La CCI rusa (II). Contexto: Rusia

Antes de hablar de la CCI rusa debemos saber que Rusia es el país más extenso y con más kilómetros fronterizos (un número que supera los 20.000) del mundo; posee las mayores reservas de recursos energéticos y minerales del mundo todavía sin explotar, por lo que es considerada la mayor superpotencia energética, así como también la mayor reserva mundial de recursos forestales, y dispone además de la cuarta parte de agua no congelada del mundo.

Desde un punto de vista ciber, presuntamente Rusia es el único país que ha ejecutado una acción militar combinada (física y lógica) contra otro país (Georgia, en agosto de 2008) o que ha logrado degradar infraestructuras críticas de un tercero mediante una aproximación ciber (Estonia, 2007); su potencial militar y de inteligencia en este ámbito es indudable, así como también lo son sus capacidades “físicas” o tradicionales. Los servicios de inteligencia están fuertemente implicados en la política –sin ir más lejos, es público que Vladimir Putin fue agente del KGB y director del FSB- o en la empresa pública o privada, y mantienen adicionalmente estrechas relaciones –siempre supuestas- con el crimen organizado.
[Read more…]

La CCI rusa (I). Introducción: ¡que vienen los rusos!

Muchas veces hablamos de APT rusas, de malware ruso, de grupos rusos… Pero, ¿quiénes son “los rusos”? Vamos a analizar, en una serie de posts, quiénes son realmente “los rusos”, qué es Rusia (desde el punto de vista de inteligencia y seguridad), cuáles son sus servicios –y sus APT-, qué relaciones tienen con el resto del ecosistema en la guerra de información rusa, qué objetivos tienen, qué información buscan, etc. En definitiva, vamos a tratar de conocer un poco mejor a la Comunidad de Ciberinteligencia rusa, a estas amenazas supuestamente rusas que nos encontramos día sí día también en diferentes organizaciones.

Por supuesto, toda la información recogida aquí ha sido obtenida de fuentes públicas y no representa más que opiniones particulares, interpretaciones, análisis, cuestiones… seguramente todas ellas equivocadas porque… ¿qué es eso de la atribución?

Empecemos: como no podía ser de otra forma (en caso contrario no estaríamos dedicándole una serie) uno de los principales actores en el ámbito de la (ciber)inteligencia es Rusia; quizás éste es actualmente el país que más sofisticación aplica en sus ataques: dirigidos, sigilosos y técnicamente brillantes, con unos índices de persistencia muy elevados debido a la complejidad de detección (por supuesto, con el permiso de Estados Unidos…). Habitualmente, las APT rusas tienen perfectamente identificada la información que necesitan, dónde está y quién la maneja, y de esa forma se centran en el robo exacto de esos datos, como hemos dicho de la manera más sigilosa posible.
[Read more…]

(Cyber) Guerra Fría III: ¿Hack the vote?

Recientemente el DHS (Department of Homeland Security) junto la ODNI (Office of the Director of National Intelligence) han acusado formalmente a Rusia de entrometerse en las próximas elecciones presidenciales con técnicas de la tan candente guerra de la información y diversos ciberataques.

No es la primera vez que USA lanza acusaciones de este calibre, ya lo hizo también cuando acusó a China de robo de secretos industriales en 2014. Una acusación de este tipo podría implicar -de forma ¿oficial? o no oficial- ataques a infraestructuras informáticas rusas que supusieran un dolor de cabeza para Putin y sus aliados. Según declaraciones en el NYT tomar este tipo de acciones conllevarían demasiado riesgo con las elecciones a menos de un mes; ciberataques por parte de una potencia como Rusia contra el sistema de voto electrónico norteamericano podría sembrar el caos. Hay que destacar además que dicho sistema electoral aún no se considera una infraestructura crítica de la nación, aunque es posible que aumente su criticidad en breve.
[Read more…]

(Cyber) Guerra Fría II: Grupo Sofacy

Continuamos con nuestros artículos sobre ciberguerra, ampliando información sobre un grupo de supuesta procedencia rusa del que ya hablamos en la primera entrada de la saga, Sofacy, conocido también por varios alias como vemos en la tabla a continuación:

img1

Alineado con intereses rusos, y activo al menos desde el 2004-2007, Sofacy es un grupo de ciberespionaje que centra su actividad principalmente en operaciones de ataques dirigidos (APT) a objetivos gubernamentales, militares y organismos de seguridad, especialmente aquellos que sean de interés para Rusia: gobiernos y defensa de Europa del Este, la región del Cáucaso, OTAN, contratistas de defensa estadounidenses, SAIC, etc.

[Read more…]

APT Grupo Ke3Chang

Es evidente que las misiones diplomáticas, incluyendo los Ministerios de Asuntos Exteriores de los Estados son objetivos de alta prioridad en las operaciones de ciberespionaje de hoy en día. Campañas de ataques dirigidos como “GhostNet” o las llevadas a cabo por el grupo Ke3Chang (supuestamente financiado por China) -que será el objeto de este artículo- así lo demuestran.

En diciembre de 2013, Fireeye publicó una campaña de ciberespionaje denominada “moviestar” llevada a cabo por un grupo conocido por “Ke3Chang”, centrada en comprometer las redes de los Ministerios de Asuntos Exteriores en Europa, cuya atribución apuntaba a China y que, al menos llevaban activos desde 2010. Utilizaron como vía de entrada spear-phishing con el gancho de ofrecer información sobre los últimos acontecimientos en Siria. En concreto, parece ser que los correos dirigidos comenzaron en agosto de 2013, un mes antes de la Cumbre del G-20 de San Peterburgo en la que el principal foco del cónclave fue la situación en Siria.

[Read more…]

(Cyber) Guerra Fría I: Ataque a TV5Monde

A pesar de que en la prensa española no tuvo mucho eco -para lo grave que fue según mi criterio-, el pasado abril la cadena TV5Monde sufrió un ciberataque sin precedentes en la historia de la televisión por el que, durante 18 horas y de manera sincronizada los atacantes, en nombre del Estado Islámico, se hicieron con 11 canales de televisión, sus perfiles en redes sociales, varios servidores y sitios Web. La ANSSI (Agence nationale de la sécurité des systèmes d’information) concluyó sin demasiados comentarios que los dispositivos de electrónica de red también se habían visto comprometidos, incluyendo decodificadores y multiplexores necesarios para la difusión de los programas.

Además de publicar propaganda ligada al EI, también se publicaron datos supuestamente confidenciales sobre soldados franceses junto con amenazas a sus familias (a posteriori el Ministerio de Defensa francés informó que no se había expuesto ningún dato confidencial).

mm0

[Read more…]

Unidad 8200

img1Nota: Es preciso aclarar que no existen pruebas concluyentes para atribuir la autoría de la mayoría de acciones y hechos descritos en este artículo a personas físicas, Estados, actores no estatales o a determinados servicios de inteligencia. Por ello, se hablará casi siempre de presuntos o supuestos, así como las acciones. Los servicios secretos israelíes son conocidos por su extremo hermetismo y secretismo, así que la mayoría de la información que proviene de ellos es difícil de contrastar; en ocasiones dicha información proviene de una única fuente. Todo lo expuesto a continuación está nutrido de información pública que puede consultarse abiertamente.

La Unidad 8200 (en algunas publicaciones conocida por Central Collection Unit of the Intelligence Corps, o también Israeli SIGINT National) es una unidad que pertenece a los cuerpos de inteligencia de las Fuerzas de Defensa de Israel, cuya misión es la captación de señales de inteligencia y procesado de las mismas (desde llamadas, mails, ondas o satélites). Su función es similar a la NSA o el GCHQ. Hay que recordar que el servicio militar es obligatorio para todo el mundo en Israel, y según se comenta en algunos foros, “cazadores” de talento “peinan” las escuelas del país para incorporar a la Unidad 8200 a los más predispuestos para estas tareas.

La demanda de “productos” TI militares de vanguardia, la gran inversión que realiza Israel en TI y la llegada de casi medio millón de inmigrantes titulados universitarios de la ex Unión Soviética en los 90, han empujado el sector de la alta tecnología hasta el punto de que Tel-Aviv es una de las 10 grandes ciudades de alta tecnología del mundo con su Silicon Wady. Dentro de esta alta tecnología destaca la relacionada con el ámbito de la ciberseguridad, y en parte, culpa de ello la tiene la Unidad 8200.

Empresas del sector conocidas como Palto Alto Networks, Imperva, Check Point, Seculert, Akamai o Radware (entre muchas otras) han sido fundadas por ex-miembros de la unidad 8200 y, un vistazo rápido a LinkedIn, nos muestra la alta cualificación de los mismos.

Otros analistas de la Unidad 8200 podrían formar parte de corporaciones privadas como Hazard Threat Analysis, Ltd (Terrogence), especializadas en recolección de información de inteligencia contraterrorista de fuentes OSINT. Probablemente muchos vendrán de la Unidad Hatzav, que parece ser una unidad subordinada a la 8200, centrada en recopilación de información de fuentes abiertas. Algunas fuentes comentan que son capaces de monitorizar y traducir toda la prensa y medios árabes las 24 horas del día.

Se presupone que hacen uso de la Base de Urim SIGINT, que es una de las instalaciones militares más importantes para la captación de señales de inteligencia del mundo, en las que se que recopilaría información de interés interceptada y útil para AMAN (Dirección de inteligencia militar israelí).

Mencionar que Israel tiene en marcha el programa Ofeq, una serie de satélites de reconocimiento (“satélites espía”), destinados a uso militar e inteligencia con una cobertura optimizada para Oriente Medio. Sin embargo, se desconoce si la Unidad 8200 tiene relación directa con Ofeq para recopilar información, o si existe alguna unidad IMINT para tal fin.

Base de Urim (desierto de Néguev). Fuente: Google Maps

Base de Urim (desierto de Néguev). Fuente: Google Maps

En cuanto a operaciones conocidas, u otras acciones relevantes, no hay demasiada información pública al respecto, tal y como hemos comentado. Insisto en que las atribuciones de las acciones/operaciones son meramente suposiciones, ya que no hay ningún tipo de confirmación oficial al respecto de la participación de esta Unidad. En orden cronológico:

2007. Según diversas fuentes (ver cable de Wikileaks relacionado), participarían en la Operación Orchard, en la que fuerzas aéreas israelíes atacaron Al-Kibar (nombre del objetivo) en Siria, en el que había un supuesto reactor nuclear encubierto. Según la prensa, a través de la Unidad 8200, y con una tecnología similar al Suter estadounidense (desarrollado por la Unidad Secreta de las Fuerzas aéreas norteamericanas, Big Safari), la Fuerza Aérea Israelí fue capaz de atravesar el espacio aéreo sirio sin ser detectados por los radares. Anteriormente Israel había llevado operaciones similares a ésta, como la Operación Ópera en 1981, por la que se atacó un reactor nuclear en construcción en Irak.

2010. Aparece Stuxnet, malware avanzado con capacidad de cibersabotaje industrial, enmarcado dentro de la Operación Olimpic Games, y atribuido, según los medios, a Israel (Unidad 8200) y USA. Duqu llegaría en 2011 y Flame en 2012, ambos con grandes analogías y paralelismos a Stuxnet y por tanto supuestamente procedentes de los mismos autores.

img32013. Snowden filtró el memorando completo por el que se ponía de manifiesto que la NSA compartía información con la Unidad 8200 desde el 2009 generando una gran polémica porque no se filtraba nada.

Ese mismo año el periódico alemán FOCUS, publicaba que Israel acusaba al gobierno de Bashar Al-Assad de usar armas químicas en Siria. Parte de la investigación llevada a cabo para lanzar estas acusaciones la podría haber llevado a cabo la Unidad 8200 a través de la interceptación de comunicaciones en las que se evidenciaba este hecho.

2014. LLegaba la noticia de que Israel frustraba un atentado de Al Qaeda en Tel-Aviv contra la embajada estadounidense. Algunas fuentes indican que la operación de contra-terrorismo fue llevada a cabo por la Unidad 8200 y los servicios de inteligencia.

Este mismo año, un grupo de 43 miembros la Unidad 8200, a través de un carta abierta dirigida al primer ministro Netanyahu y al jefe del estado mayor israelí, Benny Gantz, rechazaban participar en acciones contra los palestinos por cuestiones morales.

2015. Este mismo mes de junio, saltaba a la palestra, Duqu 2.0, malware avanzado para ciberespionaje atribuido presuntamente a Israel, detectado por Kaspersky en sus propias redes internas, y además en varios objetivos relevantes en el marco de las negociaciones internacionales sobre el programa nuclear iraní, y en el evento del 70 aniversario de la liberación de Auschwitz.

Comentar, por último, que las fechas citadas respecto a la aparición de las operaciones/malware son de cuando se hizo pública su existencia, no de cuando se crearon, que, en la mayoría de los casos se desconoce.

Las últimas noticias al respecto del futuro de la Unidad 8200 son que van a formar parte del futuro Cyber Command de ejército israelí que se prevé esté operativo en dos años. En aras de unificar funciones, el nuevo Cyber Command israelí estará dotado de capacidades ofensivas/defensivas – hasta ahora llevadas a cabo por la Unidad 8200- y además por otros grupos relacionados con la inteligencia militar.

Solo sabemos que no sabemos nada.

Cyber Caliphate. Cyber Jihad

“I love you ISIS”; “je suIS IS”; “in the name of Allah, the Most Gracious, the CyberCaliphate continues its CyberJihad”; “ISIS will prevail”

El denominado Cyber Caliphate es uno de los cibergrupos destacados en la escena de Oriente Medio, centrado principalmente en la difusión propagandística. Han comprometido cuentas de redes sociales vinculadas al Pentágono, militares, políticos, cadenas de TV/prensa como BBC News, TV5Monde, Albuquerque Journal… etc. y son muy apoyados por la comunidad pro-ISIS.


Fuente imagen: www.recordedfuture.com

[Read more…]