(Ciber) GRU (VI): y ahora, ¿qué?

La información que ha visto la luz durante 2018, tanto la oficial de los gobiernos de Reino Unido, Estados Unidos, Holanda y Canadá, como la no oficial de investigaciones adicionales, tanto particulares como de diferentes organizaciones (destacando a Bellingcat y RFE/RL, Radio Free Europe/RadioLiberty) ha expuesto mucha información interesante del GRU. Nos ha facilitado datos de sus unidades (identificación, estructura, funciones, ubicación física…), de personas que forman parte del servicio (identidades, empleos, funciones, aliases, relaciones, ámbito personal…) y de sus operaciones (objetivos, TTP, software, artefactos, IOC…). Adicionalmente, han puesto de manifiesto unas medidas deficientes de seguridad operacional, medidas que han permitido ampliar más si cabe las investigaciones iniciales y han sacado a la luz identidades, domicilios particulares, relaciona familiares… de miembros -o antiguos miembros- del GRU.... Leer Más

(Ciber) GRU (IV): septiembre 2018

Serguei Skripal era un agente del GRU que había sido detenido en el año 2004, acusado de colaborar con el MI6 británico y condenado por alta traición hasta que en 2010 fue canjeado por agentes rusos detenidos en el marco de la Operación Ilegales. Desde entonces vivía en Reino Unido, aparentemente alejado de cualquier actividad “molesta” ligada a su pasado como miembro del Servicio. Sin embargo, en marzo de 2018 aparece inconsciente junto a su hija Yulia -de visita en Reino Unido- en un banco de Salisbury, supuestamente víctima de un ataque con Novichok, un agente nervioso soviético, del que Reino Unido acusa a Rusia sin muchos más detalles.

A finales de junio dos británicos, un hombre y una mujer, son ingresados en el hospital del distrito de Salisbury; los había traído una ambulancia desde Amesbury, a pocos kilómetros de donde fueron envenenados el ex agente del GRU y su hija. La investigación confirma que han sido envenenados también con Novichok, aparentemente por accidente: ninguno de ellos tenía relación previa con lo sucedido en marzo y, posiblemente, encontraron por casualidad el agente nervioso en lo que parecía ser una botella de perfume abandonada en un parque. Al rociarse, se contaminaron; la mujer murió a principios de julio a consecuencia de los efectos de la contaminación. [Read more…]

Ciber (GRU) (II): SIGINT histórica

El GRU, la Unidad Militar 44388, obtiene y procesa inteligencia de múltiples disciplinas, incluyendo IMINT, SATINT y por supuesto OSINT, con necesidades de información ligadas al ámbito militar, político, tecnológico, económico y ecológico/energético ([1]). Ya se indicó en el artículo dedicado al GRU, dentro de la serie relativa a la Comunidad de Ciberinteligencia Rusa, que la Sexta Dirección del GRU ha tenido históricamente las atribuciones SIGINT (COMINT y ELINT) del Servicio; una excelente descripción de estas atribuciones se encuentra en [2]; en la imagen, la estructura histórica  del GRU: 

La Sexta Dirección, directamente dependiente del Director Adjunto para Asuntos Técnicos del Servicio, se estructuraba en cuatro divisiones:  [Read more…]

(Ciber) GRU (I): Introducción

Como ya adelantamos en el post donde se hablaba de él, dentro de la serie sobre la Comunidad de Ciberinteligencia rusa, el GRU (GU) es el más opaco de los servicios rusos, manteniendo casi intacta su herencia soviética frente a los “occidentalizados” FSB o SVR: de hecho, la estructura y funcionamiento del Servicio no ha sido especialmente conocida, siendo la principal referencia [1] hasta hace más bien poco. Más allá de datos puntuales de operaciones sin una atribución clara, o de las identidades de su Director y Directores Adjuntos -nada secreto-, poco o nada se sabía del Servicio. Sin embargo, y seguramente muy a pesar del GRU, en 2018 hay -hasta ahora- tres hechos que dan un giro radical a esta opacidad: [Read more…]

Las 5 claves de un Plan de Seguridad del Operador para un servicio de salud

(Esta entrada ha sido elaborada por Juan Carlos Muria y Samuel Segarra.)

Y finalmente llegó: El Plan Estratégico Sectorial (PES) para el sector de la salud fue publicado a finales de octubre, y ahora llega el momento, para los operadores elegidos, de redactar el Plan de Seguridad del Operador (PSO) en menos de seis meses, sin olvidar que a continuación sólo habrá cuatro meses para detallar los Planes de Protección Específicos (PPE) para cada una de las infraestructuras críticas, y finalmente los Planes de Apoyo Operativo (PAO).

Esto es lo mínimo requerido por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), como respuesta a las reuniones mantenidas y los correos intercambiados con los distintos operadores.

La estructura de estos planes viene definida por el propio CNPIC, con lo que hemos preferido poner el foco en las cosas que un operador del ámbito sanitario debe tener en cuenta, y ya que estamos en un blog y el contenido debe ser breve y concreto, hemos decidido destacar las 5 cosas más importantes, las que no deben faltar en un PSO ¿Comenzamos?
[Read more…]

5ª edición del programa formativo de S2 Grupo: ENIGMA

El equipo de S2 Grupo quiere compartir con todos los lectores de Security Art Work que el pasado lunes dio comienzo la 5ª edición del programa formativo insignia de S2 Grupo, ENIGMA.

El programa ENIGMA complementa la formación universitaria, focalizándose en la ciberseguridad, desde un punto de vista eminentemente práctico. Con unos cuantos años a sus espaldas, ENIGMA representa uno de los proyectos de referencia para los estudiantes universitarios, que tienen la posibilidad de aprender sobre el terreno, distintas disciplinas de la ciberseguridad.

15 jóvenes talentos que cursan sus últimos años, o recién licenciados, de carreras como Ingeniería Informática, de Telecomunicaciones e Industriales han sido seleccionados de entre los más de 150 inscritos.

El programa ENIGMA pretende formarlos en materia de ciberseguridad e inteligencia con la intención de ofrecerles, a posteriori, la posibilidad de incorporarse a nuestra plantilla como empleados. [Read more…]

YaraRET (I): Carving con Radare2 y Yara

Durante la gestión de casos forenses, hay veces que nos encontramos en un callejón sin salida, donde tras la detección de un indicador de compromiso de carácter crítico, nos toca abordar un análisis con evidencias poco sólidas.

Es por ello, que decidí llevar a cabo el desarrollo de una herramienta de carving que se basara en la detección con reglas Yara. Dicha herramienta también debía de manejar archivos en raw y ser capaz de llevar a cabo una gran variedad de opciones sobre estos datos de manera flexible, por lo que decidí utilizar Radare2.

De esta combinación nació YaraRET, una herramienta de carving de ficheros desarrollada en Go, cuya versión estable está disponible en el repositorio de YaraRules: https://github.com/Yara-Rules/YaraRET

La versión de desarrollo puede ser encontrada en el siguiente repositorio: https://github.com/wolfvan/YaraRET

Así pues, durante el siguiente artículo se va a exponer la resolución de un caso forense ficticio con YaraRET, el cual está basado en la combinación de varios casos que me he ido encontrando desde hace unos cuantos meses. [Read more…]

Laboratorio de hacking III: Nexx WT3020F SWORD

En esta parte de la serie de artículos de creación de herramientas trataremos el montaje de una dropbox que podremos dejar abandonada en una red a la que queramos tener acceso.

SWORD es un portal web instalado en un pequeño dispositivo, normalmente un router, en el que puedes hacer un pivote y hacer ataques desde él mientras el equipo principal se puede dedicar a otras cosas.

Su funcionamiento puede recordar a la herramienta Packet Squirrel de Hak5 en cuanto al tamaño y finalidad, aunque difiere un poco en su forma de trabajar. Mientras que Packet Squirrel  se conecta entre un host y el hub de red y selecciona 1 de entre 3 payloads que tiene precargados vía switch físico, SWORD se conecta de la misma manera pero tiene todo lo necesario precargado de forma que es necesaria una conexión hacia él, ya sea vía red física o por un punto de acceso que creemos desde el dispositivo, aunque si usamos este último, no podremos utilizar algunos ataques Wifi como por ejemplo los destinados a WEP y WPA. [Read more…]

Soluciones FDP (Fraud Detection and Prevention). El poder de la correlación de eventos para la acción preventiva

Durante los últimos años han proliferado en el mercado tecnológico soluciones relacionadas con la detección del fraude a través de sistemas de inteligencia artificial basada en explotación de datos masiva (Big Data). La detección de patrones anómalos y correlación de eventos son dos de los elementos clave de éstas soluciones que permiten detectar los «inicios» de las anomalías antes de que se produzcan tanto a nivel de transacciones económicas, operacionales como de cualquier otro dato relacionado o no que se determine en un orden del tiempo o en lugar concreto.

Las soluciones FDP tienen por objetivo la correlación de eventos de manera efectiva dentro de los procesos de negocio relacionando datos de transacciones (financieras, comerciales u operativas) con determinaciones de patrones de riesgo. Así pues, basado en un modelo de datos adecuado consiguen hacernos llegar potenciales situaciones de riesgos previamente identificadas con un detalle adecuado para poder gestionar “la anomalía”.

Profundizando en las soluciones FDP (Fraud Detection and Prevention) hemos de encontrar primero aquellas que se han “encasillado” en un determinado nicho de trabajo con alta especialización y, por otro lado, las que desde la particularidad han ido adquiriendo gradualmente mayores ámbitos de aplicación. [Read more…]

Data Loss Prevention. Fuga y pérdida de datos no son soluciones sino riesgos

Aquellos que llevamos muchos años protegiendo la información corporativa e investigando incidencias de fuga de información lo tenemos claro. No todo está detrás de un teclado en materia de secuestro de información, pérdida de datos y prevención de dichos eventos.  A pesar de ello, los esquemas de incidencia, los eventos no esperados, las acciones de las personas y el entorno no dejarán jamás de cambiar de forma sorprendente.

Básicamente hay que diferenciar tres elementos clave para determinar una incidencia de fuga de información:

Entorno: La evidencia de investigación no siempre está en un directorio, un equipo o un archivo. El entorno de fuga de información está compuesto por un conjunto de características de personas, la cultura empresarial, los medios y tiempo en que se desarrolla el proceso de fuga. En la evaluación del entorno podemos encontrar las relaciones de confianza, la segregación funcional, los sistemas de comunicación y un largo etcétera completado por las medidas de control puestas en marcha para la prevención de fuga de información.

Valor de la información:  No todas las fugas de información son importantes ni es posible prevenir el 100 % de los casos. No es lo mismo que se lleven unos resultados empresariales antes de cierre de ejercicio cuando la situación financiera es adecuada que cuando no lo es. De una manera sencilla, el valor de la información tiene una cotización dependiendo de la clasificación de la información que pudiéramos realizar más el impacto que significaría dicha fuga de información a nivel corporativo. Por lo tanto, la clasificación no es un elemento estático al que recurrir sino que proporciona el valor de impacto en caso de fuga dependiendo de un conjunto de criterios asociados al momento en que se produce, la estrategia empresarial y el valor en mercado negro (habitualmente a través de Dark Web). Existen más criterios para determinar el valor de información pero, desde luego, la categorización debe de adaptarse a la realidad del propietario de la información.

Motivación: La fuga de información corresponde a una motivación, racionalización y un esquema de vulneración. Uno de los problemas que suele aparecer en las investigaciones de fuga de información es que no se realiza dicho análisis desde una perspectiva plural y relacionada con la motivación y suele centrarse en la determinación del esquema en uno de los entornos. Es por ello que cuando hablamos de fuga de información basada en sistemas de información puede dejarse de lado el resto de elementos que constituyen la visión global del incidente. Si perdemos ésta perspectiva global, difícilmente podríamos adoptar medidas correctoras o preventivas que respondieran a una situación similar.
[Read more…]