La CCI rusa (V): FSB

2000px-fsb-svg
Tal y como hemos indicado en posts anteriores, el FSB (Federal’nya Sluzhba Bezopasnosti) es el principal heredero del KGB y de la FAPSI; dirigido por el General de Ejército Alexander Bortnikov, su amplitud de atribuciones y su poder en Rusia vienen sin duda marcados por el propio Vladimir Putin, antiguo director del Servicio que al llegar a la Presidencia del país reforzó notablemente las capacidades del FSB –y su presupuesto-, así como por la presencia de antiguos miembros del Servicio en la totalidad de la sociedad rusa. El FSB no sólo trabaja en ámbitos directamente asociados a la inteligencia y contrainteligencia, sino que además llega a aspectos como la vigilancia social o electrónica.... Leer Más

Forensic CTF Writeup: Baud, James Baud (I)

La informática forense es una disciplina amplia y compleja, que requiere de conocimientos profundos y en muchos casos casi milimétricos de algunas áreas. Afortunadamente, de un tiempo a esta parte los retos forenses para afinar nuestras habilidades han aumentado, y a día de hoy tenemos una buena cantidad disponible de ellos para aprender, practicar y mejorar.
Aquí tenéis los últimos que han llegado a mis manos:

Con un día libre por delante, he decidido jugar un poco con el último. ¿Por qué? Porque simple y llanamente, Bond es mucho Bond y me ha picado la curiosidad :D
[Read more…]

La buena noticia que nos trae Yahoo

yahoo_logo_detailYahoo acaba de reconocer el robo de información relativa a más de 1000 millones de cuentas de sus clientes… en 2013. Sí, hace 3 años.

Ante esta situación caben diferentes interpretaciones: o bien a raíz del análisis del incidente que sufrieron en 2014 del que informaron en el mes de septiembre han extendido el análisis forense de lo ocurrido hacia atrás y han descubierto que en 2013 habían sufrido el robo de información más grande sufrido nunca por una única compañía, o bien ya lo sabían y han decidido informar de ello ahora antes de que la noticia trascendiera por otra fuente. Incluso se me ocurre una tercera posibilidad (y a lo mejor a alguno de ustedes incluso se le ocurre una cuarta): que haya sido una filtración malintencionada ahora que Verizon está formalizando una oferta de compra por Yahoo.
[Read more…]

La CCI rusa (IV): Un poco de historia: FAPSI

fapsiA la hora de hablar de Rusia en el ámbito de la ciberseguridad, o más concretamente en el del information warfare, debemos citar de forma obligatoria a la FAPSI (Federal Agency of Government Communication and Information), operativa entre 1991 y 2003 y considerada el equivalente ruso a la NSA estadounidense (Roland Heickerö. Emerging Cyber Threats and Russian Views on Information Warfare and Information Operations. FOI. Swedish Defence Research Agency. Marzo, 2010.), que heredó las atribuciones y capacidades de las 8ª (cifrado) y 16ª (descifrado e interceptación) Direcciones Generales del KGB. Entre sus funciones se encontraba la cifra (criptología y criptoanálisis), la interceptación de comunicaciones e, incluso, las capacidades de respuesta a incidentes a modo de CERT. En 2003 esta poderosa agencia fue disuelta por el gobierno ruso, posiblemente a causa de la corrupción, aunque también se apunta a que una agencia con más de 50.000 personas se estaba convirtiendo en un gran monstruo incontrolable, como en su momento era el KGB. Tras transformarse el Servicio de Información y Comunicaciones Especiales –una agencia heredera de la FAPSI que duró apenas cinco meses-, sus atribuciones fueron repartidas entre los cuatro grandes servicios rusos, el GRU y los derivados del KGB: SVR, FSB y FSO. Cada uno de estos servicios tiene atribuciones diferenciadas, aunque obviamente comparten capacidades, información, tácticas o intereses… O compiten entre ellos; de hecho, en su trabajo de mayo de 2016 Putin’s Hydra: Inside Russia’s Intelligence Services. European Council on Foreing Relations, Mark Galeotti nos presenta un curioso gráfico resumen de los roles de la comunidad de inteligencia rusa, del que seleccionamos a continuación sólo los servicios principales –al menos en nuestro ámbito ciber-:
[Read more…]

Kypass para iOS. ¿Están mis contraseñas seguras?

Todos somos conocedores del valor de nuestras credenciales o contraseñas, esas llaves que nos dan acceso a parte de nuestra vida digital. No es extraño encontrarse durante los procesos de pentesting los típicos documentos “.txt”, Excel o Word con todos los passwords de acceso a los sistemas TI. Es más, cuando parte del proceso de intrusión se focaliza en el departamento financiero es habitual ver como un señor director contable guarda todas las contraseñas de acceso a las cuentas bancarias en un fichero de texto plano, adjuntando para mayor disfrute una copia escaneada de la tarjeta de coordenadas (ver Barbarities I: Banca electrónica).... Leer Más

Tendencias de malware. Noviembre 2016

Durante este pasado mes de noviembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada desde el laboratorio:

lab-malware-nov16

El primer caso que es necesario repasar es la intensa campaña de spam que hemos sufrido recientemente en el que nos llegaba un fichero adjunto comprimido, que contenía un archivo en formato JavaScript conocido como Nemucod. En caso de ser ejecutado, este instala en nuestro equipo una variante muy común del Ransomware Locky (amigo durante ya varios meses) en formato dll.
[Read more…]

La CCI rusa (III): la Comunidad

Sin duda, mentalmente mucha gente asocia la inteligencia o los servicios secretos rusos -para ser exactos, soviéticos- al KGB (Komitet gosudárstvennoy bezopásnosti, Comité para la Seguridad del Estado); lamentablemente para los seguidores de Bond, el KGB, el servicio secreto soviético-ruso por excelencia, fue desmantelado a principios de los años noventa por Mijail Gorbachev, seguramente por haberse convertido en un poderoso monstruo en cuanto a atribuciones, capacidades y conocimientos pero, en especial, por su supuesta implicación en el fallido golpe de estado de agosto de 1991. Su poder fue distribuido principalmente entre tres agencias diferenciadas: FSB (Servicio de Seguridad Federal), SVR (Servicio de Inteligencia Exterior) y FSO (Servicio de Protección Federal), que se unían al rival histórico del KGB, el GRU (Dirección General de Inteligencia), el servicio ruso de inteligencia militar que sobrevivió a la caída de la URSS (quizás por el apoyo al presidente soviético durante el golpe de estado, a diferencia del KGB). Las atribuciones SIGINT se focalizaron en una agencia denominada FAPSI, equivalente a la NSA estadounidense, desmantelada en 2003 y cuyo poder, como en su momento el del KGB, fue repartido entre los diferentes servicios rusos.... Leer Más

La Agencia Mundial Antidoping, en la mira de los hackers

La importancia de los sistemas de seguridad informáticos en el deporte quedó patente en los últimos meses, cuando la base de datos de la Agencia Mundial Antidoping (AMA) fue hackeada en varias ocasiones.

El primer ataque cibernético ocurrió durante los Juegos Olímpicos de Río de Janeiro, en agosto, cuando unos hackers accedieron a la cuenta de la atleta rusa Yuliya Stepanova. El segundo fue semanas después, cuando la AMA denunció que un grupo de hackers rusos, conocidos como “Fancy Bears“, accedieron a su sistema y filtraron información médica confidencial de algunos deportistas, entre ellos Rafael Nadal, Chris Froome, Bradley Wiggins, Venus Williams o Simone Biles.
Los “Fancy Bears” publicaron en su página web los nombres de numerosos atletas de primer nivel que recibieron por parte de la AMA exenciones de uso terapéutico, unas autorizaciones especiales que permiten a los deportistas consumir sustancias prohibidas durante un determinado periodo de tiempo después de una lesión física o con el objetivo de curar una enfermedad aguda o crónica.
La principal lacra del deporte en las últimas décadas es el doping. Normalmente conectado con escándalos de corrupción en los máximos organismos deportivos internacionales, el doping no es sólo una herramienta para ganar. Es una herramienta de poder.
[Read more…]

VolGUI: Interfaz gráfica de usuario para Volatility

Volatility es una herramienta software que permite hacer un estudio del contenido de la memoria RAM. Está formada por un conjunto de utilidades de código abierto implementadas en el lenguaje de programación Python con licencia GNU General Public License versión 2 permitiendo, de esta forma, leer su código fuente, aprender de él y ampliarlo. Es una herramienta de análisis muy completa y muy usada en el mundo de la informática forense, pero ésta también presenta una serie de “inconvenientes:

  • Para funcionar necesita una interfaz de línea de comandos por lo que su funcionamiento se vuelve menos intuitivo para el usuario ya que el analista ha de memorizar o consultar los comandos cada vez que quiera ejecutar sus funciones, y ha de escribirlas correctamente puesto que de lo contrario fallarán.
  • Volatility sólo muestra los resultados por pantalla, y estos no son almacenados de ninguna forma lo que presenta una serie de desventajas e inconvenientes. Por ejemplo, cada vez que el analista forense ejecuta una instrucción, se vuelve a procesar el resultado y si éste es muy complejo, provoca un mayor tiempo de espera para obtenerlo. Del mismo modo provoca que las búsquedas en los resultados obtenidos puedan ser complejas.

[Read more…]

Amenazas Persistentes Avanzadas

41huogc0srlDespués de muchos viajes y, por tanto, de mucho tiempo para escribir, me alegra poder decir que ha visto la luz Amenazas Persistentes Avanzadas, un pequeño libro donde se trata el tema que indica su título :)

NO es un libro técnico -ojalá-, al menos no mucho, sino una aproximación a las APT desde la óptica de eso que ahora estamos denominando ciberinteligencia, ciberespionaje o ciber-*, y que no es más que poner este prefijo a algo tan antiguo como la humanidad. En él se contextualizan las APT en el marco de los servicios de inteligencia o los grupos (ese gran debate de la atribución, algo casi imposible pero paradójicamente de lo que a todos nos encanta hablar durante horas) y se describen los elementos necesarios para orquestar un ataque, así como el ataque en sí, o al menos el ciclo de vida de la amenaza.
[Read more…]