(Cyber) Guerra Fría II: Grupo Sofacy

Continuamos con nuestros artículos sobre ciberguerra, ampliando información sobre un grupo de supuesta procedencia rusa del que ya hablamos en la primera entrada de la saga, Sofacy, conocido también por varios alias como vemos en la tabla a continuación:

img1

Alineado con intereses rusos, y activo al menos desde el 2004-2007, Sofacy es un grupo de ciberespionaje que centra su actividad principalmente en operaciones de ataques dirigidos (APT) a objetivos gubernamentales, militares y organismos de seguridad, especialmente aquellos que sean de interés para Rusia: gobiernos y defensa de Europa del Este, la región del Cáucaso, OTAN, contratistas de defensa estadounidenses, SAIC, etc.

[Read more…]

APT Grupo Ke3Chang

Es evidente que las misiones diplomáticas, incluyendo los Ministerios de Asuntos Exteriores de los Estados son objetivos de alta prioridad en las operaciones de ciberespionaje de hoy en día. Campañas de ataques dirigidos como “GhostNet” o las llevadas a cabo por el grupo Ke3Chang (supuestamente financiado por China) -que será el objeto de este artículo- así lo demuestran.

En diciembre de 2013, Fireeye publicó una campaña de ciberespionaje denominada “moviestar” llevada a cabo por un grupo conocido por “Ke3Chang”, centrada en comprometer las redes de los Ministerios de Asuntos Exteriores en Europa, cuya atribución apuntaba a China y que, al menos llevaban activos desde 2010. Utilizaron como vía de entrada spear-phishing con el gancho de ofrecer información sobre los últimos acontecimientos en Siria. En concreto, parece ser que los correos dirigidos comenzaron en agosto de 2013, un mes antes de la Cumbre del G-20 de San Peterburgo en la que el principal foco del cónclave fue la situación en Siria.

[Read more…]

(Cyber) Guerra Fría I: Ataque a TV5Monde

A pesar de que en la prensa española no tuvo mucho eco -para lo grave que fue según mi criterio-, el pasado abril la cadena TV5Monde sufrió un ciberataque sin precedentes en la historia de la televisión por el que, durante 18 horas y de manera sincronizada los atacantes, en nombre del Estado Islámico, se hicieron con 11 canales de televisión, sus perfiles en redes sociales, varios servidores y sitios Web. La ANSSI (Agence nationale de la sécurité des systèmes d’information) concluyó sin demasiados comentarios que los dispositivos de electrónica de red también se habían visto comprometidos, incluyendo decodificadores y multiplexores necesarios para la difusión de los programas.

Además de publicar propaganda ligada al EI, también se publicaron datos supuestamente confidenciales sobre soldados franceses junto con amenazas a sus familias (a posteriori el Ministerio de Defensa francés informó que no se había expuesto ningún dato confidencial).

mm0

[Read more…]

Unidad 8200

img1Nota: Es preciso aclarar que no existen pruebas concluyentes para atribuir la autoría de la mayoría de acciones y hechos descritos en este artículo a personas físicas, Estados, actores no estatales o a determinados servicios de inteligencia. Por ello, se hablará casi siempre de presuntos o supuestos, así como las acciones. Los servicios secretos israelíes son conocidos por su extremo hermetismo y secretismo, así que la mayoría de la información que proviene de ellos es difícil de contrastar; en ocasiones dicha información proviene de una única fuente. Todo lo expuesto a continuación está nutrido de información pública que puede consultarse abiertamente.

La Unidad 8200 (en algunas publicaciones conocida por Central Collection Unit of the Intelligence Corps, o también Israeli SIGINT National) es una unidad que pertenece a los cuerpos de inteligencia de las Fuerzas de Defensa de Israel, cuya misión es la captación de señales de inteligencia y procesado de las mismas (desde llamadas, mails, ondas o satélites). Su función es similar a la NSA o el GCHQ. Hay que recordar que el servicio militar es obligatorio para todo el mundo en Israel, y según se comenta en algunos foros, “cazadores” de talento “peinan” las escuelas del país para incorporar a la Unidad 8200 a los más predispuestos para estas tareas.

La demanda de “productos” TI militares de vanguardia, la gran inversión que realiza Israel en TI y la llegada de casi medio millón de inmigrantes titulados universitarios de la ex Unión Soviética en los 90, han empujado el sector de la alta tecnología hasta el punto de que Tel-Aviv es una de las 10 grandes ciudades de alta tecnología del mundo con su Silicon Wady. Dentro de esta alta tecnología destaca la relacionada con el ámbito de la ciberseguridad, y en parte, culpa de ello la tiene la Unidad 8200.

Empresas del sector conocidas como Palto Alto Networks, Imperva, Check Point, Seculert, Akamai o Radware (entre muchas otras) han sido fundadas por ex-miembros de la unidad 8200 y, un vistazo rápido a LinkedIn, nos muestra la alta cualificación de los mismos.

Otros analistas de la Unidad 8200 podrían formar parte de corporaciones privadas como Hazard Threat Analysis, Ltd (Terrogence), especializadas en recolección de información de inteligencia contraterrorista de fuentes OSINT. Probablemente muchos vendrán de la Unidad Hatzav, que parece ser una unidad subordinada a la 8200, centrada en recopilación de información de fuentes abiertas. Algunas fuentes comentan que son capaces de monitorizar y traducir toda la prensa y medios árabes las 24 horas del día.

Se presupone que hacen uso de la Base de Urim SIGINT, que es una de las instalaciones militares más importantes para la captación de señales de inteligencia del mundo, en las que se que recopilaría información de interés interceptada y útil para AMAN (Dirección de inteligencia militar israelí).

Mencionar que Israel tiene en marcha el programa Ofeq, una serie de satélites de reconocimiento (“satélites espía”), destinados a uso militar e inteligencia con una cobertura optimizada para Oriente Medio. Sin embargo, se desconoce si la Unidad 8200 tiene relación directa con Ofeq para recopilar información, o si existe alguna unidad IMINT para tal fin.

Base de Urim (desierto de Néguev). Fuente: Google Maps

Base de Urim (desierto de Néguev). Fuente: Google Maps

En cuanto a operaciones conocidas, u otras acciones relevantes, no hay demasiada información pública al respecto, tal y como hemos comentado. Insisto en que las atribuciones de las acciones/operaciones son meramente suposiciones, ya que no hay ningún tipo de confirmación oficial al respecto de la participación de esta Unidad. En orden cronológico:

2007. Según diversas fuentes (ver cable de Wikileaks relacionado), participarían en la Operación Orchard, en la que fuerzas aéreas israelíes atacaron Al-Kibar (nombre del objetivo) en Siria, en el que había un supuesto reactor nuclear encubierto. Según la prensa, a través de la Unidad 8200, y con una tecnología similar al Suter estadounidense (desarrollado por la Unidad Secreta de las Fuerzas aéreas norteamericanas, Big Safari), la Fuerza Aérea Israelí fue capaz de atravesar el espacio aéreo sirio sin ser detectados por los radares. Anteriormente Israel había llevado operaciones similares a ésta, como la Operación Ópera en 1981, por la que se atacó un reactor nuclear en construcción en Irak.

2010. Aparece Stuxnet, malware avanzado con capacidad de cibersabotaje industrial, enmarcado dentro de la Operación Olimpic Games, y atribuido, según los medios, a Israel (Unidad 8200) y USA. Duqu llegaría en 2011 y Flame en 2012, ambos con grandes analogías y paralelismos a Stuxnet y por tanto supuestamente procedentes de los mismos autores.

img32013. Snowden filtró el memorando completo por el que se ponía de manifiesto que la NSA compartía información con la Unidad 8200 desde el 2009 generando una gran polémica porque no se filtraba nada.

Ese mismo año el periódico alemán FOCUS, publicaba que Israel acusaba al gobierno de Bashar Al-Assad de usar armas químicas en Siria. Parte de la investigación llevada a cabo para lanzar estas acusaciones la podría haber llevado a cabo la Unidad 8200 a través de la interceptación de comunicaciones en las que se evidenciaba este hecho.

2014. LLegaba la noticia de que Israel frustraba un atentado de Al Qaeda en Tel-Aviv contra la embajada estadounidense. Algunas fuentes indican que la operación de contra-terrorismo fue llevada a cabo por la Unidad 8200 y los servicios de inteligencia.

Este mismo año, un grupo de 43 miembros la Unidad 8200, a través de un carta abierta dirigida al primer ministro Netanyahu y al jefe del estado mayor israelí, Benny Gantz, rechazaban participar en acciones contra los palestinos por cuestiones morales.

2015. Este mismo mes de junio, saltaba a la palestra, Duqu 2.0, malware avanzado para ciberespionaje atribuido presuntamente a Israel, detectado por Kaspersky en sus propias redes internas, y además en varios objetivos relevantes en el marco de las negociaciones internacionales sobre el programa nuclear iraní, y en el evento del 70 aniversario de la liberación de Auschwitz.

Comentar, por último, que las fechas citadas respecto a la aparición de las operaciones/malware son de cuando se hizo pública su existencia, no de cuando se crearon, que, en la mayoría de los casos se desconoce.

Las últimas noticias al respecto del futuro de la Unidad 8200 son que van a formar parte del futuro Cyber Command de ejército israelí que se prevé esté operativo en dos años. En aras de unificar funciones, el nuevo Cyber Command israelí estará dotado de capacidades ofensivas/defensivas – hasta ahora llevadas a cabo por la Unidad 8200- y además por otros grupos relacionados con la inteligencia militar.

Solo sabemos que no sabemos nada.

Cyber Caliphate. Cyber Jihad

“I love you ISIS”; “je suIS IS”; “in the name of Allah, the Most Gracious, the CyberCaliphate continues its CyberJihad”; “ISIS will prevail”

El denominado Cyber Caliphate es uno de los cibergrupos destacados en la escena de Oriente Medio, centrado principalmente en la difusión propagandística. Han comprometido cuentas de redes sociales vinculadas al Pentágono, militares, políticos, cadenas de TV/prensa como BBC News, TV5Monde, Albuquerque Journal… etc. y son muy apoyados por la comunidad pro-ISIS.


Fuente imagen: www.recordedfuture.com

[Read more…]