La CCI rusa (XI): el ecosistema de inteligencia. Empresas

26 de enero de 2017 Por

Cuando hablamos de la relación de los servicios rusos con las empresas del país, es necesario destacar que a dichos servicios no les interesa cualquier tipo de organización, sólo las que puedan dar una cobertura al servicio o aquellas que les permita controlar, en mayor o menor medida, una parcela de interés para los intereses nacionales de Rusia –generalmente empresas estratégicas para la nación-: recursos naturales (gas y petróleo sobre todo), medios de comunicación, monopolios estatales creados tras el desmembramiento de la URSS… Como dato curioso en relación al control estatal en algunos ámbitos, en la legislación rusa se identifican sectores o empresas estratégicas y es la propia Ley rusa quien define cómo invertir en ellas, incluyendo la inversión extranjera en estas empresas: las empresas extranjeras tienen prohibido ser dueñas de una empresa estratégica rusa, salvo aprobación explícita del Presidente.

Quizá el caso más famoso de empresa aparentemente controlada –o al menos con un elevado grado de penetración- por los servicios rusos ha sido el de Aeroflot, las líneas aéreas rusas. Desde el KGB hasta nuestros días tal era el control de los servicios de inteligencia que vuelos comerciales de la compañía se han utilizado hipotéticamente para repatriaciones forzosas de ciudadanos rusos o incluso para el tráfico de armas biológicas. En 1996 se asocian a los servicios rusos 3.000 de sus 14.000 empleados, situación que es denunciada por el nuevo Presidente de la compañía, que incluso llega a reclamar que dichos servicios abonen el salario de su personal en la compañía; huelga decir que acaba en la cárcel.

Por supuesto, en la actualidad los servicios rusos tienen mucho interés en empresas tecnológicas (interés que no sustituye al que tienen en empresas más clásicas, sino que se suma a éste). Desde empresas cercanas a los contenidos (las que poseen la información) como Mail.RU o VKontakte, hasta las grandes operadoras de telecomunicaciones como Rostelecom o TransTelecom (las que transportan la información), pasando por compañías de seguridad como Group IB (que posee el primer CERT privado ruso), RTEC (Russian Telecom Equipment Company, especializada en el desarrollo de tecnologías para comunicaciones seguras) o Kaspersky, la mayor compañía de seguridad rusa (de la que hay que decir que elabora unos excelentes informes técnicos de APT).

Un caso muy conocido de control (perdón, colaboración) de una empresa por parte de los servicios rusos se produce en diciembre de 2013, cuando el FSB solicita a Pavel Durov, fundador y CEO de VKontakte, datos de usuarios ukranianos (en la imagen podemos ver dicha solicitud). Y es que VKontakte, el “Facebook ruso”, no es sólo ruso: tiene millones de usuarios de ex repúblicas soviéticas, lo que lo convierte en una fuente de datos inmejorable para los servicios rusos. Esta solicitud motiva que Pavel Durov deje la dirección de la red social, venda su parte de la compañía y abandone Rusia, pasando Mail.RU a tomar el control de VKontakte en septiembre de 2014.

a b

A pesar de casos como el de VKontakte, sin duda el mayor nivel de control sobre empresas tecnológicas que existe en Rusia se produce sobre los proveedores de telecomunicaciones (teléfono, Internet…); dichos proveedores están obligados a facilitar acceso “de serie” al FSB tanto a las comunicaciones como a documentos internos de las compañías mediante SORM (Systema Operativno-Razisknikh Meropriatiy). SORM puede traducirse del ruso como “sistema para medidas operativas de búsqueda en comunicaciones”, sabiendo que ORM (“medidas operativas de búsqueda”, es la definición amable de interceptación ([1]) y es un conjunto de regulaciones y, sobre todo, de equipamiento tecnológico, de aplicación en los proveedores, que facilita al FSB y a otros servicios un mecanismo sencillo para escuchar las comunicaciones, evitando cualquier autorización judicial. Un dispositivo físico es desplegado en la infraestructura del proveedor de comunicaciones y conectado mediante un cable especialmente protegido a centros de operaciones del FSB. A partir de ese momento, el servicio puede acceder a las comunicaciones y sistemas sin ningún tipo de control por parte del proveedor –que a pesar de pagar de su bolsillo el equipamiento no tiene acceso a éste- y, por supuesto, sin ningún tipo de orden judicial (al menos a priori).

SORM fue inicialmente desarrollado en 1996 y en la actualidad cuenta con tres capacidades fundamentales: SORM-I, para la interceptación de comunicaciones telefónicas fijas y móviles, SORM-II (1998), para la interceptación de tráficos de red (Internet) y SORM-III (2014), que proporciona capacidad de adquisición de todo tipo de comunicaciones y almacenamiento de los datos y metadatos interceptados, con un elevado periodo de retención. Estos sistemas se ocupan de adquirir toda la información relevante de las comunicaciones rusas y facilitan el acceso a estos datos no sólo al FSB, sino a diferentes agencias de seguridad o inteligencia del país.

En resumen la colaboración, voluntaria o no (“nadie le dice NO al FSB”), de algunas empresas con los servicios rusos es teóricamente elevada, como también lo es el grado de penetración de estos servicios en el tejido empresarial ruso con dos objetivos: control y cobertura. Y hoy en día las tecnológicas pueden aportar mucho en ambos sentidos. Ojo, nada nuevo ni exclusivo del ecosistema de este país: ya hablaremos algún día de la CIA y algunas líneas aéreas estadounidenses, o de la NSA y ERROR: EOT. Connection closed.
Referencias
[1] Andrei Soldatov. Russia’s communications interception practices (SORM). Agentura.RU. http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/soldatov_presentation_/soldatov_presentation_en.pdf. Enero, 2014.

La CCI rusa (X): el ecosistema de inteligencia

20 de enero de 2017 Por

coat_of_arms_of_the_russian_federation-svgNo podemos concebir la comunidad de inteligencia rusa, descrita en esta serie, como un conjunto de servicios dependientes del poder político o militar; el grado de penetración de estos servicios en toda la sociedad rusa es muy elevado, tanto oficial como extraoficialmente. No es ningún secreto que antiguos oficiales del KGB o del FSB ocupan puestos de responsabilidad en la política o las grandes empresas del país; como curiosidad, en 2006 se publicó que el 78% de los mil políticos más importantes del país habían trabajado para los servicios secretos rusos ([1]). Tanto es así que estos perfiles tienen un nombre propio: siloviki, término que viene a significar personas en el poder. Y no es ningún secreto quién es el siloviki más conocido: Vladimir Putin, Presidente de la Federación Rusa, quien fue agente del KGB en la época soviética y posteriormente Director del FSB.

Para entender este grado de penetración de la inteligencia rusa en ciertos órganos de poder es necesario remontarse especialmente a los años 90. El desmembramiento de la Unión Soviética causó una situación caótica en Rusia, con unos índices de paro o pobreza elevados; mucha gente había perdido su empleo –entre ellos, se estima que el 40% de los miembros del KGB ([2])- y la salida fácil para esos ciudadanos era, obviamente, la ilegal. Muchos antiguos miembros de las fuerzas de seguridad, del ejército o de los servicios de inteligencia acabaron engrosando las filas de grupos de crimen organizado o trabajando en el ámbito de la protección, legal o ilegal, de oligarcas o líderes mafiosos. Este trasvase de personal especializado a los grupos de crimen organizado supuso no sólo la forma de supervivencia de estas personas, sino un refuerzo considerable de dichos grupos, tanto en volumen como en calidad: muchos de ellos pasaron de ser pequeños grupúsculos sin especializar, que utilizaban técnicas básicas de intimidación, a convertirse gracias a esos nuevos fichajes en grupos mafiosos perfectamente organizados, con mejores recursos humanos y materiales y con unas tácticas altamente especializadas. Y muy especialmente, con mejores relaciones con los servicios de seguridad, defensa o inteligencia rusos, cuna de buena parte del nuevo personal de los grupos mafiosos.

En esta convulsa situación, parecía que el negocio más estable era el crimen organizado; a modo de ejemplo, en 1995 se había triplicado el número de homicidios frente a los datos de 1988. Cuando el Gobierno ruso comienza a privatizar empresas y servicios estatales, los grupos de crimen organizado, con mucho dinero y poder, identifican la oportunidad de posicionarse en éstos, lo que automáticamente no sólo incrementa su poder económico, sino que posiciona a las mafias en primera línea del poder político.
Recapitulemos: el crimen organizado mantenía una estrecha relación con los servicios de seguridad o inteligencia, ya que muchos de sus miembros provenían de éstos, y también con las grandes empresas privatizadas y por tanto con la política nacional. Una combinación perfecta para erigirse en una pieza clave para el país. El Gobierno ruso era consciente de que, para devolver el país a una situación de relativa normalidad había que contar, de forma obligatoria, con el crimen organizado; tanto fue así que en 1994 Boris Yeltsin llegó a denominar a Rusia “el mayor estado mafioso del mundo”.

Pero la llegada de Vladimir Putin al gobierno, en 1999, trata de cambiar esta situación con dos objetivos: devolver el control de los activos estratégicos al estado y hacer saber al mundo que el estado volvía a controlar dichos activos –y por tanto, Rusia era una potencia mundial como lo fue la URSS-. Arrebata el control de las principales empresas y puestos de mando a oligarcas y criminales y sitúa en ellos a antiguos oficiales del KGB o de su sucesor, el FSB, seguro de que todos ellos identificaban a la misma Madre Rusia de la que ya hemos hablado en esta serie.

Con una dosis de mano dura, Vladimir Putin consigue su reto y elimina en buena parte al crimen organizado de las posiciones estratégicas para el país; pero el poder adquirido por los grupos mafiosos durante los años noventa era demasiado elevado, y tratar de eliminar sus actividades por completo podría incluso desestabilizar a Rusia ([2]), con lo que Putin debe conformarse con apartarlos de estas posiciones estratégicas pero permitir de forma velada que continúen con sus negocios ilegales.
Fijémonos en la gran telaraña: los servicios de inteligencia rusos mantienen conexiones con el crimen organizado, ganadas en los años noventa, y una amplia penetración en los círculos de poder político (gobierno) y económico (empresas estratégicas) del país, ganada en la primera década de este siglo. Con este grado de infiltración en los círculos de poder, la inteligencia rusa consigue dos objetivos claros: cobertura y control (o colaboración, según el grado requerido en cada caso); esto ha sido así desde la época soviética y lo es –casualmente o no- en la rusa. De hecho, hasta hace poco, un elevado porcentaje de los altos cargos del gobierno ruso eran siloviki, si bien con Medvedev este porcentaje se ha reducido y los siloviki han perdido parte de su poder en la política, aunque aún constituyen un grupo de presión relevante (o varios, ya que hay varias “familias” de siloviki). Con la elección de Medvedev como Primer Ministro ruso, Putin reforzó a los liberales (economistas y abogados, muchos de ellos de San Petersburgo) frente a los siloviki, encabezados por Sergei Ivanov, a quien otorgó la Jefatura de la Oficina Ejecutiva Presidencial; un movimiento interesante entre dos clanes enfrentados que a partir de ese momento tienen un nexo de unión casi único: el propio Presidente Putin.

Además de con estos círculos de poder, los servicios rusos se relacionan estrechamente con movimientos ciudadanos e incluso con la iglesia ortodoxa rusa; aunque esta última relación no la vamos a describir –nos estamos focalizando, o intentándolo, en un ámbito ciber- no deja de ser un buen indicativo de hasta qué punto hay una amplia penetración social de la inteligencia en la sociedad rusa. Y veremos que esta penetración no se restringe a la inteligencia clásica, sino que se extrapola automáticamente al ámbito ciber.

Las relaciones de los servicios rusos con algunos de estos actores están en general amparadas por la Ley y no pueden más que causar prejuicios éticos; no obstante, en las relaciones “extraoficiales” la legalidad es más que dudosa, no sólo con el crimen organizado (en nuestro caso, con el cibercrimen organizado) sino también con movimientos como los patriotic hackers, que han lanzado auténticas campañas ofensivas contra objetivos de la patria rusa, quizás amparados por los propios servicios del país…
Vamos a repasar en estas próximas entradas las relaciones de la comunidad de inteligencia rusa, descrita con anterioridad, con los diferentes actores relevantes para dicha comunidad, que le permiten incrementar su control y sus capacidades de actuación, en especial extraoficialmente.

Referencias
[1] Alexander Klimburg, Heli Tirmaa-Klaar. Cybersecurity and cyberpower: concepts, conditions and capabilities for cooperation for action within the EU. Directorate-General for External Policies of the Union. Directorate B. Policy Department. European Parliament, 2011.

[2] Fred Burton, Scott Stewart. Russia and the Return of the FSB. Stratford Security Weekly. Abril, 2008.

La CCI rusa (IX): grupos APT

13 de enero de 2017 Por

russian-malware-analysis-temp-770x513Hemos hablado hasta el momento de los principales servicios que conforman la comunidad de inteligencia rusa en su ámbito ciber y seguiremos describiendo en sucesivos posts el resto del complejo ecosistema ruso pero, ¿dónde quedan las APT supuestamente rusas? Grupos conocidos por todos, como APT28 (FancyBear, Sofacy…) o APT29 (CozyBear, The Dukes…), deben estar, de alguna forma, relacionados con esta comunidad… si no son parte de la misma, ¿verdad?

Estos grupos, APT28 y APT29 (les llamaremos así, aunque aprovechamos para pedir desde aquí un estándar ISO para nomenclatura de grupos APT, que cada uno tiene una docena ;) son sin duda los más conocidos del panorama ruso, a raíz de los informes de FireEye [5] y [6]. Entonces, ¿son unidades de alguno de los servicios rusos expuestos anteriormente? ¿son mercenarios que venden su trabajo al mejor postor? ¿son grupos organizados que facilitan información a cambio de impunidad? ¿son el resultado de operaciones de bandera falsa de un tercero? Ni lo sabemos ni posiblemente lo sepamos nunca… No obstante, como es imposible, vamos a evaluar en este post, o al menos a intentarlo (recordemos que eso de la atribución es siempre hipotético, por eso nos gusta tanto ;), algunos de los elementos que nos permiten relacionar a estos grupos con los servicios rusos. Hay más grupos supuestamente rusos, como Turla; ya hablaremos de ellos en otro post…

APT28 y APT29
La primera pregunta que debemos plantearnos respecto a estos grupos es si realmente son rusos; los indicadores más técnicos apuntan a que sí: desde las horas y fechas de compilación de su arsenal, coincidente en buena parte con el horario laboral de Moscú y San Petersburgo, hasta la codificación y lenguajes utilizados en buena parte de sus artefactos. No obstante aquí nos topamos con el gran problema de la atribución, y es que la abordamos a partir de artefactos dejados, voluntaria o involuntariamente, por el atacante. ¿Puede un señor de Cuenca saber ruso -incluso coloquial-, cambiar la hora de su equipo para fijarla en ese horario al que hacíamos referencia o configurar el sistema en ruso? Sin problemas ¿Podrían ser estos grupos conquenses, entonces? Por supuesto.

Aunque los indicadores técnicos sean fácilmente alterables, son lo que tenemos para trabajar; tanto en APT28 como en APT29 los analistas identifican no a un señor de Cuenca, sino a un grupo estructurado, con responsabilidades separadas, con metodologías de desarrollo establecidas… algo que podríamos denominar una malware factory. Es decir, se identifica una organización potente detrás, organización que podría ser un grupo independiente, una unidad de un servicio determinado, una empresa… de Moscú, de San Petersburgo o de Cuenca.

Las necesidades de información, y por tanto los objetivos de estos grupos son más difícilmente falsificables que los indicadores puramente técnicos (ojo, pero no es imposible hacerlo); en el caso de estos grupos, sus víctimas son compatibles con las necesidades de información del gobierno ruso de las que ya hablaremos con detalle en esta serie de posts, tanto geográfica como operativamente. Falsificar esto sería mucho más costoso para un tercero -insistimos, pero NO imposible cuando hablamos de un actor con muchísimas capacidades, como un estado-; por tanto, si los indicadores técnicos apuntan a Rusia, los objetivos y víctimas apuntan a Rusia y las necesidades de información reflejadas coinciden con las supuestamente rusas ([8]) la probabilidad de que APT28 y APT29 tengan raíces rusas es ALTA. ¿Podemos confirmarlo al 100%? Por supuesto que NO.

TTP
Las tácticas, técnicas y procedimientos habituales asociados a APT29 pasan por el ataque a través de phishing dirigido a la víctima, con un enlace en el correo para descargar un dropper que al ejecutarse descargará a su vez un RAT; por su parte, APT28 trabaja más con la creación de páginas web fraudulentas similares en aspecto a las de sus objetivos, con nombres de dominios cercanos a los legítimos, para robo de credenciales. El arsenal de APT28 se basa principalmente en la explotación de productos de Microsoft y Adobe, al igual que el de APT29, en ambos casos debido sin duda a la popularidad de estos entornos y por tanto al éxito en su explotación; no obstante, APT28 utiliza más vulnerabilidades sin exploits conocidos que APT29 ([2]) y además su catálogo es mucho mayor que el de este último, lo que podría implicar tanto un número mayor de recursos como una mayor experiencia en el ámbito del ciberespionaje por parte de APT28 que por parte de APT29, pero por contra APT29 es muy discreto y tiene un objetivo de persistencia muy alto. En cualquier caso, ambos grupos son técnicamente excelentes y su catálogo de vulnerabilidades rara vez se solapa, lo que denotaría la separación (y la competencia) de ambos, y que sería compatible con la separación (y la competencia) de los servicios rusos a la que ya hemos hecho referencia en esta serie de posts. Adicionalmente, algunas de las vulnerabilidades explotadas por APT28 y APT29 en sus campañas son también aprovechadas por grupos vinculados al cibercrimen ([2]), lo que puede ser desde una maniobra de distracción hasta algo que quizás refuerce la teoría de la estrecha vinculación entre la comunidad de ciberinteligencia rusa y otros actores de su entorno, como analizaremos más adelante en esta misma serie de posts.

En ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación, la seguridad de sus operaciones (OPSEC)… denotan que APT28 y APT29 no son atacantes individuales o grupos poco organizados, sino grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas. ¿Apoyados por un estado? ¿Parte directa de dicho estado? En [8] encontramos un excelente análisis. La probabilidad es ALTA, ya que pocas organizaciones pueden disponer de estas capacidades pero, como siempre, no podemos confirmarlo con certeza.

Objetivos
Entre los objetivos de APT28 se encuentran sectores como el aeroespacial, defensa, energía, administraciones públicas y medios de comunicación (recordemos el manejo de la información en las estrategias y doctrinas rusas), con un especial cariño por los ministerios de Defensa y organizaciones de los sectores anteriores ligadas al entorno militar ([1]) que casualmente reflejan los intereses de la inteligencia militar rusa; en [5], informe donde FireEye identifica a este grupo como APT28, se detallan algunos de los objetivos -y de las víctimas- de APT28, destacando su interés operativo en los ámbitos cercanos al militar y, adicionalmente, su interés en el control de la información relativa a temas relevantes para Rusia, algo alineado con el amplio concepto de information warfare ruso al que hemos hecho referencia en posts anteriores. APT28 no aborda robo de propiedad intelectual, y adicionalmente, los países comprometidos corresponden con los principales intereses geopolíticos rusos -que ya comentaremos en futuros posts-, y los objetivos son compatibles tanto con el origen ruso del grupo como con la posible cercanía del mismo con el ámbito militar; dicho de otra forma, APT28 y GRU comparten necesidades de información y objetivos, por lo que quizás, sólo quizás, tengan algún tipo de relación. ¿Es APT28 una unidad del GRU? No lo sabemos ¿Es un grupo externo pagado por el GRU? No lo sabemos ¿Es un grupo de Cuenca? No lo sabemos…

Por su parte, APT29 amplía los objetivos de su competidor, desligándolos parcialmente del ámbito militar para focalizarse no sólo en éste, sino además en sectores como el farmacéutico, el financiero o el tecnológico, por poner solo unos ejemplos, así como en ONG e incluso en organizaciones delincuenciales ([7]). Este último elemento es muy significativo, ya que podría reflejar las atribuciones policiales, y por tanto las necesidades de información, del FSB ruso, mientras que el ataque a diferentes ONG implica -o puede implicar- intereses políticos, económicos o de control de la información. En línea con un servicio como el FSB… o en línea con una operación conquense de bandera falsa.

Un ejemplo reciente
Sin duda, el caso reciente más sonado de supuestos compromisos por parte de APT rusas, en esta ocasión tanto por APT28 como por APT29, es el del Democratic National Comitee (DNC) estadounidense, en 2016, y su potencial influencia en los resultados de la campaña electoral, incidente descrito a la perfección en [3]; Crowdstrike puso de manifiesto la presencia de ambos grupos en los sistemas del DNC, con una mayor persistencia por parte de APT29, y dejando la competencia entre estos grupos: no comparten TTP, ni vulnerabilidades, ni recursos… pero en ocasiones comparten objetivos. A los elementos técnicos para la atribución a los servicios rusos, analizados por compañías como la anterior (y reforzados posteriormente por otras como FireEye o Fidelis) se une la sorpresiva aparición de Guccifer 2.0, una identidad presumiblemente falsa (un sockpuppet) compatible con la doctrina militar rusa y completamente alineado con el amplio concepto de information warfare al que ya hemos hecho referencia y que incluye la decepción, la desinformación, etc. Un excelente análisis de este sockpuppet y su potencial relación con una operación de bandera falsa del GRU puede encontrarse en [4].

Conclusiones
Hemos visto en este post que todo apunta a que APT28 y APT29 son de origen ruso y posiblemente cuentan con el apoyo de un gobierno para sus actividades, dos hipótesis de probabilidad ALTA. Las necesidades de información de ambos grupos son compatibles con las necesidades de información del gobierno ruso, y sus objetivos coinciden también con las inquietudes de dicho gobierno en diferentes ámbitos. No comparten inteligencia ni arsenales, lo que sería compatible con la separación de los diferentes servicios de inteligencia rusos si APT28 y APT29 estuvieran ligados a algunos de ellos, pero sí objetivos: el resultado final, la inteligencia, será de mayor calidad. Según diferentes analistas, APT28 puede estar relacionado con la inteligencia militar rusa, el GRU, mientras que APT29 lo estaría con el FSB. Puede que sea así. O puede que no. Muchas veces uno llega a la conclusión de que nombres como APT28, PawnStorm, APT29, Snake… no son más que la forma elegante que tenemos de decir FSB, GRU, FSO… cuando no tenemos las pruebas suficientes para confirmar la implicación de estos servicios en ciertas operaciones. En cualquier caso, si realmente APT28 se corresponde con una unidad del GRU y APT29 con una unidad del FSB (o viceversa, como defiende [9]) es algo que por supuesto ni sabemos a ciencia cierta ni creo que podamos saber a corto plazo: todo son hipótesis. Quizás en estos momentos hay un señor en Cuenca, muy listo y organizado, con muchos recursos, escuchando Radio Moscú para perfeccionar un idioma extranjero y configurando su equipo con la zona horaria de San Petersburgo mientras se ríe de todos los analistas del mundo.

Referencias
[1] Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike. Junio, 2016. https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

[2] RFSID. Running for Office: Russian APT Toolkits Revealed. Agosto, 2016. https://www.recordedfuture.com/russian-apt-toolkits/

[3] Eric Lipton, David E. Sanger, Scott Shane. The Perfect Weapon: How Russian Cyberpower Invaded the U.S. New York Times. Diciembre, 2016. http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html

[4] Thomas Rid. All Signs Point to Russia Being Behind the DNC Hack. Motherboard. Julio, 2016. http://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

[5] FireEye. APT28: A window into Russia’s cyber espionage operations?. FireEye. Octubre, 2014. https://www2.fireeye.com/apt28.html

[6] FireEye. HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group. FireEye. Julio, 2015. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf

[7] F-Secure. THE DUKES. 7 years of Russian cyberespionage. F-Secure. Septiembre, 2015. https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

[8] Jen Weedon. Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. Kenneth Geers (Ed.), Cyber War in Perspective: Russian Aggression against Ukraine. NATO CCD COE Publications. Tallinn. 2015.

[9] Malcolm Nance. The plot to hack America: How Putin’s cyberspies and WikiLeaks tried to steal the 2016 election. Sky horse Publishing, 2016.

Imagen cortesía de Indian Strategic Studies.

La CCI rusa (VIII): GRU

4 de enero de 2017 Por

gru_emblemEl único de los grandes servicios rusos que, como ya hemos indicado, no es un heredero directo del KGB es el GRU (Glavnoye Razvedyvatelnoye Upravlenie), unidad militar 44388, cuyo objetivo es proporcionar inteligencia al Ministerio de Defensa, a la cúpula militar y a las fuerzas armadas rusas en su conjunto. Este servicio está dedicado a la inteligencia militar, desde la estratégica a la operativa, trabajando no sólo en un sentido exclusivo de defensa, sino abarcando también otros aspectos como la política o la economía ligadas al ámbito militar, y en especial la inteligencia exterior –en ocasiones junto al SVR-; desde el año 1996, tiene encomendada la misión de adquirir incluso información relativa a ecología y medio ambiente. Para ejecutar estas tareas, el GRU dispone de todo tipo de capacidades, desde IMINT hasta HUMINT, pasando por OSINT y, por supuesto, SIGINT, capacidades que le dotan de un ámbito de actuación e influencia internacional y que permiten al GRU “actuar en cualquier punto del mundo donde pudiera surgir la necesidad”, según declaraciones del General Valentin Vladimirovich Korabelnikov, en una entrevista concedida en 2006, cuando era Director del GRU.

El GRU es sin duda el más opaco de los servicios rusos y posiblemente el mejor de ellos; se trata de un grupo que mantiene ciertas reminiscencias soviéticas –recordemos que sobrevivió al KGB- e incluso que considera “occidentalizados” a otros servicios como el FSB. Como curiosidades, el GRU recluta a sus agentes entre las clases “proletarias”, preferentemente a personal sin conocimientos de idiomas, y entre sus supuestos cometidos está el enterrar armas en territorio hostil para poderlas utilizar en caso de conflicto; no dispone de servicio de contrainteligencia (función ejercida por el FSB) ni tampoco de oficina de prensa (realmente, el GRU no es más que una Dirección General dentro del Ministerio de Defensa ruso) o página web oficial ([1]). Gracias a sus métodos de trabajo, es el servicio de inteligencia que menos desertores ha tenido en la historia soviética y rusa.
[Read more…]

La CCI rusa (VII): FSO

28 de diciembre de 2016 Por

e1470_fsoOtro de los herederos de la FAPSI es el FSO (Federal’naya Sluzhba Okhrani), identificado en [1] como la unidad militar 32152 y dirigido desde mayo de este año por el General de División Dmitry Kochnev (su antecesor, Evgeny Murov, era General de Ejército, dos grados superior, y esto en los servicios rusos es muy importante). Murov consiguió para el Servicio atribuciones de la FAPSI muy importantes: con más de 20.000 efectivos en la actualidad (supuestamente, ya que es información clasificada, y diversas fuentes hablan de más de 50.000), el FSO heredó y amplió la Novena Dirección del KGB, con responsabilidad en la protección de “bienes” gubernamentales, en el sentido más amplio de la palabra. Por ejemplo, el Servicio de Seguridad Presidencial, el SBP -los guardaespaldas de Putin- o el control del famoso maletín nuclear ruso dependen del FSO, al igual que la explotación de una red segura para la transmisión de resultados electorales, GAS Vybory (la información es, obviamente, un bien a proteger). En concreto, desde un punto de vista ciber, este servicio ha asumido entre otras capacidades las asociadas a SIGINT estratégica, la garantía de explotación de los sistemas estatales -en especial en lo referente a su protección frente a servicios extranjeros- y la seguridad de la información clasificada nacional ([2]), lo que incluye las comunicaciones presidenciales: el FSO proporciona comunicaciones seguras a muy alto nivel, por ejemplo entre el Kremlin y los principales mandos militares rusos, lo que le otorga un enorme poder para el control de la información…

Dentro del FSO se enmarca desde 2004 (anteriormente pertenecía al FSB) el Spetssvyaz, Servicio de Información y Comunicaciones Especiales (SSSI), considerado en la actualidad por algunos analistas como el equivalente ruso a la NSA estadounidense (aunque en realidad la comunidad de inteligencia de ambos países es diferente y por tanto las atribuciones de la NSA están repartidas entre agencias rusas). Este grupo desarrolla las atribuciones ciber del Servicio anteriormente expuestas e incluye al menos una Dirección para la gestión de comunicaciones gubernamentales civiles, otra para la gestión de comunicaciones gubernamentales militares, una Dirección General para recursos de información (dedicada aparentemente a la protección de la información en sí, en su sentido más amplio) y otra Dirección General para sistemas de información ([3]), dedicada a la protección de los sistemas que tratan los datos. El Director del Spetssvyaz, Alexey Mironov, es a su vez Director Adjunto del FSO; se trata de un General joven, quien iba a sustituir a Evgeny Murov al frente del servicio tras la jubilación de éste… hasta que se nombró al GD Kochnev para ese puesto; una acción inesperada para muchos y desde luego curiosa, en especial por el empleo de Kochnev…

Una curiosidad: el FSO ordenó en 2013 la compra de máquinas de escribir (sí, máquinas de escribir, de las de toda la vida) tras algunos escándalos de robos de datos –supuestos- por parte de terceros, para evitar así fugas de información. Otra curiosidad: el Spetssvyaz registra dominios de Internet de forma abierta: kremlin.ru, gov.ru, ру.рф, da-medvedev.ru… Aunque nos llame la atención (no solo por el hecho en sí, sino por algunos de los dominios registrados), no son los únicos que lo hacen: servicios más cercanos a nosotros siguen o han seguido la misma filosofía abierta…al menos en algunos casos; ya hablaremos en algún post del registro de ciertos dominios “curiosos”, cerca y lejos de aquí :)

Referencias
[1] Jeffrey Car. Inside Cyber Warfare: Mapping the Cyber Underworld. 2nd Edition. O’Reilly, 2011.
[2] President of the Russian Federation. Strategy for the national security of the Russian Federation up to 2020. Mayo, 2009.
[3] Jonathan Littell. The Security Organs of the Russian Federation. A brief history 1991-2005. Post-Soviet Armies Newsletter. Psan Publishing House, 2006.

La CCI rusa (VI): SVR

27 de diciembre de 2016 Por

150px-svrlogoEl SVR (Sluzhba Vneshney Razvedki) fue el primer heredero del KGB con entidad propia, heredando las atribuciones de la Primera Dirección General; se ocupa de la inteligencia exterior rusa, proporcionando a las autoridades nacionales inteligencia que pueda beneficiar a Rusia en diferentes ámbitos que han evolucionado desde el militar y de defensa (en especial, años 90) al tecnológico, industrial, científico y económico. Para lograr este objetivo el SVR se basa sobre todo en capacidades HUMINT, tanto abiertas como clandestinas, apoyándose teóricamente en el GRU –que veremos en un próximo post– para sus necesidades de inteligencia de señales.

En este ámbito SIGINT el SVR trabaja junto al GRU en inteligencia estratégica (al menos en teoría, ya que es bien conocida la rivalidad entre agencias rusas: recordemos la operación “conjunta” del SVR junto al GRU de la estación SIGINT de Lourdes, en Cuba), a diferencia de la inteligencia más operativa del FSB; el objetivo principal del SVR, con independencia de la disciplina utilizada, es la adquisición de información y elaboración de inteligencia acerca de capacidades, acciones, planes, intenciones… tanto reales como potenciales de terceros países contra los intereses vitales de la Federación Rusa (como hemos dicho, incluso económicos).
[Read more…]

La CCI rusa (V): FSB

20 de diciembre de 2016 Por

2000px-fsb-svg
Tal y como hemos indicado en posts anteriores, el FSB (Federal’nya Sluzhba Bezopasnosti) es el principal heredero del KGB y de la FAPSI; dirigido por el General de Ejército Alexander Bortnikov, su amplitud de atribuciones y su poder en Rusia vienen sin duda marcados por el propio Vladimir Putin, antiguo director del Servicio que al llegar a la Presidencia del país reforzó notablemente las capacidades del FSB –y su presupuesto-, así como por la presencia de antiguos miembros del Servicio en la totalidad de la sociedad rusa. El FSB no sólo trabaja en ámbitos directamente asociados a la inteligencia y contrainteligencia, sino que además llega a aspectos como la vigilancia social o electrónica.

En lo que respecta al ámbito ciber, el FSB posee un amplio abanico de atribuciones tanto técnicas como
normativas repartidas en tres grandes Direcciones: la 2ª Dirección (Directrices políticas, propaganda y desinformación… recordemos el concepto ruso de information warfare), la 8ª Dirección (Criptología y CERT gubernamental) y la 16ª Dirección (Vigilancia electrónica y actividades CNA y CNE). Aunque el FSB es un servicio dedicado a la inteligencia interior dispone de autorización para acciones de inteligencia exterior, teóricamente coordinadas con el SVR. Entre otros es responsable de la seguridad de la información a nivel federal, algo parecido a un cuerpo policial al uso o, al menos, a los Servicios de Información -con la denominación que corresponda en cada caso- de un cuerpo policial; en este ámbito posee atribuciones -y obviamente, capacidades- SIGINT operativas para la interceptación de comunicaciones en el Estado: desde 1995, tiene el derecho legalmente constituido de monitorizar líneas telefónicas, abrir correos y vigilar el tráfico de Internet ([1]). El FSB opera el sistema denominado SORM para dicho propósito, al que los proveedores de servicios de Internet rusos deben facilitar el trabajo desplegando capacidades que además deben pagar de su bolsillo; este sistema es operado por un grupo del FSB denominado inicialmente UKIB (Computer & Information Security Directorate), la Dirección R, heredera del KGB y focalizada especialmente en la lucha contra el crimen y el terrorismo en el ámbito ciber. El sucesor de esta Dirección es el Centro de Seguridad de la Información (CIS) del FSB, enmarcado en la Dirección de Contrainteligencia (SKR), la Segunda Dirección del FSB e identificado también como la Unidad Militar (Vch) 64829 o el Centro número 18. SORM, del que hablaremos en otros posts como ejemplo de “colaboración” de empresas con los servicios de inteligencia rusos, se ocupa, como lo hace principalmente el FSB, de la interceptación de datos en la “Internet Rusa”, donde el CIS es responsable de las acciones de vigilancia y contrainteligencia, también colaborando estrechamente con la Dirección K del Ministerio del Interior ruso, responsable de la lucha contra el cibercrimen ([2]).

A priori estas capacidades de vigilancia y contrainteligencia del CIS se deben focalizar en Rusia, sin impactar de forma directa en el exterior del país; no obstante, aunque el FSB y dentro de él el CIS estén focalizados en inteligencia interior, sus acciones pueden ser dirigidas con ese foco pero contra intereses rusos fuera de sus fronteras, incluyendo elementos considerados perturbadores según los criterios rusos (esto puede incluir el ataque a objetivos terroristas… o sencillamente políticos) e incluso con atribuciones policiales de investigación y persecución de dichos elementos.

El Centro para la Vigilancia Electrónica de las Comunicaciones (TsRRSS), identificado como la unidad 71330 del FSB y focalizado en ELINT, dispone de capacidades de espionaje electrónico y ciberespionaje (interceptación de comunicaciones, descifrado…); este Centro (el número 16) constituye hipotéticamente la principal capacidad ofensiva del FSB, incluyendo operaciones fuera de Rusia, frente a por ejemplo grupos como el CIS, descrito con anterioridad y focalizado especialmente en tareas defensivas y de vigilancia. Su estructura interna está clasificada, y entre sus responsabilidades se encuentran la operación y el procesamiento de las comunicaciones electrónicas.

El Centro de Comunicaciones Especiales y Protección de la Información (TsBISS) proporciona al FSB las capacidades de protección frente a ciberataques o intrusiones de terceros. De este Centro han partido iniciativas tan curiosas (o interesantes) como la solicitud de prohibición en Rusia de servicios como GMail, Hotmail o Skype, ya que su uso puede constituir una amenaza a la seguridad nacional, un comentario del responsable del Centro en 2011 que en su momento causó un gran revuelo en redes sociales pero que, mucho más interesante que el revuelo relativo a la privacidad y libertad de los usuarios, fue el momento en que se publicó, marcado por hechos tan trascendentes como la primavera árabe o las elecciones legislativas rusas.

Otro grupo interesante en el ámbito ciber dentro del FSB es el Centro de Seguridad de las Comunicaciones (CBS FSB, Vch 43753), enmarcado en la Octava Dirección del Servicio y responsable de la protección lógica de las comunicaciones gubernamentales mediante la acreditación de productos y la certificación de estándares de seguridad, una especie de equivalente a la Oficina de Certificación del CNI español. También en este sentido, el TSLSZ (traducido aproximadamente como Centro para el Licenciamiento, Certificación y Protección de Secretos de Estado) es el brazo del FSB encargado de habilitar a organizaciones en el manejo de información clasificada, en este caso algo similar a las atribuciones de la Oficina Nacional de Seguridad en el CNI.

Finalmente, y como grupo sin capacidades ofensivas, las actividades formativas en el ámbito ciber dentro del FSB son responsabilidad del Instituto de Criptografía, Telecomunicaciones e Informática (IKSI), en la Academia del Servicio, que forma especialistas en ciberseguridad no sólo para el FSB sino también para otros Servicios rusos… o para la industria.

Para tratar de resumir esta estructura, se muestra a continuación una tabla resumen de los principales grupos o centros directamente relacionados con SIGINT o CNO dependientes del FSB:

Centro Identificador Unidad Funciones
Center for Information Security FSB CIS 64829 SORM. Vigilancia y contrainteligencia
Center for Electronic Surveillance of Communications FSB TSRRSS 71330 Capacidad de ataque
Centre for the Security of Information and Special Communications TsBISS N/A Defensa frente a intrusiones extranjeras
Communications Security Center FSB CBS 43753 Acreditación de productos y sistemas
Center for Licensing, Certification and Protection of State Secrets FSB TSLSZ N/A Habilitaciones de seguridad
Institute of Cryptography, Telecommunications and Computer Science IKSI N/A Formación

Referencias
[1] Roland Heickerö. Industrial Espionage and Theft of Information. In Proceedings of the 14th European Conference on Cyber Warfare and Security. Nasser Abouzakhar (Ed.). University of Hertfordshire. Julio, 2015.
[2] Taia Global. Russian Federal Security Service (FSB) Internet Operations Against Ukraine. Taia Global, 2015.

La CCI rusa (IV): Un poco de historia: FAPSI

15 de diciembre de 2016 Por

fapsiA la hora de hablar de Rusia en el ámbito de la ciberseguridad, o más concretamente en el del information warfare, debemos citar de forma obligatoria a la FAPSI (Federal Agency of Government Communication and Information), operativa entre 1991 y 2003 y considerada el equivalente ruso a la NSA estadounidense (Roland Heickerö. Emerging Cyber Threats and Russian Views on Information Warfare and Information Operations. FOI. Swedish Defence Research Agency. Marzo, 2010.), que heredó las atribuciones y capacidades de las 8ª (cifrado) y 16ª (descifrado e interceptación) Direcciones Generales del KGB. Entre sus funciones se encontraba la cifra (criptología y criptoanálisis), la interceptación de comunicaciones e, incluso, las capacidades de respuesta a incidentes a modo de CERT. En 2003 esta poderosa agencia fue disuelta por el gobierno ruso, posiblemente a causa de la corrupción, aunque también se apunta a que una agencia con más de 50.000 personas se estaba convirtiendo en un gran monstruo incontrolable, como en su momento era el KGB. Tras transformarse el Servicio de Información y Comunicaciones Especiales –una agencia heredera de la FAPSI que duró apenas cinco meses-, sus atribuciones fueron repartidas entre los cuatro grandes servicios rusos, el GRU y los derivados del KGB: SVR, FSB y FSO. Cada uno de estos servicios tiene atribuciones diferenciadas, aunque obviamente comparten capacidades, información, tácticas o intereses… O compiten entre ellos; de hecho, en su trabajo de mayo de 2016 Putin’s Hydra: Inside Russia’s Intelligence Services. European Council on Foreing Relations, Mark Galeotti nos presenta un curioso gráfico resumen de los roles de la comunidad de inteligencia rusa, del que seleccionamos a continuación sólo los servicios principales –al menos en nuestro ámbito ciber-:
[Read more…]

La CCI rusa (III): la Comunidad

12 de diciembre de 2016 Por

Sin duda, mentalmente mucha gente asocia la inteligencia o los servicios secretos rusos -para ser exactos, soviéticos- al KGB (Komitet gosudárstvennoy bezopásnosti, Comité para la Seguridad del Estado); lamentablemente para los seguidores de Bond, el KGB, el servicio secreto soviético-ruso por excelencia, fue desmantelado a principios de los años noventa por Mijail Gorbachev, seguramente por haberse convertido en un poderoso monstruo en cuanto a atribuciones, capacidades y conocimientos pero, en especial, por su supuesta implicación en el fallido golpe de estado de agosto de 1991. Su poder fue distribuido principalmente entre tres agencias diferenciadas: FSB (Servicio de Seguridad Federal), SVR (Servicio de Inteligencia Exterior) y FSO (Servicio de Protección Federal), que se unían al rival histórico del KGB, el GRU (Dirección General de Inteligencia), el servicio ruso de inteligencia militar que sobrevivió a la caída de la URSS (quizás por el apoyo al presidente soviético durante el golpe de estado, a diferencia del KGB). Las atribuciones SIGINT se focalizaron en una agencia denominada FAPSI, equivalente a la NSA estadounidense, desmantelada en 2003 y cuyo poder, como en su momento el del KGB, fue repartido entre los diferentes servicios rusos.

151px-emblema_kgb-svgTras el desmantelamiento de la FAPSI, los cuatro servicios anteriormente indicados conforman el grueso de la comunidad de inteligencia rusa desde el punto de vista ciber –al menos la oficial, como iremos viendo en esta serie de posts-. Una excelente descripción de esta comunidad de inteligencia, en lo que a seguridad de la información, SIGINT o CNO se refiere, puede encontrarse en el capítulo quince de la segunda edición del libro de Jeffrey Car Inside Cyber Warfare: Mapping the Cyber Underworld (ed. O’Reilly, 2011).

Para hacernos una idea del potencial de los servicios rusos es necesario hablar de su presupuesto; según fuentes abiertas (como los trabajos de Julian Cooper The Funding of the Power Agencies of the Russian State. The Journal of Power Institutions in Post-Soviet Societies. Issue 6. 2007, o The Funding of the Power Agencies of the Russian State: An Update, 2005 to 2014 and Beyond. The Journal of Power Institutions in Post-Soviet Societies. Issue 16, 2014), ya en 2013 el presupuesto de lo que los rusos denominan “Servicios de Seguridad” –concepto que incluye al FSO, FSB (excepto el Servicio de Fronteras) y SVR- superaba los 4.000 millones de euros; la distribución por servicio está clasificada, y obviamente el presupuesto del GRU está incluido en el correspondiente al Ministerio de Defensa ruso, con lo que es completamente desconocido. Este dinero se une a las más de 300.000 personas que trabajan –de nuevo, dato clasificado- en los diferentes servicios de inteligencia.

Para poder comparar estos datos con otros servicios, una curiosidad: el presupuesto correspondiente al CNI se estima en unos 240 millones de euros, diecisiete veces inferior al ruso, y su número de empleados en unas 2.500 personas; desde luego, las comparaciones son odiosas…

Amenazas Persistentes Avanzadas

5 de diciembre de 2016 Por

41huogc0srlDespués de muchos viajes y, por tanto, de mucho tiempo para escribir, me alegra poder decir que ha visto la luz Amenazas Persistentes Avanzadas, un pequeño libro donde se trata el tema que indica su título :)

NO es un libro técnico -ojalá-, al menos no mucho, sino una aproximación a las APT desde la óptica de eso que ahora estamos denominando ciberinteligencia, ciberespionaje o ciber-*, y que no es más que poner este prefijo a algo tan antiguo como la humanidad. En él se contextualizan las APT en el marco de los servicios de inteligencia o los grupos (ese gran debate de la atribución, algo casi imposible pero paradójicamente de lo que a todos nos encanta hablar durante horas) y se describen los elementos necesarios para orquestar un ataque, así como el ataque en sí, o al menos el ciclo de vida de la amenaza.
[Read more…]