(Ciber) GRU (VIII): estructura. Unidad 74455

Aparentemente la Unidad 74455 está ligada a operaciones de desinformación, influencia, propaganda… lo que volvería a confirmar el amplio concepto de information warfare de la doctrina militar rusa, al que ya hemos hecho referencia en repetidas ocasiones y la mezcla del ámbito puramente técnico con el ámbito psicológico (dezinformatsiya, spetspropaganda, kompromat…). De hecho, la DIA estadounidense habla de la confrontación de información rusa (informatsionnoye protivoborstvo, IPb) como el término usado por el gobierno para el conflicto de la guerra de información, con dos grandes medidas: técnica, como una CNO clásica, y psicológica, como el intento de manipular a la población a favor de los intereses rusos ([1]), hablando abiertamente de PSYOP “ciber”; la primera de estas medidas correspondería a la Unidad 26165 y la segunda a la Unidad 74455.

Existe muy poca información disponible en fuentes abiertas en relación a la Unidad 74455; su relación con el ámbito tecnológico puede confirmarse con algunas referencias científicas (artículos y libros). Por ejemplo, en la revista “Sistemas de control y medición de información”, aparece el nombre de E.E. Nazarov, como científico y empleado de la Unidad Militar 74455; esta identidad ha participado en dos artículos: “Algoritmo para generar interferencia tipo basada en la evaluación rápida de parámetros de señal” y “Métodos para estimar los errores en la determinación de las coordenadas del portador de radar aerotransportado por un sistema RTR distribuido espacialmente”. [Read more…]

(Ciber) GRU (VII): estructura. Unidad 26165

La Unidad 26165 (85th Special Service Center) se ubica en el número 20 de Komsomolskiy Prospekt; en esta misma dirección se ubica la Unidad Militar 06410 (152nd Training Center), con Koval NIKOLAY NESTEROVICH al mando y creada el 27/08/1943; aparentemente esta segunda unidad no está relacionada con el ámbito ciber desde un punto de vista técnico, encontrado información disponible en fuentes públicas de artículos o tesis relacionadas con la enseñanza militar, psicología, etc.... Leer Más

(Ciber) GRU (V): octubre 2018

Si 2018 ya era un mal año para el GRU, el día cuatro de octubre diferentes países occidentales dan la puntilla final al Servicio publicando información de sus operaciones y agentes: se trata de Holanda, Reino Unido, Canadá y Estados Unidos -e inmediatamente Australia y Nueva Zelanda apoyan, como es normal, a sus aliados-; resumiendo: Holanda y FVEY rematan el annus horribilis del Servicio, como vamos a ver en este post.... Leer Más

(Ciber) GRU (IV): septiembre 2018

Serguei Skripal era un agente del GRU que había sido detenido en el año 2004, acusado de colaborar con el MI6 británico y condenado por alta traición hasta que en 2010 fue canjeado por agentes rusos detenidos en el marco de la Operación Ilegales. Desde entonces vivía en Reino Unido, aparentemente alejado de cualquier actividad “molesta” ligada a su pasado como miembro del Servicio. Sin embargo, en marzo de 2018 aparece inconsciente junto a su hija Yulia -de visita en Reino Unido- en un banco de Salisbury, supuestamente víctima de un ataque con Novichok, un agente nervioso soviético, del que Reino Unido acusa a Rusia sin muchos más detalles.

A finales de junio dos británicos, un hombre y una mujer, son ingresados en el hospital del distrito de Salisbury; los había traído una ambulancia desde Amesbury, a pocos kilómetros de donde fueron envenenados el ex agente del GRU y su hija. La investigación confirma que han sido envenenados también con Novichok, aparentemente por accidente: ninguno de ellos tenía relación previa con lo sucedido en marzo y, posiblemente, encontraron por casualidad el agente nervioso en lo que parecía ser una botella de perfume abandonada en un parque. Al rociarse, se contaminaron; la mujer murió a principios de julio a consecuencia de los efectos de la contaminación. [Read more…]

(Ciber) GRU (III): julio 2018

Como hemos dicho, si hasta este año el GRU era uno de los servicios más opacos del mundo, en 2018 todo cambia. Tres hechos destacan en la cronografía, que concluyen con la muerte del Teniente General KOROBOV en noviembre; vamos a ver en este apartado el primero de ellos -y en los sucesivos los dos siguientes-, ocurrido en el mes de julio.

El trece de julio el Departamento de Justicia (DoJ) estadounidense publica [1], un documento de acusación contra doce agentes del GRU -citados directamente con nombre y apellidos- a los que relaciona con una posible injerencia rusa en las elecciones presidenciales de 2016. Quien firma el documento es nada más y nada menos que Robert Mueller, asesor del DoJ que coordina las investigaciones sobre este ámbito -el de la relación de Rusia con la selecciones presidenciales estadounidenses- y que, entre otras cosas, fue director del FBI durante más de diez años. Tras esta acusación, el FBI incluye entre sus “Cyber most wanted” a los doce agentes del servicio, resaltando que pueden ir armados y son peligrosos; hasta ese momento, el único servicio ruso que tenía el privilegio de contar con agentes entre los más buscados por el FBI era el FSB. [Read more…]

Ciber (GRU) (II): SIGINT histórica

El GRU, la Unidad Militar 44388, obtiene y procesa inteligencia de múltiples disciplinas, incluyendo IMINT, SATINT y por supuesto OSINT, con necesidades de información ligadas al ámbito militar, político, tecnológico, económico y ecológico/energético ([1]). Ya se indicó en el artículo dedicado al GRU, dentro de la serie relativa a la Comunidad de Ciberinteligencia Rusa, que la Sexta Dirección del GRU ha tenido históricamente las atribuciones SIGINT (COMINT y ELINT) del Servicio; una excelente descripción de estas atribuciones se encuentra en [2]; en la imagen, la estructura histórica  del GRU: 

La Sexta Dirección, directamente dependiente del Director Adjunto para Asuntos Técnicos del Servicio, se estructuraba en cuatro divisiones:  [Read more…]

(Ciber) GRU (I): Introducción

Como ya adelantamos en el post donde se hablaba de él, dentro de la serie sobre la Comunidad de Ciberinteligencia rusa, el GRU (GU) es el más opaco de los servicios rusos, manteniendo casi intacta su herencia soviética frente a los “occidentalizados” FSB o SVR: de hecho, la estructura y funcionamiento del Servicio no ha sido especialmente conocida, siendo la principal referencia [1] hasta hace más bien poco. Más allá de datos puntuales de operaciones sin una atribución clara, o de las identidades de su Director y Directores Adjuntos -nada secreto-, poco o nada se sabía del Servicio. Sin embargo, y seguramente muy a pesar del GRU, en 2018 hay -hasta ahora- tres hechos que dan un giro radical a esta opacidad: [Read more…]

‘Reversing’ de protocolos de red de malware con ‘angr’

Uno de los objetivos que en el análisis de un binario malicioso suele ser más difícil de obtener es el del descubrimiento de todas las funcionalidades que posee. Si además estas funcionalidades sólo se ejecutan a discreción de los atacantes a través de su centro de control, la cosa se complica. Por diversas razones, muchas veces no podemos llevar a cabo un análisis dinámico completo, como por ejemplo por la caída de la infraestructura del malware o el aislamiento de la muestra para evitar el contacto con el C&C. En estos casos suele ser más lento el análisis de la interacción entre el servidor del atacante y la muestra, ya que hay que crear un servidor ficticio o estar continuamente parcheando/engañando a la muestra para llevarla por todos los distintos caminos que queremos investigar. Dependiendo del tamaño y complejidad del código analizado o del objetivo del análisis, esta tarea puede variar su dificultad y extensión en el tiempo.

Voy a proponer un ejemplo de estudio de las funcionalidades de un RAT ficticio que pueden ser ejecutadas según las órdenes que reciba desde su panel de C&C. Nuestro objetivo sería crear un servidor que simule ser el del atacante. Para ello hemos de comprender el protocolo de comunicación entre el servidor y la muestra instalada en el dispositivo de la víctima.

En lugar de analizar todo el funcionamiento interno de la muestra utilizando las típicas herramientas de desensamblado y depuración, voy a delegar la responsabilidad de parte del análisis en una nueva herramienta que llevaba tiempo queriendo probar: ‘angr’. ‘angr’ es un entorno de trabajo para el análisis de binarios que hace uso tanto de análisis estático como dinámico simbólico del código. Este herramienta puede ser utilizada con distintos fines que se enumeran en su sitio web en el que además se muestran infinidad de ejemplos. Para esta entrada nos vamos a centrar en la ejecución simbólica, que puede definirse como el análisis de un programa para determinar qué condiciones de entrada han de darse para ejecutar diferentes partes de su código.
[Read more…]

Análisis de Linux.Helios

Desde hace varias semanas venimos detectando desde el laboratorio de malware de S2 Grupo una nueva variante de malware para arquitecturas Linux e IoT, registrado por primera vez en la plataforma VirusTotal el pasado día 18 de Octubre, y al cual hemos denominado Linux.Helios, debido al nombre de ciertas funciones presentes en la muestra.

Destacamos que las principales firmas de antivirus no clasifican de forma unánime esta muestra: van desde ELF.DDoS hasta Tsunami, pasando por Gafgyt o Mirai. [Read more…]

La CCI rusa (XVIII). Conclusiones

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

[Read more…]