siglo pasado, en la operación Moonlight Maze, se hablaba de posibles relaciones entre el FSB y cibercriminales para dar cobertura a ciertas actividades en las que los servicios no deben verse envueltos de manera directa.

Si queremos hablar del cibercrimen ruso es obligatorio hacer referencia a la RBN (Russian Business Network), analizada a la perfección en [4], quizás el estudio más completo sobre la misma, donde se define la RBN como «una infraestructura completa para la provisión de servicios dañinos», indicando además que «no hay ni un solo cliente legítimo en la RBN»; sobran los comentarios. En definitiva, un proveedor de soluciones para la delincuencia, ajustadas a las necesidades de sus clientes… y desaparecido (o no) en noviembre de 2007; en el capítulo 8 de [3] se resume la curiosa historia de esta «desaparición», en opinión de muchos una simple reestructuración de la RBN para hacer menos visibles sus actividades. Algunos de los principales operadores de la RBN han tenido estrechas relaciones con los servicios rusos: es público que al menos uno de ellos, Alexandr Boykov, fue Teniente Coronel del servicio ([5]).

Adicionalmente, algunos analistas defienden la relación simbiótica entre la RBN, los hackers patrióticos y el gobierno o los servicios rusos ([8], [9], trabajos ya referenciados en posts anteriores de esta serie); dicha relación se basa en la permisividad de los primeros en relación a las actividades delictivas siempre que se ejecuten fuera de Rusia a cambio del apoyo de los segundos cuando una situación lo requiera: Georgia, Estonia… Dicho de otra forma: te dejamos trabajar pero no molestes a nuestros compatriotas; y si te necesitamos, nos tienes que echar una mano. Recordemos: nadie dice no al FSB. De hecho, algunos analistas defienden la hipótesis de que el FSB puede conmutar penas de prisión a cambio de colaboración activa; hablando en plata, ofrece a imputados por cibercrimen libertad a cambio de trabajos «especiales» (aunque también es cierto que esto se ha dicho, popularmente, de otros muchos servicios).

El último ejemplo que ha salido a la luz y pone de manifiesto la relación estrecha -potencial, potencial…- entre el cibercrimen y la inteligencia rusa es quizás el del hackeo de Yahoo en 2014, que según el Departamento de Justicia estadounidense se atribuye a la colaboración directa del FSB con actores individuales asociados al cibercrimen (la nota de prensa del DoJ, [7], se ha publicado en marzo de 2017); acusación oficial de relaciones entre servicios rusos y grupos de crimen organizado, proveniente nada más y nada menos que del gobierno estadounidense (con dos supuestos agentes del FSB citados con foto, nombre y apellidos, Dmitry Aleksandrovich Dokuchaev e Igor Anatolyevich Sushchin, entre los más buscados del ámbito ciber por el FBI), y como siempre con la correspondiente negación oficial del gobierno ruso.

También el FBI acusa a Evgeniy Bogachev, el ciberdelincuente más buscado y por el que se ofrece una recompensa de tres millones de dólares, no sólo de actividades asociadas a delincuencia económica (es el creador de Gameover Zeus y Cryptolocker), sino también por la posible interferencia -operado por el FSB- en el proceso electoral estadounidense. ¿Otra prueba de esta relación potencial? ¿Información negativa proporcionada por el gobierno estadounidense? Quién sabe… en definitiva, intuimos, aunque no podemos asegurar, que existe una relación directa entre el cibercrimen y los servicios de inteligencia en Rusia, como parece existir la relación entre dichos servicios y el crimen organizado clásico. Posiblemente sí, o posiblemente no, como casi siempre en esta guerra…

Referencias
[1] José Grinda González. Regulación nacional e internacional del crimen organizado. Experiencia de la Fiscalía Anticorrupción. Fiscalía General del Estado. España. Septiembre, 2015.
[2] Cruz Morcillo, Pablo Muñoz. Palabra de Vor. Espasa, 2010.
[3] Jeffrey Carr. Inside Cyber Warfare: Mapping the Cyber Underworld. O’Reilly, 2011.
[4] David Bizeul. Russian Business Network Study. Noviembre, 2007. http://fatalsystemerrorbook.net/pdf/Bizuel_onRBN.pdf
[5] Casimir C. Carey III. NATO’s Options for Defensive Cyber Against Non-State Actors. United States Army War College. Abril, 2013.
[6] Timothy Thomas. Russia’s Information Warfare Strategy: Can the Nation Cope in Future Conflicts?. The Journal of Slavic Military Studies. Volume 27, Issue 1. 2014.
[7] US DoJ. U.S. Charges Russian FSB Officers and Their Criminal Conspirators for Hacking Yahoo and Millions of Email Accounts. https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions. Marzo, 2017.
[8] Viktor Nagy. The geostrategic struggle in cyberspace between the United States, China, and Russia. AARMS. Vol. 11, No. 1 (2012) 13–26.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.
[10] Filip Kovacevic. Security Threats to Russia: The Analysis of the 2016 FSB Press Releases (Part 3 – Hacking & Other Challenges). https://www.newsbud.com/2017/01/12/security-threats-to-russia-the-analysis-of-the-2016-fsb-press-releases-part-3-hacking-other-challenges/. Enero, 2017.
[11] Brian Krebbs. Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door. Sourcebooks, 2014.

Móntate tu CON

1 de abril de 2017 Por

¿Qué pasa artistas, qué marcha me lleváis? Hoy vamos a tratar un tema que estamos viendo que os preocupa mucho a la muchachada y que no para de comentarse por todas partes… ¡LAS CON!

¿A que te estás pensando montar una CON? Claro, eso sí que os gusta, sí. Vendimiar con escarcha no, pero las CON sí, ¿eh pájaro? Además, como casi no hay, se echa en falta alguna. Vamos a ver unos consejillos para que te salga que ni bordada y que vaya más gente que a misa el día de la fiesta. Estaros al sopesquete:
[Read more…]

La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

23 de marzo de 2017 Por

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.

En Rusia han sido identificados diferentes grupos que podríamos denominar afines al Kremlin (desde Chaos Hackers Crew, en 1999, hasta Cyber Berkut, activo en el conflicto con Ucrania) y a sus acciones, grupos que han focalizado sus actividades en defacements y, en especial, en ataques DDoS contra objetivos que han sido considerados contrarios a los intereses rusos. De cada una de las operaciones de estos grupos hay literatura y más literatura; un excelente resumen de las más notorias puede encontrarse en [8]. Ya en 1994, en la Primera Guerra Chechena, algunos grupos patrióticos usaron la entonces incipiente web para actividades de propaganda y operaciones psicológicas (PSYOP), en ese momento con victoria chechena, victoria que cambiaría de bando tiempo después (1999) en la Segunda Guerra Chechena ([3]). Años más tarde, en 2007, Rusia lanza una ofensiva ciber contra Estonia que detiene la operación de la banca online de los principales bancos estonios, bloquea el acceso a medios de comunicación e interrumpe comunicaciones de los servicios de emergencia ([4]); pero no hay muertos ni heridos en ninguno de los bandos, a diferencia de lo que sucede poco más tarde (2008) en Georgia, donde se produce una ofensiva híbrida -el primer caso conocido en la historia- compuesta por ciberataques y una invasión armada, conflicto en el que surgen diferentes grupos que animan a atacar -en especial, mediante DDoS a los sitios web que apoyan al bando contrario. Estos ataques de denegación era diferentes de los lanzados contra Estonia: no sólo se basaban en la inyección de grandes volúmenes de tráfico o peticiones contra el objetivo, sino que además empleaban técnicas más sofisticadas, como el uso de determinadas instrucciones SQL para introducir carga adicional en dicho objetivo, amplificando así el impacto causado.

Más o menos a la par que a Georgia le llega el turno a Lituania, también en 2008 y, como en Estonia, en respuesta a decisiones políticas que no gustan a sus vecinos rusos; en este caso el gobierno lituano decide retirar los símbolos comunistas asociados a la antigua URSS, lo que provoca ataques de denegación de servicio y defacements de páginas web para ubicar en ellas la hoz y el martillo. Unos meses después de las acciones en Lituania, comienzan ataques contra Kyrgyzstan, ya en 2009 y de nuevo tras decisiones políticas que no gustan a los rusos, ahora relativas al uso de una base aérea del país por parte de los estadounidenses, clave para el despliegue americano en Afganistán. En este caso se trata de ataques DDoS contra los principales ISP del país, que degradaron más todavía las ya precarias infraestructuras kirguisas, con origen en direccionamientos rusos pero, según algunos expertos, con muchas más dudas en la atribución que otros ataques del mismo tipo sufridos anteriormente por otros países. También en 2009 Kazakhstan, otra ex República Soviética -y por tanto de interés prioritario para la inteligencia rusa- sufre ataques DDoS tras unas declaraciones de su Presidente en las que criticaba a Rusia.

Por último, ya en 2014, Ucrania se convierte en otro ejemplo de guerra híbrida, tal y como sucedió en Georgia años atrás, y en una excelente muestra del concepto ruso de guerra de información, con ataques no solo DDos sino, en especial, de desinformación a través de redes sociales: VKontakte, supuestamente bajo control de los servicios rusos (ya hablamos de la relación de estos con empresas, tecnológicas o no), es la red social más usada en Ucrania, lo que ofrece una oportunidad inmejorable para poner en práctica esa desinformación ([6]). Por diferentes motivos, entre ellos la propia duración del conflicto, Ucrania es un excelente ejemplo del rol de los hackers patrióticos por parte de ambos bandos (Cyber Berkut por el lado ruso y RUH8 por el ucraniano), apoyando intervenciones militares tradicionales, poniendo en práctica guerra de información, operaciones psicológicas, DDoS, ataques a infraestructuras críticas…

La presencia y operaciones de los patriotic hackers rusos parece indiscutible; la duda es conocer la relación de estos grupos y sus acciones con el Kremlin y con sus servicios, si existe, y el grado de control que pueda tener el gobierno ruso sobre los mismos… e incluso su relación con otros actores de interés para la inteligencia rusa, como el crimen organizado, del que hablaremos en el próximo post de la serie. Acciones como las ejecutadas contra servidores ucranianos en 2014 por parte de Cyber Berkut mostraron unas TTP muy similares a las empleadas con anterioridad en Estonia o Georgia, lo que vincularía estas acciones no solo a grupos correctamente organizados, sino también induciría a pensar una posible vinculación con el Kremlin, a raíz de la hipotética atribución de estas últimas acciones con el gobierno ruso ([2]). En [9] se realiza un interesante análisis de la relación entre los hackers patrióticos, el cibercrimen y los servicios de inteligencia rusos durante el conflicto armado con Georgia, en 2008; adicionalmente, también en las tensas relaciones entre Rusia y Georgia se genera otra hipotética prueba, al menos especialmente curiosa, de la vinculación entre ataques, hackers patrióticos y servicios rusos: en 2011 el CERT gubernamental georgiano ([7]), ante un caso de ciberespionaje supuestamente ruso, decide comprometer voluntariamente un equipo con el malware usado por los atacantes, poner un fichero señuelo en el mismo y a su vez troyanizar dicho archivo con un software de control remoto. Cuando el atacante exfiltró el honeypot, el CERT pudo tomar el control de su equipo, grabando vídeos de sus actividades, realizando capturas a partir de su webcam y analizando su disco duro, en el que se encontraron correos electrónicos supuestamente entre un controlador -dicen las malas lenguas de algunos analistas que del FSB, quién sabe…- y el atacante, intercambiando información de objetivos y necesidades de información e instrucciones de cómo usar el código dañino

Con independencia de las relaciones de los servicios rusos con grupos de hackers patrióticos, la infiltración o el grado de control sobre los mismos, lo que sí es cierto es que en determinados casos el FSB ha evitado, de forma pública, ejercer sus funciones policiales para perseguir actividades a priori delictivas de los hackers patrióticos rusos: en 2002, estudiantes de Tomsk lanzaron un ataque de denegación de servicio contra el portal Kavkaz-Tsentr, que hospedaba información sobre Chechenia molesta para los rusos; la oficina local del FSB publicó una nota de prensa en la que se refería a estas acciones de los atacantes como una legítima «expresión de su posición como ciudadanos, digna de respeto» ([5]). Y lo que sí es indiscutible es que tras decisiones de un gobierno soberano que pueden ser contrarias a los intereses del gobierno ruso o simplemente a su opinión, dicho gobierno sufre ataques más o menos severos -en función de la importancia de dicha decisión- contra sus infraestructuras tecnológicas, al menos en zonas especialmente relevantes para la inteligencia y el gobierno rusos como son las ex Repúblicas Soviéticas; por supuesto, ataques que es difícil ligar de manera fehaciente al gobierno ruso o a hackers patrióticos de este país, pero que se producen en cualquier caso.

Para acabar, un detalle: los hackers patrióticos rusos no solo han ejecutado acciones contra terceros países, sino que también han operado dentro de la RUNet; uno de los casos más conocidos es el de Hell, actuando contra movimientos liberales rusos: opositores al gobierno, periodistas, bloggers… y del que (o de los que) han circulado indicios de su vinculación con el FSB (recordemos, inteligencia interior), en concreto con el CIS de este servicio. En 2015 se juzga y condena en Alemania a Sergei Maksimov, supuestamente Hell, por falsificación, acoso y robo de información; aunque se enfrenta a tres años de cárcel, la condena impuesta es mínima. ¿Era Maksimov realmente Hell? ¿Existían vinculaciones entre esta identidad y el FSB? ¿Era Hell parte del propio FSB, de la unidad 64829 de este servicio? Ni lo sabemos, ni probablemente nunca lo sepamos, como quizás tampoco sepamos si Nashi, una organización patriótica juvenil nacida al amparo del Kremlin -esto sí que lo sabemos, es público- organizó ataques DDoS no sólo contra Estonia en 2007, sino también contra medios de comunicación rusos contrarios a las políticas de Putin, e igualmente intentó reclutar a periodistas y bloggers para conseguir su apoyo en actividades contrarias a los opositores al gobierno ruso… al menos eso dicen los correos robados por Anonymous -presuntamente, como siempre- a Kristina Potupchik, portavoz de Nashi en su momento y, más tarde, «ascendida» a responsable de proyectos en Internet del Kremlin (esto también es público).

Referencias
[1] Johan Sigholm. Non-State Actors in Cyberspace Operations. In Cyber Warfare (Ed. Jouko Vankka). National Defence University, Department of Military Technology. Series 1. Number 34. Helsinki, Finland, 2013.
[2] ThreatConnect. Belling the BEAR. Octubre, 2016. https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/
[3] Kenneth Geers. Cyberspace and the changing nature of warfare. SC Magazine. Julio, 2008.
[4] David E. McNabb. Vladimir Putin and Russian Imperial Revival. CRC Press, 2015.
[5] Athina Karatzogianni (ed.). Violence and War in Culture and the Media: Five Disciplinary Lenses. Routledge, 2013.
[6] Andrew Foxall. Putin’s Cyberwar: Russia’s Statecraft in the Fifth Domain. Russia Studies Centre Policy Paper, no. 9. Mayo, 2016.
[7] CERT-Georgia. Cyber Espionage against Georgian Government. CERT-Georgia. 2011.
[8] William C. Ashmore. Impact of Alleged Russian Cyber Attacks. In Baltic Security and Defence Review. Volume 11. 2009.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.

Imagen cortesía de Zavtra.RU