La CCI rusa (XIV): el ecosistema de inteligencia. Cibercrimen

Las relaciones del Kremlin (por extensión, de sus servicios de inteligencia) con el crimen organizado “clásico”, con las mafias rusas, es un hecho más o menos probado; sin ir más lejos, en documentos filtrados por WikiLeaks el fiscal español José Grinda vincula directamente a la mafia rusa con los servicios de inteligencia del país.

Pero más allá de estas filtraciones de WikiLeaks y su grado de fiabilidad, en informes públicos -en este caso, del mismo fiscal- se ha puesto de manifiesto dicha relación de manera oficial y abierta ([1]), diciendo textualmente «[…] parte del FSB, que ha implantado un régimen de crimen organizado en determinadas esferas del poder ruso a través del cada vez mayor control del crimen organizado, tesis que ya fuera sostenida por el fallecido Litvinenko«; dicho de otra forma, se asumen las tesis de Alexander Litvinenko relativas a que los servicios rusos controlan por completo a los grupos mafiosos del país, obteniendo un beneficio mutuo de esta relación.

Recordemos, que Litvinenko, antiguo agente del KGB y del FSB, fue asesinado con Polonio 210 tras sus duras críticas al FSB y a sus actividades al margen de toda legislación, asesinato por el cual Reino Unido intentó extraditar al ex oficial del FSO Andrey Lugovoy, que casualmente disfruta de inmunidad en Rusia por ser miembro de la Duma; de la historia de Litvinenko, y de su especial colaboración con los servicios y la Justicia españoles, se puede obtener una excelente visión en [2].

Es de esperar que las relaciones de los servicios rusos con el crimen organizado, de las que ya dimos pinceladas de su origen en el post de esta serie relativo al ecosistema de inteligencia, se extiendan al ámbito tecnológico, a lo que denominamos cibercrimen -o cibercrimen organizado-; siempre de manera hipotética, por supuesto… De hecho, oficialmente es todo lo contrario: el FSB, dentro de sus atribuciones policiales tiene encomendadas actividades contra el cibercrimen, según algunos analistas incluso reemplazando con su 16a Dirección, de la que ya hemos hablado en posts anteriores, a la famosa Dirección K del Ministerio del Interior ruso ([6]), que oficialmente investiga el ciberdelito y las actividades ilegales relacionadas con tecnologías en Rusia; recordemos además que esta Dirección del FSB dispone de capacidades CNA, que quizás puedan ser activadas contra grupos de cibercriminales siempre que sea interesante para la Madre Rusia… en cualquier caso, al menos sobre el papel las dos Direcciones de ambos organismos se complementan a la perfección en sus actividades contra la delincuencia tecnológica ([3]).

Un hecho cierto es que el gobierno ruso, tanto a través del FSB como de la Dirección K de su Ministerio del Interior, ha dado pasos para combatir las actividades delictivas en Internet, aunque también es cierto que dichos esfuerzos se han focalizado más en combatir tales actividades cuando han impactado contra intereses rusos que, cuando con origen en Rusia, han impactado contra intereses extranjeros.

A modo de ejemplo, en [10] se analizan algunas de las notas de prensa publicadas en 2016 por el FSB en este sentido: en total, tres notas para informar de:

  • La detención de un grupo organizado, ruso, que había robado varios millones de euros a bancos rusos (junio).
  • El descubrimiento de un código dañino (sin especificar origen) que había comprometido diferentes organizaciones gubernamentales, militares, de investigación… rusas (julio).
  • El aviso al gobierno y la ciudadanía rusos relativo a ciberataques masivos contra sus infraestructuras, provenientes de servicios extranjeros, ataque que finalmente no se produjo o fue perfectamente mitigado por las capacidades rusas (diciembre).

Como vemos, las principales acciones han sido orientadas a proteger a Rusia y sus intereses (cosa obvia, dicho sea de paso) más que a colaborar con terceros para mitigar problemas originados en Rusia, aunque también -ya sin nota de prensa oficial- es público que en noviembre del pasado año el FSB detuvo al grupo detrás del malware bancario Dyre, de origen ruso pero con víctimas de casi todo el mundo… menos de Rusia.

La última de las actividades más notorias del Servicio durante el año pasado, también sin nota de prensa asociada, fue la detención, en diciembre, de Sergey Mikhaylov y Ruslan Stoyanov, ambos relacionados de una u otra forma, pasada o presente, con unidades gubernamentales especializadas en la lucha contra el cibercrimen, aunque dicha detención no parece relacionada con dicha lucha: la acusación oficial habla, sencillamente, de «traición», lo que puede interpretarse de muchas formas (incluso ya se apunta a su colaboración con la CIA o el FBI), no todas positivas de cara a demostrar el interés de las autoridades rusas para combatir el delito en la RuNET.

Históricamente, Rusia ha sido cuna de unas capacidades técnicas muy elevadas, capacidades que pueden usarse para bien o para mal; ya hablamos en un post anterior del establecimiento de relaciones de los servicios rusos con su ecosistema de inteligencia y de la situación vivida a finales del pasado siglo. Extrapolando esta situación al ámbito ciber es fácil comprender cómo las capacidades técnicas rusas pueden orientarse con facilidad hacia negocios no legales, a lo que denominamos ciberdelito o cibercrimen: desde spam o phishing hasta pornografía infantil, pasando por falsificación y venta de documentos oficiales; un repaso general al cibercrimen ruso puede ser el reflejado en [11].

Y en cuanto a la relación entre inteligencia y crimen organizado en este ámbito ciber, ya a finales del siglo pasado, en la operación Moonlight Maze, se hablaba de posibles relaciones entre el FSB y cibercriminales para dar cobertura a ciertas actividades en las que los servicios no deben verse envueltos de manera directa.

Si queremos hablar del cibercrimen ruso es obligatorio hacer referencia a la RBN (Russian Business Network), analizada a la perfección en [4], quizás el estudio más completo sobre la misma, donde se define la RBN como «una infraestructura completa para la provisión de servicios dañinos», indicando además que «no hay ni un solo cliente legítimo en la RBN»; sobran los comentarios. En definitiva, un proveedor de soluciones para la delincuencia, ajustadas a las necesidades de sus clientes… y desaparecido (o no) en noviembre de 2007; en el capítulo 8 de [3] se resume la curiosa historia de esta «desaparición», en opinión de muchos una simple reestructuración de la RBN para hacer menos visibles sus actividades. Algunos de los principales operadores de la RBN han tenido estrechas relaciones con los servicios rusos: es público que al menos uno de ellos, Alexandr Boykov, fue Teniente Coronel del servicio ([5]).

Adicionalmente, algunos analistas defienden la relación simbiótica entre la RBN, los hackers patrióticos y el gobierno o los servicios rusos ([8], [9], trabajos ya referenciados en posts anteriores de esta serie); dicha relación se basa en la permisividad de los primeros en relación a las actividades delictivas siempre que se ejecuten fuera de Rusia a cambio del apoyo de los segundos cuando una situación lo requiera: Georgia, Estonia… Dicho de otra forma: te dejamos trabajar pero no molestes a nuestros compatriotas; y si te necesitamos, nos tienes que echar una mano. Recordemos: nadie dice no al FSB. De hecho, algunos analistas defienden la hipótesis de que el FSB puede conmutar penas de prisión a cambio de colaboración activa; hablando en plata, ofrece a imputados por cibercrimen libertad a cambio de trabajos «especiales» (aunque también es cierto que esto se ha dicho, popularmente, de otros muchos servicios).

El último ejemplo que ha salido a la luz y pone de manifiesto la relación estrecha -potencial, potencial…- entre el cibercrimen y la inteligencia rusa es quizás el del hackeo de Yahoo en 2014, que según el Departamento de Justicia estadounidense se atribuye a la colaboración directa del FSB con actores individuales asociados al cibercrimen (la nota de prensa del DoJ, [7], se ha publicado en marzo de 2017); acusación oficial de relaciones entre servicios rusos y grupos de crimen organizado, proveniente nada más y nada menos que del gobierno estadounidense (con dos supuestos agentes del FSB citados con foto, nombre y apellidos, Dmitry Aleksandrovich Dokuchaev e Igor Anatolyevich Sushchin, entre los más buscados del ámbito ciber por el FBI), y como siempre con la correspondiente negación oficial del gobierno ruso.

También el FBI acusa a Evgeniy Bogachev, el ciberdelincuente más buscado y por el que se ofrece una recompensa de tres millones de dólares, no sólo de actividades asociadas a delincuencia económica (es el creador de Gameover Zeus y Cryptolocker), sino también por la posible interferencia -operado por el FSB- en el proceso electoral estadounidense. ¿Otra prueba de esta relación potencial? ¿Información negativa proporcionada por el gobierno estadounidense? Quién sabe… en definitiva, intuimos, aunque no podemos asegurar, que existe una relación directa entre el cibercrimen y los servicios de inteligencia en Rusia, como parece existir la relación entre dichos servicios y el crimen organizado clásico. Posiblemente sí, o posiblemente no, como casi siempre en esta guerra…

Referencias
[1] José Grinda González. Regulación nacional e internacional del crimen organizado. Experiencia de la Fiscalía Anticorrupción. Fiscalía General del Estado. España. Septiembre, 2015.
[2] Cruz Morcillo, Pablo Muñoz. Palabra de Vor. Espasa, 2010.
[3] Jeffrey Carr. Inside Cyber Warfare: Mapping the Cyber Underworld. O’Reilly, 2011.
[4] David Bizeul. Russian Business Network Study. Noviembre, 2007. http://fatalsystemerrorbook.net/pdf/Bizuel_onRBN.pdf
[5] Casimir C. Carey III. NATO’s Options for Defensive Cyber Against Non-State Actors. United States Army War College. Abril, 2013.
[6] Timothy Thomas. Russia’s Information Warfare Strategy: Can the Nation Cope in Future Conflicts?. The Journal of Slavic Military Studies. Volume 27, Issue 1. 2014.
[7] US DoJ. U.S. Charges Russian FSB Officers and Their Criminal Conspirators for Hacking Yahoo and Millions of Email Accounts. https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions. Marzo, 2017.
[8] Viktor Nagy. The geostrategic struggle in cyberspace between the United States, China, and Russia. AARMS. Vol. 11, No. 1 (2012) 13–26.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.
[10] Filip Kovacevic. Security Threats to Russia: The Analysis of the 2016 FSB Press Releases (Part 3 – Hacking & Other Challenges). https://www.newsbud.com/2017/01/12/security-threats-to-russia-the-analysis-of-the-2016-fsb-press-releases-part-3-hacking-other-challenges/. Enero, 2017.
[11] Brian Krebbs. Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door. Sourcebooks, 2014.

Corea del Norte: la Unidad 121

Corea del Norte ha sido, desde 1953, un país conocido por su hermetismo. Se ha sabido que ni los ciudadanos que pueden acceder a la electricidad tienen acceso a Internet. Podemos suponer bastante acertadamente el porqué de esta prohibición. En el país norteño de la península se dispone de una intranet llamada “Kwangmyong”, que, obviamente, es monitorizada por el gobierno. Hace no mucho, incluso, se supo por una filtración del DNS del dominio .kp que éste sólo disponía de 28 sitios web. Se supone, además, que sólo 3 millones de los 25 que hay de habitantes usan smartphones.

Sin embargo, a pesar del aparente “retraso tecnológico” que se percibe, se conoce que el gobierno invierte una tercera parte de sus presupuestos en el ejército, y de esa cantidad, un 10-20% va a la unidad de informática.

El gobierno hace una buena tarea de “ojeador”, atrayendo a los mejores informáticos de la universidad de Pyeongyang y añadiéndolos entre sus filas. Es un trabajo privilegiado cargado de honor que, además, les asegura una vida de comodidad a cambio.

[Read more…]

Mirai meets OpenSSL

No es una sorpresa el hecho de que continuamente salgan a la luz nuevas variantes de Mirai, y más, estando al alcance de cualquiera el código fuente del bot, del sevidor CnC y del servidor de descarga. Sin embargo, todos tenían unas características relativamente parecidas (a excepción de la variante para Windows, claro).

El pasado 19 de marzo llegó a nosotros una nueva versión de Mirai que nos llamó la atención por su tamaño. Mientras que lo habitual es encontrarnos con binarios Mirai de alrededor de decenas de Kbs, esta nueva muestra tiene 1,6 Mbs. La conexión TELNET que precedió la descarga del binario es exactamente igual que en anteriores capturas. [Read more…]

La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.

En Rusia han sido identificados diferentes grupos que podríamos denominar afines al Kremlin (desde Chaos Hackers Crew, en 1999, hasta Cyber Berkut, activo en el conflicto con Ucrania) y a sus acciones, grupos que han focalizado sus actividades en defacements y, en especial, en ataques DDoS contra objetivos que han sido considerados contrarios a los intereses rusos. De cada una de las operaciones de estos grupos hay literatura y más literatura; un excelente resumen de las más notorias puede encontrarse en [8]. Ya en 1994, en la Primera Guerra Chechena, algunos grupos patrióticos usaron la entonces incipiente web para actividades de propaganda y operaciones psicológicas (PSYOP), en ese momento con victoria chechena, victoria que cambiaría de bando tiempo después (1999) en la Segunda Guerra Chechena ([3]). Años más tarde, en 2007, Rusia lanza una ofensiva ciber contra Estonia que detiene la operación de la banca online de los principales bancos estonios, bloquea el acceso a medios de comunicación e interrumpe comunicaciones de los servicios de emergencia ([4]); pero no hay muertos ni heridos en ninguno de los bandos, a diferencia de lo que sucede poco más tarde (2008) en Georgia, donde se produce una ofensiva híbrida -el primer caso conocido en la historia- compuesta por ciberataques y una invasión armada, conflicto en el que surgen diferentes grupos que animan a atacar -en especial, mediante DDoS a los sitios web que apoyan al bando contrario. Estos ataques de denegación era diferentes de los lanzados contra Estonia: no sólo se basaban en la inyección de grandes volúmenes de tráfico o peticiones contra el objetivo, sino que además empleaban técnicas más sofisticadas, como el uso de determinadas instrucciones SQL para introducir carga adicional en dicho objetivo, amplificando así el impacto causado.

Más o menos a la par que a Georgia le llega el turno a Lituania, también en 2008 y, como en Estonia, en respuesta a decisiones políticas que no gustan a sus vecinos rusos; en este caso el gobierno lituano decide retirar los símbolos comunistas asociados a la antigua URSS, lo que provoca ataques de denegación de servicio y defacements de páginas web para ubicar en ellas la hoz y el martillo. Unos meses después de las acciones en Lituania, comienzan ataques contra Kyrgyzstan, ya en 2009 y de nuevo tras decisiones políticas que no gustan a los rusos, ahora relativas al uso de una base aérea del país por parte de los estadounidenses, clave para el despliegue americano en Afganistán. En este caso se trata de ataques DDoS contra los principales ISP del país, que degradaron más todavía las ya precarias infraestructuras kirguisas, con origen en direccionamientos rusos pero, según algunos expertos, con muchas más dudas en la atribución que otros ataques del mismo tipo sufridos anteriormente por otros países. También en 2009 Kazakhstan, otra ex República Soviética -y por tanto de interés prioritario para la inteligencia rusa- sufre ataques DDoS tras unas declaraciones de su Presidente en las que criticaba a Rusia.

Por último, ya en 2014, Ucrania se convierte en otro ejemplo de guerra híbrida, tal y como sucedió en Georgia años atrás, y en una excelente muestra del concepto ruso de guerra de información, con ataques no solo DDos sino, en especial, de desinformación a través de redes sociales: VKontakte, supuestamente bajo control de los servicios rusos (ya hablamos de la relación de estos con empresas, tecnológicas o no), es la red social más usada en Ucrania, lo que ofrece una oportunidad inmejorable para poner en práctica esa desinformación ([6]). Por diferentes motivos, entre ellos la propia duración del conflicto, Ucrania es un excelente ejemplo del rol de los hackers patrióticos por parte de ambos bandos (Cyber Berkut por el lado ruso y RUH8 por el ucraniano), apoyando intervenciones militares tradicionales, poniendo en práctica guerra de información, operaciones psicológicas, DDoS, ataques a infraestructuras críticas…

La presencia y operaciones de los patriotic hackers rusos parece indiscutible; la duda es conocer la relación de estos grupos y sus acciones con el Kremlin y con sus servicios, si existe, y el grado de control que pueda tener el gobierno ruso sobre los mismos… e incluso su relación con otros actores de interés para la inteligencia rusa, como el crimen organizado, del que hablaremos en el próximo post de la serie. Acciones como las ejecutadas contra servidores ucranianos en 2014 por parte de Cyber Berkut mostraron unas TTP muy similares a las empleadas con anterioridad en Estonia o Georgia, lo que vincularía estas acciones no solo a grupos correctamente organizados, sino también induciría a pensar una posible vinculación con el Kremlin, a raíz de la hipotética atribución de estas últimas acciones con el gobierno ruso ([2]). En [9] se realiza un interesante análisis de la relación entre los hackers patrióticos, el cibercrimen y los servicios de inteligencia rusos durante el conflicto armado con Georgia, en 2008; adicionalmente, también en las tensas relaciones entre Rusia y Georgia se genera otra hipotética prueba, al menos especialmente curiosa, de la vinculación entre ataques, hackers patrióticos y servicios rusos: en 2011 el CERT gubernamental georgiano ([7]), ante un caso de ciberespionaje supuestamente ruso, decide comprometer voluntariamente un equipo con el malware usado por los atacantes, poner un fichero señuelo en el mismo y a su vez troyanizar dicho archivo con un software de control remoto. Cuando el atacante exfiltró el honeypot, el CERT pudo tomar el control de su equipo, grabando vídeos de sus actividades, realizando capturas a partir de su webcam y analizando su disco duro, en el que se encontraron correos electrónicos supuestamente entre un controlador -dicen las malas lenguas de algunos analistas que del FSB, quién sabe…- y el atacante, intercambiando información de objetivos y necesidades de información e instrucciones de cómo usar el código dañino

Con independencia de las relaciones de los servicios rusos con grupos de hackers patrióticos, la infiltración o el grado de control sobre los mismos, lo que sí es cierto es que en determinados casos el FSB ha evitado, de forma pública, ejercer sus funciones policiales para perseguir actividades a priori delictivas de los hackers patrióticos rusos: en 2002, estudiantes de Tomsk lanzaron un ataque de denegación de servicio contra el portal Kavkaz-Tsentr, que hospedaba información sobre Chechenia molesta para los rusos; la oficina local del FSB publicó una nota de prensa en la que se refería a estas acciones de los atacantes como una legítima «expresión de su posición como ciudadanos, digna de respeto» ([5]). Y lo que sí es indiscutible es que tras decisiones de un gobierno soberano que pueden ser contrarias a los intereses del gobierno ruso o simplemente a su opinión, dicho gobierno sufre ataques más o menos severos -en función de la importancia de dicha decisión- contra sus infraestructuras tecnológicas, al menos en zonas especialmente relevantes para la inteligencia y el gobierno rusos como son las ex Repúblicas Soviéticas; por supuesto, ataques que es difícil ligar de manera fehaciente al gobierno ruso o a hackers patrióticos de este país, pero que se producen en cualquier caso.

Para acabar, un detalle: los hackers patrióticos rusos no solo han ejecutado acciones contra terceros países, sino que también han operado dentro de la RUNet; uno de los casos más conocidos es el de Hell, actuando contra movimientos liberales rusos: opositores al gobierno, periodistas, bloggers… y del que (o de los que) han circulado indicios de su vinculación con el FSB (recordemos, inteligencia interior), en concreto con el CIS de este servicio. En 2015 se juzga y condena en Alemania a Sergei Maksimov, supuestamente Hell, por falsificación, acoso y robo de información; aunque se enfrenta a tres años de cárcel, la condena impuesta es mínima. ¿Era Maksimov realmente Hell? ¿Existían vinculaciones entre esta identidad y el FSB? ¿Era Hell parte del propio FSB, de la unidad 64829 de este servicio? Ni lo sabemos, ni probablemente nunca lo sepamos, como quizás tampoco sepamos si Nashi, una organización patriótica juvenil nacida al amparo del Kremlin -esto sí que lo sabemos, es público- organizó ataques DDoS no sólo contra Estonia en 2007, sino también contra medios de comunicación rusos contrarios a las políticas de Putin, e igualmente intentó reclutar a periodistas y bloggers para conseguir su apoyo en actividades contrarias a los opositores al gobierno ruso… al menos eso dicen los correos robados por Anonymous -presuntamente, como siempre- a Kristina Potupchik, portavoz de Nashi en su momento y, más tarde, «ascendida» a responsable de proyectos en Internet del Kremlin (esto también es público).

Referencias
[1] Johan Sigholm. Non-State Actors in Cyberspace Operations. In Cyber Warfare (Ed. Jouko Vankka). National Defence University, Department of Military Technology. Series 1. Number 34. Helsinki, Finland, 2013.
[2] ThreatConnect. Belling the BEAR. Octubre, 2016. https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/
[3] Kenneth Geers. Cyberspace and the changing nature of warfare. SC Magazine. Julio, 2008.
[4] David E. McNabb. Vladimir Putin and Russian Imperial Revival. CRC Press, 2015.
[5] Athina Karatzogianni (ed.). Violence and War in Culture and the Media: Five Disciplinary Lenses. Routledge, 2013.
[6] Andrew Foxall. Putin’s Cyberwar: Russia’s Statecraft in the Fifth Domain. Russia Studies Centre Policy Paper, no. 9. Mayo, 2016.
[7] CERT-Georgia. Cyber Espionage against Georgian Government. CERT-Georgia. 2011.
[8] William C. Ashmore. Impact of Alleged Russian Cyber Attacks. In Baltic Security and Defence Review. Volume 11. 2009.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.

Imagen cortesía de Zavtra.RU

Personal Countersurveillance (II): Camuflaje antireconocimiento Facial

En el artículo anterior de esta serie se habló sobre el reconocimiento facial y algunas de sus aplicaciones, con la intención de mostrar la cantidad de información que puede contener una imagen y las conclusiones (más o menos fundamentadas) que algunos particulares podrían extraer analizando nuestro rostro.

También se explicó cómo en 2001 aparece el algoritmo Viola-Jones. Un  sistema barato, escalable, preciso y en tiempo real que permite integrar el reconocimiento facial en dispositivos ligeros, suponiendo la democratización de la visión artificial y su llegada al gran público, integrándola en todo tipo de cámaras. Es a día de hoy uno de los sistemas más extendidos en software de procesamiento de imagen como OpenCV.

Figura 1: Adam Harvey, Algoritmo Viola-Jones evaluando una región facial clave durante un reconocimiento facial, Vimeo. CV Dazzle: Collaboration with DIS -> Look #1 (before). Imagen tomada de: https://vimeo.com/34545340 [Accedido el 16/02/2017]

[Read more…]

Personal Countersurveillance (I): Reconocimiento Facial

Aquellos que trabajamos en el sector de la ciberseguridad estamos acostumbrados a oír hablar de amenazas y medidas de defensa, pero casi siempre referidas a un entorno virtual. Sin embargo, existen otras dimensiones, como la seguridad física, que pueden afectarnos de diversas maneras.

Esta serie ha sido inspirada por la ponencia de Adam Harvey del Chaos Communication Congress de 2016: “Retail Surveillance / Retail Countersurveillance”. En ella abordaré algunos conceptos concernientes a sistemas de vigilancia y medidas de contra-vigilancia que pueden ser usadas para evitar el reconocimiento por parte de terceros.

Este primer artículo se centra en el reconocimiento facial, algunas de sus aplicaciones más controvertidas a día de hoy y sus implicaciones.

Figura 1: Anónimo. Imagen tomada de: http://luisjimenez.com/wp-content/uploads/2016/05/faception.jpg [Accedido el 15/05/2017]

[Read more…]

La CCI rusa (XII): el ecosistema de inteligencia. Brigadas web

Las conocidas como Brigadas Web (o equipo G) son grupos teóricamente ligados al gobierno ruso que participan en foros, redes sociales, blogs, webs informativas… para generar una imagen positiva de Rusia (y en concreto de Putin) en los medios digitales; según apuntan algunos rumores estos grupos están controlados por el propio FSB, aunque esto sea difícil de demostrar [1]. Uno de los casos más conocidos del uso de brigadas web para difundir esta información es el de los Trolls de Olgino, un grupo bastante numeroso de personas pagadas –siempre teóricamente- para promover las posturas rusas en temas de política nacional o internacional.

Los miembros de las brigadas web tienen definidas incluso directrices para elaborar sus comentarios y opiniones ([4]), que marcan por ejemplo el número de palabras mínimo de cada entrada o las pautas para pasar desapercibido en redes sociales, combinando opiniones políticas con otras intrascendentes acerca de aficiones o viajes; algo que parece perfectamente estudiado y orquestado y en lo que con toda probabilidad se invertirán grandes cantidades de dinero, dinero que quizás provenga de grupos afines al gobierno… o del propio gobierno.

Estas actividades de propaganda, en línea con el amplio concepto ruso de information warfare, son perfectamente coordinadas y se abordan mediante identidades digitales ficticias (sockpuppets); el objetivo de estos grupos no es sólo crear comentarios positivos, sino introducir ruido, ambientes agresivos en foros de discusión y, en definitiva, un ecosistema que por un lado evite críticas al gobierno ruso y por otro apoye sus posiciones internas o internacionales en temas políticamente delicados. Y esto se aborda tanto dentro como fuera de los medios rusos; incluso, siendo malpensados, en medios españoles existen perfiles que siempre participan en noticias relacionadas con Rusia o sus intereses y que, en un castellano pobre, defienden a ultranza las posturas rusas, igual que en ese castellano pobre participan esporádicamente en otros temas intrascendentes… Fijaos en los foros :) (ojo, seguramente también existirán los perfiles que las ataquen o que defiendan otras, pero desde luego los pro-rusos a mi me llaman la atención).

La existencia de las brigadas web es, como casi siempre en este mundo de la inteligencia y la guerra de información, hipotética, y de hecho existen esfuerzos tanto para demostrar su actividad como para achacarla a teorías de la conspiración ([2]); no obstante, diferentes filtraciones e investigaciones parecen (ojo: parecen) confirmar no sólo la existencia de estos grupos sino también su vinculación al gobierno. Su actividad puede ser considerada una muestra del putinismo del que en ocasiones se acusa a los servicios rusos: no elaboran inteligencia, sino la inteligencia que justifique a su gobierno y apoye sus acciones (algo de lo que recientemente se ha acusado también a servicios de otros países). Pero especialmente, las actividades de las brigadas web son una excelente muestra de la inclusión de las operaciones psicológicas o de desinformación en la guerra de información rusa, de la que ya hemos hablado con anterioridad y que caracteriza las estrategias de este país diferenciándolas en buena parte de las occidentales (no obstante otros actores, como los asociados al DAESH, sí tienen una estrategia de guerra de información global). El excelente manejo ruso de la información con determinados fines y su uso en ciertas operaciones puede ampliarse en [3]; una referencia más global, no focalizada exclusivamente en Rusia, es [1].

Referencias
[1] Ulrik Franke. Information operations on the Internet. A catalog of modi operandi. FOI. Marzo, 2013.
[2] Alexander Yusupovskiy. Conspiracy theory. Russian Journal. Abril, 2003.
[3] Peter Pomerantsev and Michael Weiss. The menace of unreality: how the Kremlin Weaponizes Information, Culture and Money. Institute of Modern Russia. Noviembre, 2014.
[4] Anna Polyanskaya, Andrei Krivov, Ivan Lomko. Virtual eye of the Big Brother. Vestnik online. Abril, 2003.

La CCI rusa (XI): el ecosistema de inteligencia. Empresas

Cuando hablamos de la relación de los servicios rusos con las empresas del país, es necesario destacar que a dichos servicios no les interesa cualquier tipo de organización, sólo las que puedan dar una cobertura al servicio o aquellas que les permita controlar, en mayor o menor medida, una parcela de interés para los intereses nacionales de Rusia –generalmente empresas estratégicas para la nación-: recursos naturales (gas y petróleo sobre todo), medios de comunicación, monopolios estatales creados tras el desmembramiento de la URSS… Como dato curioso en relación al control estatal en algunos ámbitos, en la legislación rusa se identifican sectores o empresas estratégicas y es la propia Ley rusa quien define cómo invertir en ellas, incluyendo la inversión extranjera en estas empresas: las empresas extranjeras tienen prohibido ser dueñas de una empresa estratégica rusa, salvo aprobación explícita del Presidente.

Quizá el caso más famoso de empresa aparentemente controlada –o al menos con un elevado grado de penetración- por los servicios rusos ha sido el de Aeroflot, las líneas aéreas rusas. Desde el KGB hasta nuestros días tal era el control de los servicios de inteligencia que vuelos comerciales de la compañía se han utilizado hipotéticamente para repatriaciones forzosas de ciudadanos rusos o incluso para el tráfico de armas biológicas. En 1996 se asocian a los servicios rusos 3.000 de sus 14.000 empleados, situación que es denunciada por el nuevo Presidente de la compañía, que incluso llega a reclamar que dichos servicios abonen el salario de su personal en la compañía; huelga decir que acaba en la cárcel.

Por supuesto, en la actualidad los servicios rusos tienen mucho interés en empresas tecnológicas (interés que no sustituye al que tienen en empresas más clásicas, sino que se suma a éste). Desde empresas cercanas a los contenidos (las que poseen la información) como Mail.RU o VKontakte, hasta las grandes operadoras de telecomunicaciones como Rostelecom o TransTelecom (las que transportan la información), pasando por compañías de seguridad como Group IB (que posee el primer CERT privado ruso), RTEC (Russian Telecom Equipment Company, especializada en el desarrollo de tecnologías para comunicaciones seguras) o Kaspersky, la mayor compañía de seguridad rusa (de la que hay que decir que elabora unos excelentes informes técnicos de APT).

Un caso muy conocido de control (perdón, colaboración) de una empresa por parte de los servicios rusos se produce en diciembre de 2013, cuando el FSB solicita a Pavel Durov, fundador y CEO de VKontakte, datos de usuarios ukranianos (en la imagen podemos ver dicha solicitud). Y es que VKontakte, el “Facebook ruso”, no es sólo ruso: tiene millones de usuarios de ex repúblicas soviéticas, lo que lo convierte en una fuente de datos inmejorable para los servicios rusos. Esta solicitud motiva que Pavel Durov deje la dirección de la red social, venda su parte de la compañía y abandone Rusia, pasando Mail.RU a tomar el control de VKontakte en septiembre de 2014.

a b

A pesar de casos como el de VKontakte, sin duda el mayor nivel de control sobre empresas tecnológicas que existe en Rusia se produce sobre los proveedores de telecomunicaciones (teléfono, Internet…); dichos proveedores están obligados a facilitar acceso “de serie” al FSB tanto a las comunicaciones como a documentos internos de las compañías mediante SORM (Systema Operativno-Razisknikh Meropriatiy). SORM puede traducirse del ruso como “sistema para medidas operativas de búsqueda en comunicaciones”, sabiendo que ORM (“medidas operativas de búsqueda”, es la definición amable de interceptación ([1]) y es un conjunto de regulaciones y, sobre todo, de equipamiento tecnológico, de aplicación en los proveedores, que facilita al FSB y a otros servicios un mecanismo sencillo para escuchar las comunicaciones, evitando cualquier autorización judicial. Un dispositivo físico es desplegado en la infraestructura del proveedor de comunicaciones y conectado mediante un cable especialmente protegido a centros de operaciones del FSB. A partir de ese momento, el servicio puede acceder a las comunicaciones y sistemas sin ningún tipo de control por parte del proveedor –que a pesar de pagar de su bolsillo el equipamiento no tiene acceso a éste- y, por supuesto, sin ningún tipo de orden judicial (al menos a priori).

SORM fue inicialmente desarrollado en 1996 y en la actualidad cuenta con tres capacidades fundamentales: SORM-I, para la interceptación de comunicaciones telefónicas fijas y móviles, SORM-II (1998), para la interceptación de tráficos de red (Internet) y SORM-III (2014), que proporciona capacidad de adquisición de todo tipo de comunicaciones y almacenamiento de los datos y metadatos interceptados, con un elevado periodo de retención. Estos sistemas se ocupan de adquirir toda la información relevante de las comunicaciones rusas y facilitan el acceso a estos datos no sólo al FSB, sino a diferentes agencias de seguridad o inteligencia del país.

En resumen la colaboración, voluntaria o no (“nadie le dice NO al FSB”), de algunas empresas con los servicios rusos es teóricamente elevada, como también lo es el grado de penetración de estos servicios en el tejido empresarial ruso con dos objetivos: control y cobertura. Y hoy en día las tecnológicas pueden aportar mucho en ambos sentidos. Ojo, nada nuevo ni exclusivo del ecosistema de este país: ya hablaremos algún día de la CIA y algunas líneas aéreas estadounidenses, o de la NSA y ERROR: EOT. Connection closed.
Referencias
[1] Andrei Soldatov. Russia’s communications interception practices (SORM). Agentura.RU. http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/soldatov_presentation_/soldatov_presentation_en.pdf. Enero, 2014.

La CCI rusa (X): el ecosistema de inteligencia

coat_of_arms_of_the_russian_federation-svgNo podemos concebir la comunidad de inteligencia rusa, descrita en esta serie, como un conjunto de servicios dependientes del poder político o militar; el grado de penetración de estos servicios en toda la sociedad rusa es muy elevado, tanto oficial como extraoficialmente. No es ningún secreto que antiguos oficiales del KGB o del FSB ocupan puestos de responsabilidad en la política o las grandes empresas del país; como curiosidad, en 2006 se publicó que el 78% de los mil políticos más importantes del país habían trabajado para los servicios secretos rusos ([1]). Tanto es así que estos perfiles tienen un nombre propio: siloviki, término que viene a significar personas en el poder. Y no es ningún secreto quién es el siloviki más conocido: Vladimir Putin, Presidente de la Federación Rusa, quien fue agente del KGB en la época soviética y posteriormente Director del FSB.

Para entender este grado de penetración de la inteligencia rusa en ciertos órganos de poder es necesario remontarse especialmente a los años 90. El desmembramiento de la Unión Soviética causó una situación caótica en Rusia, con unos índices de paro o pobreza elevados; mucha gente había perdido su empleo –entre ellos, se estima que el 40% de los miembros del KGB ([2])- y la salida fácil para esos ciudadanos era, obviamente, la ilegal. Muchos antiguos miembros de las fuerzas de seguridad, del ejército o de los servicios de inteligencia acabaron engrosando las filas de grupos de crimen organizado o trabajando en el ámbito de la protección, legal o ilegal, de oligarcas o líderes mafiosos. Este trasvase de personal especializado a los grupos de crimen organizado supuso no sólo la forma de supervivencia de estas personas, sino un refuerzo considerable de dichos grupos, tanto en volumen como en calidad: muchos de ellos pasaron de ser pequeños grupúsculos sin especializar, que utilizaban técnicas básicas de intimidación, a convertirse gracias a esos nuevos fichajes en grupos mafiosos perfectamente organizados, con mejores recursos humanos y materiales y con unas tácticas altamente especializadas. Y muy especialmente, con mejores relaciones con los servicios de seguridad, defensa o inteligencia rusos, cuna de buena parte del nuevo personal de los grupos mafiosos.

En esta convulsa situación, parecía que el negocio más estable era el crimen organizado; a modo de ejemplo, en 1995 se había triplicado el número de homicidios frente a los datos de 1988. Cuando el Gobierno ruso comienza a privatizar empresas y servicios estatales, los grupos de crimen organizado, con mucho dinero y poder, identifican la oportunidad de posicionarse en éstos, lo que automáticamente no sólo incrementa su poder económico, sino que posiciona a las mafias en primera línea del poder político.
Recapitulemos: el crimen organizado mantenía una estrecha relación con los servicios de seguridad o inteligencia, ya que muchos de sus miembros provenían de éstos, y también con las grandes empresas privatizadas y por tanto con la política nacional. Una combinación perfecta para erigirse en una pieza clave para el país. El Gobierno ruso era consciente de que, para devolver el país a una situación de relativa normalidad había que contar, de forma obligatoria, con el crimen organizado; tanto fue así que en 1994 Boris Yeltsin llegó a denominar a Rusia “el mayor estado mafioso del mundo”.

Pero la llegada de Vladimir Putin al gobierno, en 1999, trata de cambiar esta situación con dos objetivos: devolver el control de los activos estratégicos al estado y hacer saber al mundo que el estado volvía a controlar dichos activos –y por tanto, Rusia era una potencia mundial como lo fue la URSS-. Arrebata el control de las principales empresas y puestos de mando a oligarcas y criminales y sitúa en ellos a antiguos oficiales del KGB o de su sucesor, el FSB, seguro de que todos ellos identificaban a la misma Madre Rusia de la que ya hemos hablado en esta serie.

Con una dosis de mano dura, Vladimir Putin consigue su reto y elimina en buena parte al crimen organizado de las posiciones estratégicas para el país; pero el poder adquirido por los grupos mafiosos durante los años noventa era demasiado elevado, y tratar de eliminar sus actividades por completo podría incluso desestabilizar a Rusia ([2]), con lo que Putin debe conformarse con apartarlos de estas posiciones estratégicas pero permitir de forma velada que continúen con sus negocios ilegales.
Fijémonos en la gran telaraña: los servicios de inteligencia rusos mantienen conexiones con el crimen organizado, ganadas en los años noventa, y una amplia penetración en los círculos de poder político (gobierno) y económico (empresas estratégicas) del país, ganada en la primera década de este siglo. Con este grado de infiltración en los círculos de poder, la inteligencia rusa consigue dos objetivos claros: cobertura y control (o colaboración, según el grado requerido en cada caso); esto ha sido así desde la época soviética y lo es –casualmente o no- en la rusa. De hecho, hasta hace poco, un elevado porcentaje de los altos cargos del gobierno ruso eran siloviki, si bien con Medvedev este porcentaje se ha reducido y los siloviki han perdido parte de su poder en la política, aunque aún constituyen un grupo de presión relevante (o varios, ya que hay varias “familias” de siloviki). Con la elección de Medvedev como Primer Ministro ruso, Putin reforzó a los liberales (economistas y abogados, muchos de ellos de San Petersburgo) frente a los siloviki, encabezados por Sergei Ivanov, a quien otorgó la Jefatura de la Oficina Ejecutiva Presidencial; un movimiento interesante entre dos clanes enfrentados que a partir de ese momento tienen un nexo de unión casi único: el propio Presidente Putin.

Además de con estos círculos de poder, los servicios rusos se relacionan estrechamente con movimientos ciudadanos e incluso con la iglesia ortodoxa rusa; aunque esta última relación no la vamos a describir –nos estamos focalizando, o intentándolo, en un ámbito ciber- no deja de ser un buen indicativo de hasta qué punto hay una amplia penetración social de la inteligencia en la sociedad rusa. Y veremos que esta penetración no se restringe a la inteligencia clásica, sino que se extrapola automáticamente al ámbito ciber.

Las relaciones de los servicios rusos con algunos de estos actores están en general amparadas por la Ley y no pueden más que causar prejuicios éticos; no obstante, en las relaciones “extraoficiales” la legalidad es más que dudosa, no sólo con el crimen organizado (en nuestro caso, con el cibercrimen organizado) sino también con movimientos como los patriotic hackers, que han lanzado auténticas campañas ofensivas contra objetivos de la patria rusa, quizás amparados por los propios servicios del país…
Vamos a repasar en estas próximas entradas las relaciones de la comunidad de inteligencia rusa, descrita con anterioridad, con los diferentes actores relevantes para dicha comunidad, que le permiten incrementar su control y sus capacidades de actuación, en especial extraoficialmente.

Referencias
[1] Alexander Klimburg, Heli Tirmaa-Klaar. Cybersecurity and cyberpower: concepts, conditions and capabilities for cooperation for action within the EU. Directorate-General for External Policies of the Union. Directorate B. Policy Department. European Parliament, 2011.

[2] Fred Burton, Scott Stewart. Russia and the Return of the FSB. Stratford Security Weekly. Abril, 2008.

La CCI rusa (IX): grupos APT

russian-malware-analysis-temp-770x513Hemos hablado hasta el momento de los principales servicios que conforman la comunidad de inteligencia rusa en su ámbito ciber y seguiremos describiendo en sucesivos posts el resto del complejo ecosistema ruso pero, ¿dónde quedan las APT supuestamente rusas? Grupos conocidos por todos, como APT28 (FancyBear, Sofacy…) o APT29 (CozyBear, The Dukes…), deben estar, de alguna forma, relacionados con esta comunidad… si no son parte de la misma, ¿verdad?

Estos grupos, APT28 y APT29 (les llamaremos así, aunque aprovechamos para pedir desde aquí un estándar ISO para nomenclatura de grupos APT, que cada uno tiene una docena ;) son sin duda los más conocidos del panorama ruso, a raíz de los informes de FireEye [5] y [6]. Entonces, ¿son unidades de alguno de los servicios rusos expuestos anteriormente? ¿son mercenarios que venden su trabajo al mejor postor? ¿son grupos organizados que facilitan información a cambio de impunidad? ¿son el resultado de operaciones de bandera falsa de un tercero? Ni lo sabemos ni posiblemente lo sepamos nunca… No obstante, como es imposible, vamos a evaluar en este post, o al menos a intentarlo (recordemos que eso de la atribución es siempre hipotético, por eso nos gusta tanto ;), algunos de los elementos que nos permiten relacionar a estos grupos con los servicios rusos. Hay más grupos supuestamente rusos, como Turla; ya hablaremos de ellos en otro post…

APT28 y APT29
La primera pregunta que debemos plantearnos respecto a estos grupos es si realmente son rusos; los indicadores más técnicos apuntan a que sí: desde las horas y fechas de compilación de su arsenal, coincidente en buena parte con el horario laboral de Moscú y San Petersburgo, hasta la codificación y lenguajes utilizados en buena parte de sus artefactos. No obstante aquí nos topamos con el gran problema de la atribución, y es que la abordamos a partir de artefactos dejados, voluntaria o involuntariamente, por el atacante. ¿Puede un señor de Cuenca saber ruso -incluso coloquial-, cambiar la hora de su equipo para fijarla en ese horario al que hacíamos referencia o configurar el sistema en ruso? Sin problemas ¿Podrían ser estos grupos conquenses, entonces? Por supuesto.

Aunque los indicadores técnicos sean fácilmente alterables, son lo que tenemos para trabajar; tanto en APT28 como en APT29 los analistas identifican no a un señor de Cuenca, sino a un grupo estructurado, con responsabilidades separadas, con metodologías de desarrollo establecidas… algo que podríamos denominar una malware factory. Es decir, se identifica una organización potente detrás, organización que podría ser un grupo independiente, una unidad de un servicio determinado, una empresa… de Moscú, de San Petersburgo o de Cuenca.

Las necesidades de información, y por tanto los objetivos de estos grupos son más difícilmente falsificables que los indicadores puramente técnicos (ojo, pero no es imposible hacerlo); en el caso de estos grupos, sus víctimas son compatibles con las necesidades de información del gobierno ruso de las que ya hablaremos con detalle en esta serie de posts, tanto geográfica como operativamente. Falsificar esto sería mucho más costoso para un tercero -insistimos, pero NO imposible cuando hablamos de un actor con muchísimas capacidades, como un estado-; por tanto, si los indicadores técnicos apuntan a Rusia, los objetivos y víctimas apuntan a Rusia y las necesidades de información reflejadas coinciden con las supuestamente rusas ([8]) la probabilidad de que APT28 y APT29 tengan raíces rusas es ALTA. ¿Podemos confirmarlo al 100%? Por supuesto que NO.

TTP
Las tácticas, técnicas y procedimientos habituales asociados a APT29 pasan por el ataque a través de phishing dirigido a la víctima, con un enlace en el correo para descargar un dropper que al ejecutarse descargará a su vez un RAT; por su parte, APT28 trabaja más con la creación de páginas web fraudulentas similares en aspecto a las de sus objetivos, con nombres de dominios cercanos a los legítimos, para robo de credenciales. El arsenal de APT28 se basa principalmente en la explotación de productos de Microsoft y Adobe, al igual que el de APT29, en ambos casos debido sin duda a la popularidad de estos entornos y por tanto al éxito en su explotación; no obstante, APT28 utiliza más vulnerabilidades sin exploits conocidos que APT29 ([2]) y además su catálogo es mucho mayor que el de este último, lo que podría implicar tanto un número mayor de recursos como una mayor experiencia en el ámbito del ciberespionaje por parte de APT28 que por parte de APT29, pero por contra APT29 es muy discreto y tiene un objetivo de persistencia muy alto. En cualquier caso, ambos grupos son técnicamente excelentes y su catálogo de vulnerabilidades rara vez se solapa, lo que denotaría la separación (y la competencia) de ambos, y que sería compatible con la separación (y la competencia) de los servicios rusos a la que ya hemos hecho referencia en esta serie de posts. Adicionalmente, algunas de las vulnerabilidades explotadas por APT28 y APT29 en sus campañas son también aprovechadas por grupos vinculados al cibercrimen ([2]), lo que puede ser desde una maniobra de distracción hasta algo que quizás refuerce la teoría de la estrecha vinculación entre la comunidad de ciberinteligencia rusa y otros actores de su entorno, como analizaremos más adelante en esta misma serie de posts.

En ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación, la seguridad de sus operaciones (OPSEC)… denotan que APT28 y APT29 no son atacantes individuales o grupos poco organizados, sino grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas. ¿Apoyados por un estado? ¿Parte directa de dicho estado? En [8] encontramos un excelente análisis. La probabilidad es ALTA, ya que pocas organizaciones pueden disponer de estas capacidades pero, como siempre, no podemos confirmarlo con certeza.

Objetivos
Entre los objetivos de APT28 se encuentran sectores como el aeroespacial, defensa, energía, administraciones públicas y medios de comunicación (recordemos el manejo de la información en las estrategias y doctrinas rusas), con un especial cariño por los ministerios de Defensa y organizaciones de los sectores anteriores ligadas al entorno militar ([1]) que casualmente reflejan los intereses de la inteligencia militar rusa; en [5], informe donde FireEye identifica a este grupo como APT28, se detallan algunos de los objetivos -y de las víctimas- de APT28, destacando su interés operativo en los ámbitos cercanos al militar y, adicionalmente, su interés en el control de la información relativa a temas relevantes para Rusia, algo alineado con el amplio concepto de information warfare ruso al que hemos hecho referencia en posts anteriores. APT28 no aborda robo de propiedad intelectual, y adicionalmente, los países comprometidos corresponden con los principales intereses geopolíticos rusos -que ya comentaremos en futuros posts-, y los objetivos son compatibles tanto con el origen ruso del grupo como con la posible cercanía del mismo con el ámbito militar; dicho de otra forma, APT28 y GRU comparten necesidades de información y objetivos, por lo que quizás, sólo quizás, tengan algún tipo de relación. ¿Es APT28 una unidad del GRU? No lo sabemos ¿Es un grupo externo pagado por el GRU? No lo sabemos ¿Es un grupo de Cuenca? No lo sabemos…

Por su parte, APT29 amplía los objetivos de su competidor, desligándolos parcialmente del ámbito militar para focalizarse no sólo en éste, sino además en sectores como el farmacéutico, el financiero o el tecnológico, por poner solo unos ejemplos, así como en ONG e incluso en organizaciones delincuenciales ([7]). Este último elemento es muy significativo, ya que podría reflejar las atribuciones policiales, y por tanto las necesidades de información, del FSB ruso, mientras que el ataque a diferentes ONG implica -o puede implicar- intereses políticos, económicos o de control de la información. En línea con un servicio como el FSB… o en línea con una operación conquense de bandera falsa.

Un ejemplo reciente
Sin duda, el caso reciente más sonado de supuestos compromisos por parte de APT rusas, en esta ocasión tanto por APT28 como por APT29, es el del Democratic National Comitee (DNC) estadounidense, en 2016, y su potencial influencia en los resultados de la campaña electoral, incidente descrito a la perfección en [3]; Crowdstrike puso de manifiesto la presencia de ambos grupos en los sistemas del DNC, con una mayor persistencia por parte de APT29, y dejando la competencia entre estos grupos: no comparten TTP, ni vulnerabilidades, ni recursos… pero en ocasiones comparten objetivos. A los elementos técnicos para la atribución a los servicios rusos, analizados por compañías como la anterior (y reforzados posteriormente por otras como FireEye o Fidelis) se une la sorpresiva aparición de Guccifer 2.0, una identidad presumiblemente falsa (un sockpuppet) compatible con la doctrina militar rusa y completamente alineado con el amplio concepto de information warfare al que ya hemos hecho referencia y que incluye la decepción, la desinformación, etc. Un excelente análisis de este sockpuppet y su potencial relación con una operación de bandera falsa del GRU puede encontrarse en [4].

Conclusiones
Hemos visto en este post que todo apunta a que APT28 y APT29 son de origen ruso y posiblemente cuentan con el apoyo de un gobierno para sus actividades, dos hipótesis de probabilidad ALTA. Las necesidades de información de ambos grupos son compatibles con las necesidades de información del gobierno ruso, y sus objetivos coinciden también con las inquietudes de dicho gobierno en diferentes ámbitos. No comparten inteligencia ni arsenales, lo que sería compatible con la separación de los diferentes servicios de inteligencia rusos si APT28 y APT29 estuvieran ligados a algunos de ellos, pero sí objetivos: el resultado final, la inteligencia, será de mayor calidad. Según diferentes analistas, APT28 puede estar relacionado con la inteligencia militar rusa, el GRU, mientras que APT29 lo estaría con el FSB. Puede que sea así. O puede que no. Muchas veces uno llega a la conclusión de que nombres como APT28, PawnStorm, APT29, Snake… no son más que la forma elegante que tenemos de decir FSB, GRU, FSO… cuando no tenemos las pruebas suficientes para confirmar la implicación de estos servicios en ciertas operaciones. En cualquier caso, si realmente APT28 se corresponde con una unidad del GRU y APT29 con una unidad del FSB (o viceversa, como defiende [9]) es algo que por supuesto ni sabemos a ciencia cierta ni creo que podamos saber a corto plazo: todo son hipótesis. Quizás en estos momentos hay un señor en Cuenca, muy listo y organizado, con muchos recursos, escuchando Radio Moscú para perfeccionar un idioma extranjero y configurando su equipo con la zona horaria de San Petersburgo mientras se ríe de todos los analistas del mundo.

Referencias
[1] Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike. Junio, 2016. https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

[2] RFSID. Running for Office: Russian APT Toolkits Revealed. Agosto, 2016. https://www.recordedfuture.com/russian-apt-toolkits/

[3] Eric Lipton, David E. Sanger, Scott Shane. The Perfect Weapon: How Russian Cyberpower Invaded the U.S. New York Times. Diciembre, 2016. http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html

[4] Thomas Rid. All Signs Point to Russia Being Behind the DNC Hack. Motherboard. Julio, 2016. http://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

[5] FireEye. APT28: A window into Russia’s cyber espionage operations?. FireEye. Octubre, 2014. https://www2.fireeye.com/apt28.html

[6] FireEye. HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group. FireEye. Julio, 2015. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf

[7] F-Secure. THE DUKES. 7 years of Russian cyberespionage. F-Secure. Septiembre, 2015. https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

[8] Jen Weedon. Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. Kenneth Geers (Ed.), Cyber War in Perspective: Russian Aggression against Ukraine. NATO CCD COE Publications. Tallinn. 2015.

[9] Malcolm Nance. The plot to hack America: How Putin’s cyberspies and WikiLeaks tried to steal the 2016 election. Sky horse Publishing, 2016.

Imagen cortesía de Indian Strategic Studies.