La CCI rusa (XVIII). Conclusiones

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

  [Read more…]

La CCI rusa (XVII): objetivos. España

La Primera Dirección General del KGB era la responsable de todas las operaciones del servicio fuera de la URSS; esta Dirección incluía departamentos focalizados en diferentes áreas geográficas del mundo, que constituían el núcleo operativo de la Dirección General, y que eran responsables entre otros cometidos de casi todas las empresas ligadas al KGB que operaban fuera de territorio soviético. Y dentro de estos departamentos geográficos, el Quinto se ocupaba de Francia, Italia, Países Bajos, Irlanda… y España. Sin duda no llegábamos al nivel de Estados Unidos y Canadá (Primer Departamento, ocupado en exclusiva por estos dos países) pero tampoco andábamos muy lejos, quizás en un segundo nivel. Por diferentes motivos que obviamente han ido cambiando a lo largo de los años, desde la Guerra Civil hasta nuestros días España ha sido un objetivo histórico (no el más prioritario, pero sí relevante) para la inteligencia soviética y ahora lo sigue siendo para la inteligencia rusa: desde el NKVD durante su tiempo de vida hasta los servicios actuales, pasando obviamente por el KGB desde mediados hasta finales del pasado siglo. Exactamente igual que la URSS, o Rusia en la actualidad, también es y ha sido un objetivo importante para Occidente: por ejemplo, no tenemos más que leer algo sobre la operación Mari, en los años 60 ([2]). ... Leer Más

La CCI rusa (XVI): objetivos. Países

Cualquier país del mundo es un objetivo potencial del espionaje ruso —o no ruso—. A modo de ejemplo, la infiltración en América ha sido históricamente alta, no solo en Estados Unidos, país de prioridad máxima para la inteligencia rusa, sino también en toda América Latina.

No obstante, el mantenimiento de un gran ecosistema de inteligencia no es barato —aunque seguro que gracias a las particularidades y relaciones de los servicios rusos, no es tan caro como lo sería en otras circunstancias—, por lo que como sucede en cualquier país los rusos deben priorizar sus actividades e intereses habituales, dejando para ocasiones especiales aquellos objetivos temporales: por ejemplo, Oriente Medio y Oriente Próximo (Siria, Irán…) pueden considerarse en la lista de estos objetivos temporales, por motivos tanto de seguridad —contraterrorismo— como económicos —clientes o proveedores de bienes básicos para Rusia—.

Adicionalmente a éstos, países como Australia o Nueva Zelanda, desarrollados tecnológicamente y cercanos a Occidente —no desde el punto de vista físico, por supuesto— son también objetivo de Rusia por diferentes motivos, como el espionaje industrial. Resaltamos en gris los países objetivo del espionaje ruso:

[Read more…]

La CCI rusa (XV): objetivos. Necesidades de información

Recapitulemos: hasta el momento llevamos varias entradas relativas a la CCI rusa, en las que hemos contextualizado a la inteligencia rusa, hemos descrito sus diferentes servicios con atribuciones ciber y hemos analizado, en la medida de lo posible, sus relaciones con terceros, describiendo así el complejo ecosistema de inteligencia en Rusia. Con este ecosistema ya descrito (en algún momento había que parar), vamos a tratar ahora de analizar los objetivos de esta inteligencia, sus necesidades de información: ¿qué busca -y dónde- Rusia?... Leer Más

EternalBlue vía IoT (PoC)

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IX). Conclusiones.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

¿Qué podemos hacer?

A lo largo de este ficticio (pero lejos de ser imposible) ensayo se ha pretendido demostrar lo intrincadas que están las TIC en el desarrollo de nuestras vidas. El tan famoso como manido “fallo informático” que afecta a veces nuestros quehaceres diarios no es más que un fallo de seguridad, afortunadamente no intencionado en la mayoría de los casos.

La ciberseguridad es un componente fundamental de las TIC. Y dado que, como hemos hablado, las TIC son una parte instrumental de nuestras vidas, es lógico (nunca mejor dicho) asociar transitivamente la ciberseguridad con nuestras vidas.

Esta serie de artículos se escribió antes de WannaCry, pero este incidente ejemplifica a la perfección el objetivo pretendido. Si el malware hubiera usado además del 445 (SMB) el puerto 3389 (Escritorio Remoto), la tasa de infección se habría incrementado en un orden de magnitud. Pero si el fallo explotado correspondiera al conjunto de parches de Mayo, que había salido el Martes por la noche (y que nadie tenía aplicado)… prácticamente todo el mundo habría sido víctima del ataque. Un verdadero armageddon para Internet.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (III). Silencio sepulcral.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Madrid, 20 de Marzo de 2017 – 18:52h

De forma paralela, Defensa está intentando contactar por todos los medios con los acuartelamientos militares de Zaragoza y alrededores: la Academia Militar de San Gregorio, la BRILOG (Brigada Logística) o la Academia de Logística de Calatayud no responden ni por telefonía, ni por radio, ni por satélite. El Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) se ve incapaz de contactar con ninguna unidad militar de Zaragoza.

Los esfuerzos se amplían a Huesca con el Regimiento de Cazadores de Montaña y la Escuela Militar de Montaña y Operaciones Especiales de Jaca, pero tampoco logran establecer comunicación, lo que extraña a los militares: sus sistemas de comunicaciones están en teoría protegidos contra EMP, por lo que deberían poder responder a las llamadas. No queda nada claro el porqué de este silencio.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (II). Esto no puede estar pasando.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Fotografía: Unidad Militar de Emergencias por Oscar en el medio

Madrid, 20 de Marzo de 2017 – 18:20h

Una emergencia de estas características requiere de la formación del CES (Comité Especializado de Situación), un conjunto de expertos y altos cargos tanto de ministerios como del DSN y el CNI (Centro Nacional de Inteligencia). Afortunadamente (si así podemos decirlo), el CES está ya reunido, tratando la crisis internacional con Marruelia.

A pesar de la gravedad de la crisis, un fallo simultáneo tanto de telecomunicaciones como de suministro eléctrico no es baladí: el área metropolitana de Zaragoza engloba a más de 800.000 personas, lo que puede causar una emergencia nacional de carácter grave.

El CES decide encargar la respuesta inicial a la UME (Unidad Militar de Emergencias), cuyo cuarto BIEM (Batallón de Intervención de Emergencias) se encuentra ubicado en la base aérea de Zaragoza.  A los pocos minutos el mando de la UME informa de que no ha sido posible contactar vía SIMGE (Sistema Integrado Militar de Gestión de Emergencias) con el BIEM IV. Tampoco han funcionado las alternativas convencionales (telefonía fija, móvil y radio).

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (I). Apagón

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Notas  previas

Esta historia se basa en el género literario de la ucronía, una reconstrucción de la historia basada en datos y hechos hipotéticos. Es por tanto una ficción, y debe ser considerada como tal en todos los aspectos excepto en aquellos relacionados con la ciberseguridad. Toda la información empleada para realizar este ensayo ha sido obtenida a través de fuentes abiertas, e interpretada por el (mejor o peor) criterio del autor. Esta anotación debe aplicarse especialmente a todos los protocolos de respuesta a situaciones de crisis,  que pueden diferir sensiblemente de la realidad.

Aunque quede claro que es una ficción, se estima necesario recordar que en ningún caso se pretende desmerecer la innegable labor de todos los actores (FFCCSE, fuerzas armadas, servicios de inteligencias, servicios de emergencia, etc…) que velan por la seguridad de los españoles. Nuestro objetivo es claro y común: la seguridad de todos.

Un mundo (casi) como el nuestro

Madrid, 16 de Marzo de 2017.

Todos los telediarios tienen como noticia de primera plana la escalada de tensiones entre España y Marruelia (país formado por la fusión de Marruecos y Argelia después de la primavera árabe de ambos países en 2011) debido a las disputas por la explotación española de los caladeros de pesca. Marruelia continúa exigiendo la retirada de los pesqueros españoles, indicando que el acuerdo firmado con España carece de validez al ser Marruelia un nuevo país.

[Read more…]