(Ciber) GRU (I): Introducción

Como ya adelantamos en el post donde se hablaba de él, dentro de la serie sobre la Comunidad de Ciberinteligencia rusa, el GRU (GU) es el más opaco de los servicios rusos, manteniendo casi intacta su herencia soviética frente a los “occidentalizados” FSB o SVR: de hecho, la estructura y funcionamiento del Servicio no ha sido especialmente conocida, siendo la principal referencia [1] hasta hace más bien poco. Más allá de datos puntuales de operaciones sin una atribución clara, o de las identidades de su Director y Directores Adjuntos -nada secreto-, poco o nada se sabía del Servicio. Sin embargo, y seguramente muy a pesar del GRU, en 2018 hay -hasta ahora- tres hechos que dan un giro radical a esta opacidad: [Read more…]

‘Reversing’ de protocolos de red de malware con ‘angr’

Uno de los objetivos que en el análisis de un binario malicioso suele ser más difícil de obtener es el del descubrimiento de todas las funcionalidades que posee. Si además estas funcionalidades sólo se ejecutan a discreción de los atacantes a través de su centro de control, la cosa se complica. Por diversas razones, muchas veces no podemos llevar a cabo un análisis dinámico completo, como por ejemplo por la caída de la infraestructura del malware o el aislamiento de la muestra para evitar el contacto con el C&C. En estos casos suele ser más lento el análisis de la interacción entre el servidor del atacante y la muestra, ya que hay que crear un servidor ficticio o estar continuamente parcheando/engañando a la muestra para llevarla por todos los distintos caminos que queremos investigar. Dependiendo del tamaño y complejidad del código analizado o del objetivo del análisis, esta tarea puede variar su dificultad y extensión en el tiempo.

Voy a proponer un ejemplo de estudio de las funcionalidades de un RAT ficticio que pueden ser ejecutadas según las órdenes que reciba desde su panel de C&C. Nuestro objetivo sería crear un servidor que simule ser el del atacante. Para ello hemos de comprender el protocolo de comunicación entre el servidor y la muestra instalada en el dispositivo de la víctima.

En lugar de analizar todo el funcionamiento interno de la muestra utilizando las típicas herramientas de desensamblado y depuración, voy a delegar la responsabilidad de parte del análisis en una nueva herramienta que llevaba tiempo queriendo probar: ‘angr’. ‘angr’ es un entorno de trabajo para el análisis de binarios que hace uso tanto de análisis estático como dinámico simbólico del código. Este herramienta puede ser utilizada con distintos fines que se enumeran en su sitio web en el que además se muestran infinidad de ejemplos. Para esta entrada nos vamos a centrar en la ejecución simbólica, que puede definirse como el análisis de un programa para determinar qué condiciones de entrada han de darse para ejecutar diferentes partes de su código.
[Read more…]

Análisis de Linux.Helios

Desde hace varias semanas venimos detectando desde el laboratorio de malware de S2 Grupo una nueva variante de malware para arquitecturas Linux e IoT, registrado por primera vez en la plataforma VirusTotal el pasado día 18 de Octubre, y al cual hemos denominado Linux.Helios, debido al nombre de ciertas funciones presentes en la muestra.

Destacamos que las principales firmas de antivirus no clasifican de forma unánime esta muestra: van desde ELF.DDoS hasta Tsunami, pasando por Gafgyt o Mirai. [Read more…]

La CCI rusa (XVIII). Conclusiones

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

[Read more…]

La CCI rusa (XVII): objetivos. España

La Primera Dirección General del KGB era la responsable de todas las operaciones del servicio fuera de la URSS; esta Dirección incluía departamentos focalizados en diferentes áreas geográficas del mundo, que constituían el núcleo operativo de la Dirección General, y que eran responsables entre otros cometidos de casi todas las empresas ligadas al KGB que operaban fuera de territorio soviético. Y dentro de estos departamentos geográficos, el Quinto se ocupaba de Francia, Italia, Países Bajos, Irlanda… y España. Sin duda no llegábamos al nivel de Estados Unidos y Canadá (Primer Departamento, ocupado en exclusiva por estos dos países) pero tampoco andábamos muy lejos, quizás en un segundo nivel. Por diferentes motivos que obviamente han ido cambiando a lo largo de los años, desde la Guerra Civil hasta nuestros días España ha sido un objetivo histórico (no el más prioritario, pero sí relevante) para la inteligencia soviética y ahora lo sigue siendo para la inteligencia rusa: desde el NKVD durante su tiempo de vida hasta los servicios actuales, pasando obviamente por el KGB desde mediados hasta finales del pasado siglo. Exactamente igual que la URSS, o Rusia en la actualidad, también es y ha sido un objetivo importante para Occidente: por ejemplo, no tenemos más que leer algo sobre la operación Mari, en los años 60 ([2]).

Un buen ejemplo de las actividades rusas en la España de los años setenta y ochenta es SOVHISPAN. Esta consignataria soviético española, fundada en 1971 y que operó hasta 1993, aprovechó la situación estratégica de las Islas Canarias para desplegar allí una capacidad de abastecimiento de los buques soviéticos que faenaban en las costas africanas o hacían paradas técnicas en los viajes transatlánticos (bien de pasaje o científicos). A primera vista, una interesante relación comercial entre dos países y una espectacular fuente de ingresos para las Islas, con vuelos directos entre Las Palmas y Moscú operados, entre otros, por Aeroflot. Pero además, una cobertura perfecta para el KGB y el GRU y sus intereses en España: desde la entrega del Sahara o la llegada de la democracia, hasta la utilización del independentismo canario como posible elemento desestabilizador para evitar la entrada de España en la OTAN. Los servicios españoles no fueron ajenos a esta situación, y propiciaron la expulsión de soviéticos acusados de espionaje; se estima que entre 1977 y 1985 fueron expulsados de España al menos quince agentes del KGB y del GRU, algunos de ellos relacionados directamente con SOVHISPAN, como el propio Director General de la compañía, Yuri Bitchkov (1981).

Ni hace años, como ya hemos indicado, ni tampoco en la actualidad, con unas necesidades de información diferentes: España no es el objetivo prioritario de la inteligencia rusa. Por poner unos ejemplos, en el ámbito OTAN somos una potencia media frente a países como Francia o Alemania, estamos alejados geográficamente de Moscú ([1]), no podemos desestabilizar a la Madre Rusia ni por nuestra influencia en la zona del este de Europa ni por nuestras reservas energéticas, no disponemos de una capacidad militar que suponga una amenaza real a las fronteras rusas (pero por otro lado, estamos en OTAN)… No obstante, no ser el objetivo prioritario no significa no ser un objetivo; debemos considerar a España como un objetivo significativo en la actualidad para los intereses rusos, como lo sigue siendo todo el ámbito OTAN u “Occidente” ([3]). Y para ello no es necesario remontarse al siglo pasado y a las actividades de SOVHISPAN: más recientemente se han identificado diferentes casos de espionaje ruso contra España que han saltado a la opinión pública. A finales de 2010, dos miembros de la embajada rusa en España fueron expulsados del país acusados de espionaje (en realidad, fue todo más discreto: se les invitó a abandonar el territorio nacional por realizar acciones ajenas a su estatus diplomático…), medida ante la que Rusia reaccionó como es habitual, expulsando a dos diplomáticos españoles de Moscú. También fue difundida por toda la prensa generalista la detención en 2007 de un antiguo miembro del CNI al que se había identificado como un agente doble que vendió información sensible a los servicios rusos hasta el año 2004; primer condenado por traición en democracia, que a día de hoy sigue en prisión.

Pero, ¿qué busca la inteligencia rusa en España? En función de las necesidades de información rusas, vistas con anterioridad en esta misma serie, volvemos a identificar cuatro grandes ámbitos de interés para los servicios rusos en España o, generalizando, en cualquier parte del mundo: la inteligencia científico-técnica, la inteligencia política y diplomática, la inteligencia militar y la inteligencia económica; incluimos el ámbito “ecológico” (energético) como de especial interés en casi todos ellos. Vamos a analizar cada uno de estos ámbitos en el escenario español actual, tanto en la Administración Pública como en la empresa, partiendo del hecho de que, sobre el papel y de manera formal, España y Rusia mantienen un acuerdo desde hace años para la protección mutua de la información clasificada, en especial la política, militar, técnico-militar y económica ([5]). Nos suenan estos ámbitos, ¿verdad? También es cierto que este acuerdo habla explícitamente de información “intercambiada en el curso de la cooperación”, no de la información “no intercambiada”…

Centrémonos en primer lugar en la Administración Pública; las Administraciones Autonómicas (mucho menos las Locales) no tienen por qué ser un objetivo ruso, al menos habitual, aunque es necesario recordar que en ciertos casos podría ser interesante para Rusia acceder a información del contexto autonómico. Si así fuera, las Comunidades Autónomas con más interés potencial para Rusia podrían ser Cataluña, Comunidad Valenciana, Andalucía e Islas Canarias, y por motivos obvios la Comunidad de Madrid; en todas estas Comunidades existen Consulados rusos (en algunas de ellas, honorarios). Esto tiene una explicación sencilla: en el litoral catalán, en la Costa del Sol, en la Comunidad Valenciana y en el archipiélago es donde más ciudadanos rusos se concentran (Barcelona es la ciudad y Alicante la provincia de España con más población rusa). De esta manera, ocasional -y potencialmente, potencialmente, como siempre- podría ser interesante para la inteligencia rusa acceder a un historial médico de un ciudadano de esta nacionalidad que esté siendo tratado en un hospital español, por poner un ejemplo, por lo que las zonas con más posibilidades de ser un objetivo puntual serían las citadas.

Pero más allá de intereses ocasionales, si hablamos de la Administración Pública española, es necesario mirar a la Administración General del Estado (AGE), supuesto objetivo clave para Rusia, como supuesto objetivo clave para los servicios de cualquier país del mundo; todos los Ministerios que conforman la AGE son un objetivo ruso. La AGE tiene obviamente un interés político y diplomático, una de las necesidades básicas de la inteligencia rusa, e incluso alguno de sus Ministerios un interés científico-técnico (Defensa, Fomento, Educación…) o económico; mención aparte merece el Ministerio de Defensa, con el añadido del interés militar para la inteligencia rusa. De hecho, según el CCN-CERT los principales objetivos rusos en España son gubernamentales; pero aunque todos los Ministerios españoles sean un objetivo, por diferentes motivos, puede haber algunos que lo sean más que otros… ¿cuáles podrían ser los principales objetivos? Quizás, sólo quizás, los siguientes -con su denominación formal correspondiente-: Presidencia, Exteriores, Defensa, Interior y Economía. ¿Por qué estos cinco? Porque por la sensibilidad de los datos que manejan, lo serán de cualquier servicio extranjero en general: no en vano han conformado la CDGAI (Comisión Delegada del Gobierno para Asuntos de Inteligencia, [4]).

Aparte de Secretarías, Direcciones Generales, etc., cada Ministerio tiene diferentes Organismos Públicos vinculados; focalizándonos en los cinco anteriores, dentro de los dependientes de Presidencia el objetivo clave por definición seguramente será el Centro Nacional de Inteligencia, el principal actor de la inteligencia española, o el Departamento de Seguridad Nacional, por supuesto muy por encima de otros organismos como el BOE o Patrimonio Nacional. En el caso de Exteriores, los principales objetivos podrían ser la AECID (Agencia Española de Cooperación Internacional para el Desarrollo) o el Centro de Estudios Internacionales -buena parte del resto son centros culturales-, mientras que si hablamos de Defensa todo, en mayor o menor medida, es un potencial objetivo ruso: desde el INTA o la DGAM hasta el ISFAS (aunque seguro que éste es menos interesante que los dos primeros). Para Interior la Policía, Guardia Civil o Instituciones Penitenciarias pueden ser especialmente sensibles -recordemos el amplio ecosistema de inteligencia ruso y sus relaciones con terceros- y por último, en Economía, quizás el mayor foco de interés lo constituyan organismos como el CDTI o CSIC, por la ventaja científico-técnica que su información puede aportar a los servicios y empresas rusas.

Mención aparte de la propia Administración merecen las empresas públicas (o semi públicas) adscritas; en el Inventario de Entes del Sector Público Estatal (INVESPE) se relacionan todas las sociedades mercantiles adscritas a Ministerios. Tenemos más de 150 empresas públicas que van desde algunas con tan poco interés potencial -en este contexto- como “Aparcamiento Zona Franca, S.L.” o “Compañía Española de Tabaco en Rama, S.A.”, adscritas ambas a Hacienda, hasta otras que sí pueden ser un objetivo claro, como ISDEFE, S.A. (Defensa) o INCIBE, S.A. (Industria). En este caso, en el de las empresas, los intereses de la inteligencia rusa no estarán tan focalizados en política y diplomacia, sino que se centrarán en el espionaje científico-técnico y en el económico, como lo harán en la empresa privada; por este motivo, aquí puede ser necesaria una mención especial a las empresas adscritas a determinados Ministerios que participan en proyectos de muchos millones de euros, como Fomento, por el espionaje económico y técnico del que puedan ser objeto (y no sólo ruso).

Si ya pasamos al ámbito privado, el de las empresas, el espionaje político o el militar pierden obviamente fuerza en favor del científico técnico y el económico en diferentes sectores -como hemos dicho, lo mismo que en la empresa pública-: las empresas rusas compiten en grandes concursos con las españolas y sus servicios tendrán un interés legítimo en favorecerlas, además del interés en obtener una ventaja técnica directa mediante el robo de información. Uno de los principales sectores de interés puede ser el energético, principal motor ruso, por lo que podemos hablar de las empresas de este sector como un objetivo claro; sin ir más lejos, recordemos el interés de Lukoil por entrar de manera severa en REPSOL hace unos años. En este grupo entrarían todas las grandes energéticas españolas (sin dar nombres, seguro que todos las identificamos), así como otras empresas ligadas directa o indirectamente al sector.

Pero más allá del energético, cuando hablábamos de las necesidades de información rusas unos posts atrás hacíamos referencia a otros sectores marcados como clave por su Estrategia de Seguridad Nacional: TIC, biomedicina, farmacia, tecnología nuclear, nanotecnología… en definitiva, sectores punteros que pueden hacer avanzar a un país de forma significativa. Nada extraño ni para los servicios rusos ni para los de ningún otro país, por supuesto. Las empresas de estos sectores serán objetivo potencial de la inteligencia rusa, como seguramente lo serán de muchos otros servicios: sus investigaciones, proyectos, patentes… valen mucho dinero. Una relación de las empresas españolas en cada uno de estos sectores no es ningún secreto, y consultando fuentes abiertas podemos hacernos una idea aproximada de posibles objetivos en España con todo lujo de detalles.

Un ámbito especialmente interesante es el del espionaje científico-técnico en empresas ligadas a Defensa, posible objetivo tanto de la inteligencia civil como de la inteligencia militar rusas. Aquí, la Dirección General de Armamento y Material (DGAM) tiene inscritas unas seiscientas empresas en su catálogo; el dato es clasificado, pero no hay más que consultar WikiPedia para obtener un interesante listado de empresas de este sector; si dejamos a un lado empresas más clásicas y nos focalizamos en tecnología (ojo, no sólo informática, hay muchas tecnologías interesantes para la Defensa… y sobre todo caras, objetos de interés ruso) obtenemos una relación jugosa de empresas en este ámbito. O más sencillo aún: podemos acudir, por ejemplo, a páginas web de asociaciones que aglutinan a las propias empresas del sector donde, en algún caso, además de proporcionar la relación de asociados -algo obvio- se clasifican éstos en función de diferentes parámetros, como el número de empleados: así podemos identificar fácilmente empresas españolas que trabajan en tecnologías para el sector Defensa o afines con, por ejemplo, menos de cincuenta trabajadores. ¿Qué significa esto? Que tenemos una excelente relación de empresas interesantes para los servicios rusos pero que además son de pequeño tamaño, lo que a priori -no tiene por qué ser así, y esperemos que no lo sea- puede implicar que son objetivos blandos; para hacernos una idea, estas empresas trabajan en entornos tan variados e interesantes como la fabricación de buques de guerra, la nanofotónica militar o la electrónica submarina…

En definitiva, España ha sido y sigue siendo un objetivo de la inteligencia rusa, no el más prioritario pero quizás sí en un segundo nivel; por tanto no es de extrañar que los servicios rusos, o las APT rusas, tengan a España en su punto de mira, tanto en la Administración Pública (prioritario) como en el sector privado (biomedicina, TIC, defensa…), buscando información alineada con sus necesidades, por supuesto siempre presuntamente. A modo de ejemplo, si en el Targeted Cyberattacks Logbook de Kaspersky seleccionamos campañas de ciberespionaje o robo de información que hayan tenido a España en el Top 10 de sus objetivos encontramos cinco, de las cuales tres son Turla, Agent.BTZ y Crouching Yeti. Nos suenan, ¿verdad? Por curiosidad, las otras dos son de habla hispana: Machete y Careto. Otros trabajos hablan claramente de España como un objetivo relevante para APT28 ([6]), MiniDuke ([7], [8]) o Energetic Bear ([9]), por poner solo unos ejemplos de APT supuestamente rusas que han impactado en nuestro país. De hecho, FireEye, en sus informes sobre EMEA, indica que en esta zona España pasó del décimo puesto en detección de APT en 2014 al tercero en 2015 ([10]), algo que demuestra que está en el punto de mira de diferentes actores -no sólo rusos-.

Para finalizar este apartado, dos comentarios. En primer lugar, es necesario recordar que los objetivos aquí identificados no constituyen en ningún caso una relación exhaustiva; aunque quizás éstos sean unas prioridades, recordemos la capacidad y voracidad de los servicios rusos y sus amplias necesidades de información: pocas organizaciones cuya información tenga valor político o económico deben considerar a Rusia una amenaza lejana -ni tampoco a otros actores-. En segundo lugar, todo lo reflejado en este post ha sido extraído de fuentes públicas y en muchos casos son opiniones estrictamente personales, como casi siempre…

Referencias
[1] Javier Morales, Eric Pardo. Rusia en la estrategia de seguridad nacional 2013. UNISCI Discussion Papers, número 35. Mayo, 2014.
[2] Claudio Reig. El espía que burló a Moscú. Ed. libros.com. Abril, 2017.
[3] Mira Milosevich-Juaristi. ¿Por qué Rusia es una amenaza existencial para Europa?. Real Instituto Elcano. Julio, 2015.
[4] Gobierno de España. Real Decreto 1886/2011, de 30 de diciembre, por el que se establecen las Comisiones Delegadas del Gobierno. BOE 315, de 31 de diciembre de 2011.
[5] Gobierno de España. Acuerdo entre el Gobierno del Reino de España y el Gobierno de la Federación de Rusia sobre la protección mutua de la información clasificada. BOE 312, de 26 de diciembre de 2014.
[6] Razvan Benchea y otros. APT28 Under the Scope. A Journey into Exfiltrating Intelligence and Government Information. BitDefender. 2015.
[7] F-Secure. The Dukes. 7 years of Russian cyberespionage. F-Secure Labs Threat Intelligence. Septiembre, 2015.
[8] Costin Raiu, Igor Soumenkov, Kurt Baumgartner, Vitaly Kamluk. The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor. Kaspersky Lab. Febrero, 2013.
[9] Symantec. Dragonfly: Cyberespionage Attacks Against Energy Suppliers. Symantec Security Response. Julio, 2014.
[10] Álvaro García. APT. Evolución de las tácticas. Situación de España en el panorama europeo. IX Jornadas STIC CCN-CERT. Diciembre, 2015.

La CCI rusa (XVI): objetivos. Países

Cualquier país del mundo es un objetivo potencial del espionaje ruso —o no ruso—. A modo de ejemplo, la infiltración en América ha sido históricamente alta, no solo en Estados Unidos, país de prioridad máxima para la inteligencia rusa, sino también en toda América Latina.

No obstante, el mantenimiento de un gran ecosistema de inteligencia no es barato —aunque seguro que gracias a las particularidades y relaciones de los servicios rusos, no es tan caro como lo sería en otras circunstancias—, por lo que como sucede en cualquier país los rusos deben priorizar sus actividades e intereses habituales, dejando para ocasiones especiales aquellos objetivos temporales: por ejemplo, Oriente Medio y Oriente Próximo (Siria, Irán…) pueden considerarse en la lista de estos objetivos temporales, por motivos tanto de seguridad —contraterrorismo— como económicos —clientes o proveedores de bienes básicos para Rusia—.

Adicionalmente a éstos, países como Australia o Nueva Zelanda, desarrollados tecnológicamente y cercanos a Occidente —no desde el punto de vista físico, por supuesto— son también objetivo de Rusia por diferentes motivos, como el espionaje industrial. Resaltamos en gris los países objetivo del espionaje ruso:

[Read more…]

La CCI rusa (XV): objetivos. Necesidades de información

Recapitulemos: hasta el momento llevamos varias entradas relativas a la CCI rusa, en las que hemos contextualizado a la inteligencia rusa, hemos descrito sus diferentes servicios con atribuciones ciber y hemos analizado, en la medida de lo posible, sus relaciones con terceros, describiendo así el complejo ecosistema de inteligencia en Rusia. Con este ecosistema ya descrito (en algún momento había que parar), vamos a tratar ahora de analizar los objetivos de esta inteligencia, sus necesidades de información: ¿qué busca -y dónde- Rusia?

Un poco de historia: Vasili Mitrokhin fue un archivista del KGB que, tras la disolución de la URSS, desertó y colaboró con el MI6 británico; el material exfiltrado por Mitrokhin, que dio lugar a varios libros que se conocen en su conjunto como “el archivo Mitrokhin”, desvelaba entre otros muchos secretos que el líder soviético Mikhail Gorbachev ya consideraba el espionaje industrial como un aspecto clave para la supervivencia económica y para la reestructuración del país. Esto se puso de manifiesto tras la disolución de la URSS, tanto que de conformidad con su base jurídica ([3]), el objetivo de la inteligencia rusa ha sido recabar información en los ámbitos político, económico, militar, científico, técnico y ecológico para apoyar el desarrollo económico y el progreso científico-técnico y militar de la Federación Rusa; incluso el GRU tiene encomendada la adquisición de información militar, político-militar, tecnológica-militar y económica-militar. En otras palabras, a Rusia le preocupa su defensa, tanto militar como económica, desde la era soviética (a partir de la información de Mitrokhin) hasta la Rusia de final del siglo pasado. Algo, por otra parte, completamente lógico en cualquier país moderno.

Pero no es necesario remontarse ni al archivo Mitrokhin ni a la legislación que regula la inteligencia rusa para identificar las necesidades de información rusas; revisando algo más reciente, la Estrategia de Seguridad Nacional ([1]) y algunos de sus análisis (como [2]), se puede inferir que, como hemos dicho, la seguridad nacional rusa ya no se basa únicamente en las amenazas militares o políticas a la Madre Rusia -que también- sino que se habla de términos como seguridad económica o seguridad a través del desarrollo del país. En esta Estrategia de Seguridad Nacional se definen claramente las prioridades e intereses rusos:

  • Defensa nacional, que aparece en primer lugar como la prioridad básica de la Estrategia, y que hace la obligada referencia a la OTAN, a la protección de las fronteras rusas, a la estabilidad en la zona que rodea geográficamente a Rusia…
  • Seguridad pública, basada protección del sistema y la soberanía rusos -y de sus ciudadanos-; ya hablamos del modo “Guerra Fría” y del “Rusia está en peligro”, no sólo físico sino también espiritual…
  • Mejora de la calidad de vida de los ciudadanos rusos, mediante la garantía de servicios y suministros básicos: agricultura, biotecnología, farmacia, infraestructuras críticas…
  • Crecimiento económico, mediante el desarrollo de tecnología y modernización de sectores clave para la economía, como el financiero o el energético, con una mención especial a las nuevas tecnologías.
  • Ciencia, tecnología y educación, proporcionando ventajas competitivas a la economía y defensa rusas mediante una estrecha colaboración público-privada; la Estrategia plasma una especial preocupación por la dependencia tecnológica de terceros países y por la transferencia del conocimiento ruso al extranjero.
  • Salud, proporcionando a los ciudadanos rusos un sistema de salud moderno con una importante componente técnica y tecnológica: informática y comunicaciones, farmacia, biotecnología, nanotecnología…
  • Cultura rusa, protegiendo la unión de todos los territorios rusos y de sus ciudadanos -diferentes etnias, culturas, problemáticas, demografía…-, en especial frente a terceros que quieran romper o corromper los valores rusos.
  • Ecología y recursos naturales, evitando el agotamiento de los recursos naturales rusos, como el mineral… o el agua.
  • Estabilidad estratégica y colaboraciones equitativas con terceros, manteniendo a Rusia como un actor clave dentro del panorama internacional -político, militar, diplomático…-.

Para asegurar estos elementos prioritarios, Rusia debe focalizar sus necesidades de información en diferentes ámbitos que pueden extraerse de la propia estrategia: defensa, seguridad interior, tecnología, energía, política, diplomacia, energía, economía, ecología… En resumen, las necesidades de información rusas han cambiado poco desde 1996 -algo que, por otra parte, es perfectamente normal-, y la ley firmada por Yeltsin a la que ya hemos hecho referencia ([3]) las dejaba claras: política, economía, defensa, ciencia, tecnología y ecología son las prioridades de la inteligencia rusa, que podemos agrupar en dos grandes frentes: la protección económica de Rusia en el sentido amplio de la palabra (incluyendo robo de información científica o técnica para proporcionar una ventaja competitiva a Rusia) y la defensa del país también en el sentido más amplio (desde el ámbito militar hasta el político… o el cultural). Por supuesto, no se trata de dos frentes inconexos, sino que se relacionan entre sí para tratar de proteger al país en el panorama internacional: el progreso técnico también se aplica al ámbito militar, por poner un ejemplo. El objetivo: garantizar su progreso y posición internacional, salvaguardando a la Madre Rusia de cualquier amenaza. ¿Recordamos aquello del modo Guerra Fría?

Empecemos por el final: la ecología. El interés ruso por el medio ambiente es histórico: Rusia tiene un Ministerio denominado “de Recursos Naturales y Medio Ambiente” o una Agencia Federal para la supervisión de asuntos ecológicos, tecnológicos y nucleares (Rostekhnadzor); además, justo este año 2017 ha sido declarado por Putin como año de la ecología. Pero, ¿por qué tanto interés ecológico? ¿Por qué el Kremlin mantiene la ecología como uno de sus intereses prioritarios? Si nos fijamos en los nombres y atribuciones del Ministerio y la Agencia Federal que hemos comentado podemos intuir una explicación: cuando se habla de ecología no debemos entenderla en el sentido del respeto al medio ambiente, sino como la protección de los recursos naturales rusos y la superioridad que dichos recursos proporcionan al país; dicho de otra forma: “ecología” en ruso significa, más o menos, “energía”. Ya dijimos al principio de esta serie de posts que Rusia posee las mayores reservas de recursos energéticos y minerales del mundo todavía sin explotar, por lo que es considerada la mayor superpotencia energética, así como también la mayor reserva mundial de recursos forestales, y dispone además de la cuarta parte de agua no congelada del mundo. Obviamente Rusia sabe que esto le proporciona una posición ventajosa frente a otros países, usa esta ventaja y por supuesto la protege; por tanto, cuando se habla de ecología se habla de energía, y de hecho Rusia en más de una ocasión ha utilizado sus reservas energéticas para obtener influencia mundial o, al menos sobre otros países de los que Rusia es proveedor (recordemos la novena prioridad de las expuestas anteriormente: mantenimiento de Rusia como un actor clave en el panorama internacional). Curiosamente, algunas APT tan dirigidas a objetivos energéticos como Sandworm o Energetic Bear están atribuidas a Rusia, bien o mal. Sólo curiosamente.

En relación al ámbito científico y técnico, en [7] se puede obtener una excelente visión de las actividades de inteligencia rusas en estas áreas. Rusia mantiene una actividad comparable, según todas las hipótesis o incluso las declaraciones de altos cargos de la ODNI estadounidense o del MI5 británico, a la de la antigua Unión Soviética e identifica claramente sectores clave para su desarrollo ([1]): energía -de la que ya hemos hablado-, tecnologías de la información, telecomunicaciones, biomedicina, farmacia, tecnología nuclear, nanotecnología… Y para lograr este desarrollo la inteligencia de señales, de todas las señales, juega un rol muy interesante para los servicios rusos, quizás por encima de la inteligencia de fuentes humanas, aunque también es cierto que diferentes países han expulsado a científicos de sus universidades, empresas y centros de investigación por descubrir robos de información presuntamente vinculados a los servicios rusos, desde Suecia (Ericsson, 2002) hasta Holanda (Universidad de Tecnología de Eindhoven, 2014). Ya en inteligencia de señales, estas necesidades de información pueden convertir en objetivos de la inteligencia rusa a empresas, universidades, centros de investigación… sin importar su tamaño -una APT es más barata que las fuentes humanas- que trabajen en tecnología puntera, I+D+i, diseños, patentes… de los campos citados con anterioridad. Aunque quizás siempre pensemos que el actor más activo en estos ámbitos es China, recordemos a Jeffrey Carr: “The threat from China is over-inflated, while the threat from Russia is underestimated”.

Como hemos dicho, el FSB o el resto de servicios buscan hacer cada vez más competitiva a Rusia en el panorama internacional ([6]), y obtener esa posición relevante y apoyar el progreso de la nación no se basan exclusivamente en ciencia y tecnología, que también, sino que se extienden a la adquisición de información que proporcione una ventaja económica directa; en este ámbito, en el económico, algunos analistas ([5]) identifican una guerra abierta entre el SVR y el GRU, guerra a la que tampoco es ajeno el FSB: ya hemos hablado en anteriores posts de la serie de las acusaciones del DoJ estadounidense contra agentes del FSB en relación al ataque a Yahoo, a los que acusa, entre otras cosas, de espionaje económico. Como cualquier actor del mundo (cualquiera), Rusia aprovecha sus capacidades y actividades de inteligencia para obtener un beneficio económico para el país y para catalizar el desarrollo tecnológico nacional; recordemos la base jurídica a la que hemos hecho referencia, que encomienda a la inteligencia apoyar el desarrollo económico y el progreso científico-técnico y militar del país. Este apoyo puede implicar desde robo de información por parte de una APT hasta compromisos más severos, por ejemplo para reforzar la posición de empresas nacionales en concursos frente a empresas de terceros países.

En cualquier caso, la principal prioridad rusa parece seguir siendo la defensa. Militarmente, Rusia tiene claras sus necesidades, y éstas pasan por el interés en la información de sus vecinos y en el ámbito OTAN; y en especial, de sus vecinos cercanos al ámbito OTAN, como son las ex Repúblicas Soviéticas más cercanas a la influencia de la Alianza. Rusia considera “inaceptable” el acercamiento de la OTAN a sus fronteras, que ve como una amenaza a la integridad de la Madre Rusia (de nuevo, recordemos todo aquello del modo Guerra Fría); de esta manera, la inteligencia rusa puede tener interés, hipotéticamente, en tratar de debilitar a “Occidente” (el ámbito OTAN, dicho de otra forma): una OTAN fuerte es un peligro para los rusos, al menos bajo su punto de vista. Curiosamente, como siempre, APT28 tiene entre sus objetivos a organizaciones como OTAN u OSCE, empresas europeas que trabajan para defensa y países del este de Europa, entre otros.

También relativo a la defensa, aunque quizás más cercano a la seguridad interior (o a la “seguridad pública” según la estrategia), Rusia está preocupada por el terrorismo cerca o incluso dentro de sus fronteras; el golpe sufrido por el país en el teatro Dubrovka de Moscú en octubre de 2002 hizo ver a Rusia su exposición al terrorismo en el mismo corazón del país -no hablaremos de los atentados en apartamentos (1999) y su análisis-. Adicionalmente, Rusia ha sufrido terribles ataques indiscriminados de grupos islamistas, algunos cercanos -en otros no tanto- al independentismo de determinadas repúblicas rusas; recordemos el derribo del avión de Metrojet o, ya este mismo año, los ataques en el metro de San Petersburgo. Su controvertido rol en conflictos como el sirio han puesto al país en el punto de mira de diferentes grupos, con lo que las necesidades de información en este sentido están más que justificadas. De hecho, según algunos analistas ([8]) APT28 está muy interesada en Siria desde el inicio del conflicto, algo de nuevo compatible con las supuestas necesidades de información del gobierno ruso.

Por último, en el ámbito político y diplomático, como en el de defensa, Rusia tiene un especial interés en lo que denominan “Occidente”; algunos servicios europeos, como el AIVD holandés ([4]), han alertado públicamente del interés ruso en la desestabilización de la Unión Europea -y por extensión de la OTAN- a través de una estrategia de “divide y vencerás” en la que a través de diferentes vías, una de ellas la del suministro energético, Moscú trata de atraer a estados miembros a su órbita; por este motivo, parece lógico que un interés muy relevante en cuanto a necesidades de información para la inteligencia rusa sea conocer cómo influenciar, directa o indirectamente, en las grandes decisiones de terceros países, por supuesto para aprovechar esa influencia en beneficio propio: imaginemos desde una posible operación de bandera falsa en medios de comunicación (o no) hasta una intervención de elecciones en algún país (siempre hipotéticamente, por supuesto) que debilite un poco a la OTAN. O recordemos a The Dukes y algunos de sus objetivos, Ministerios de Asuntos Exteriores de países de Europa del Este, o a APT29 y su interés en la política europea y estadounidense. Profundizaremos, en el próximo post de la serie, en los países en los que Rusia puede tener un mayor interés.

En resumen, dos grandes objetivos y por tanto dos grandes familias de necesidades de información: por un lado la protección de Rusia desde una perspectiva de defensa de la nación (militar, política, diplomática…) y por otro la protección económica de Rusia (ecología, economía, tecnología…), estando ambos frentes relacionados en muchos casos. La Madre Rusia debe seguir siendo una potencia mundial en todos los sentidos, algo por supuesto completamente legítimo y habitual para unos servicios de inteligencia.

Referencias
[1] President of the Russian Federation. Strategy for the national security of the Russian Federation up to 2020. Mayo, 2009.
[2] Keir Giles. Russia’s National Security Strategy to 2020. NATO Defense College Research Division. Junio, 2009.
[3] President of the Russian Federation. On Foreign Intelligence. Russian Federation Federal Law no. 5. Enero, 1996.
[4] General Intelligence and Security Service. Annual Report 2014. AIVD. Abril, 2015.
[5] Mark Galeotti. Putin’s Hydra: Inside Russia’s Intelligence Services. European Council on Foreing Relations. Mayo, 2016.
[6] Jared S. Easton. The Industrial Spy Game: FSB as Russian Economic Developer. Modern Diplomacy. Agosto, 2015.
[7] Fredrik Westerlund. Russian Intelligence Gathering for Domestic R&D – Short Cut or Dead End for Modernisation? Swedish Defence Research Agency (FOI). Abril, 2010.
[8] FireEye. APT28: at the center of the storm. FireEye. Enero, 2017.

EternalBlue vía IoT (PoC)

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IX). Conclusiones.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

¿Qué podemos hacer?

A lo largo de este ficticio (pero lejos de ser imposible) ensayo se ha pretendido demostrar lo intrincadas que están las TIC en el desarrollo de nuestras vidas. El tan famoso como manido “fallo informático” que afecta a veces nuestros quehaceres diarios no es más que un fallo de seguridad, afortunadamente no intencionado en la mayoría de los casos.

La ciberseguridad es un componente fundamental de las TIC. Y dado que, como hemos hablado, las TIC son una parte instrumental de nuestras vidas, es lógico (nunca mejor dicho) asociar transitivamente la ciberseguridad con nuestras vidas.

Esta serie de artículos se escribió antes de WannaCry, pero este incidente ejemplifica a la perfección el objetivo pretendido. Si el malware hubiera usado además del 445 (SMB) el puerto 3389 (Escritorio Remoto), la tasa de infección se habría incrementado en un orden de magnitud. Pero si el fallo explotado correspondiera al conjunto de parches de Mayo, que había salido el Martes por la noche (y que nadie tenía aplicado)… prácticamente todo el mundo habría sido víctima del ataque. Un verdadero armageddon para Internet.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

[Read more…]