La CCI rusa (IX): grupos APT

russian-malware-analysis-temp-770x513Hemos hablado hasta el momento de los principales servicios que conforman la comunidad de inteligencia rusa en su ámbito ciber y seguiremos describiendo en sucesivos posts el resto del complejo ecosistema ruso pero, ¿dónde quedan las APT supuestamente rusas? Grupos conocidos por todos, como APT28 (FancyBear, Sofacy…) o APT29 (CozyBear, The Dukes…), deben estar, de alguna forma, relacionados con esta comunidad… si no son parte de la misma, ¿verdad?

Estos grupos, APT28 y APT29 (les llamaremos así, aunque aprovechamos para pedir desde aquí un estándar ISO para nomenclatura de grupos APT, que cada uno tiene una docena ;) son sin duda los más conocidos del panorama ruso, a raíz de los informes de FireEye [5] y [6]. Entonces, ¿son unidades de alguno de los servicios rusos expuestos anteriormente? ¿son mercenarios que venden su trabajo al mejor postor? ¿son grupos organizados que facilitan información a cambio de impunidad? ¿son el resultado de operaciones de bandera falsa de un tercero? Ni lo sabemos ni posiblemente lo sepamos nunca… No obstante, como es imposible, vamos a evaluar en este post, o al menos a intentarlo (recordemos que eso de la atribución es siempre hipotético, por eso nos gusta tanto ;), algunos de los elementos que nos permiten relacionar a estos grupos con los servicios rusos. Hay más grupos supuestamente rusos, como Turla; ya hablaremos de ellos en otro post…

APT28 y APT29
La primera pregunta que debemos plantearnos respecto a estos grupos es si realmente son rusos; los indicadores más técnicos apuntan a que sí: desde las horas y fechas de compilación de su arsenal, coincidente en buena parte con el horario laboral de Moscú y San Petersburgo, hasta la codificación y lenguajes utilizados en buena parte de sus artefactos. No obstante aquí nos topamos con el gran problema de la atribución, y es que la abordamos a partir de artefactos dejados, voluntaria o involuntariamente, por el atacante. ¿Puede un señor de Cuenca saber ruso -incluso coloquial-, cambiar la hora de su equipo para fijarla en ese horario al que hacíamos referencia o configurar el sistema en ruso? Sin problemas ¿Podrían ser estos grupos conquenses, entonces? Por supuesto.

Aunque los indicadores técnicos sean fácilmente alterables, son lo que tenemos para trabajar; tanto en APT28 como en APT29 los analistas identifican no a un señor de Cuenca, sino a un grupo estructurado, con responsabilidades separadas, con metodologías de desarrollo establecidas… algo que podríamos denominar una malware factory. Es decir, se identifica una organización potente detrás, organización que podría ser un grupo independiente, una unidad de un servicio determinado, una empresa… de Moscú, de San Petersburgo o de Cuenca.

Las necesidades de información, y por tanto los objetivos de estos grupos son más difícilmente falsificables que los indicadores puramente técnicos (ojo, pero no es imposible hacerlo); en el caso de estos grupos, sus víctimas son compatibles con las necesidades de información del gobierno ruso de las que ya hablaremos con detalle en esta serie de posts, tanto geográfica como operativamente. Falsificar esto sería mucho más costoso para un tercero -insistimos, pero NO imposible cuando hablamos de un actor con muchísimas capacidades, como un estado-; por tanto, si los indicadores técnicos apuntan a Rusia, los objetivos y víctimas apuntan a Rusia y las necesidades de información reflejadas coinciden con las supuestamente rusas ([8]) la probabilidad de que APT28 y APT29 tengan raíces rusas es ALTA. ¿Podemos confirmarlo al 100%? Por supuesto que NO.

TTP
Las tácticas, técnicas y procedimientos habituales asociados a APT29 pasan por el ataque a través de phishing dirigido a la víctima, con un enlace en el correo para descargar un dropper que al ejecutarse descargará a su vez un RAT; por su parte, APT28 trabaja más con la creación de páginas web fraudulentas similares en aspecto a las de sus objetivos, con nombres de dominios cercanos a los legítimos, para robo de credenciales. El arsenal de APT28 se basa principalmente en la explotación de productos de Microsoft y Adobe, al igual que el de APT29, en ambos casos debido sin duda a la popularidad de estos entornos y por tanto al éxito en su explotación; no obstante, APT28 utiliza más vulnerabilidades sin exploits conocidos que APT29 ([2]) y además su catálogo es mucho mayor que el de este último, lo que podría implicar tanto un número mayor de recursos como una mayor experiencia en el ámbito del ciberespionaje por parte de APT28 que por parte de APT29, pero por contra APT29 es muy discreto y tiene un objetivo de persistencia muy alto. En cualquier caso, ambos grupos son técnicamente excelentes y su catálogo de vulnerabilidades rara vez se solapa, lo que denotaría la separación (y la competencia) de ambos, y que sería compatible con la separación (y la competencia) de los servicios rusos a la que ya hemos hecho referencia en esta serie de posts. Adicionalmente, algunas de las vulnerabilidades explotadas por APT28 y APT29 en sus campañas son también aprovechadas por grupos vinculados al cibercrimen ([2]), lo que puede ser desde una maniobra de distracción hasta algo que quizás refuerce la teoría de la estrecha vinculación entre la comunidad de ciberinteligencia rusa y otros actores de su entorno, como analizaremos más adelante en esta misma serie de posts.

En ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación, la seguridad de sus operaciones (OPSEC)… denotan que APT28 y APT29 no son atacantes individuales o grupos poco organizados, sino grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas. ¿Apoyados por un estado? ¿Parte directa de dicho estado? En [8] encontramos un excelente análisis. La probabilidad es ALTA, ya que pocas organizaciones pueden disponer de estas capacidades pero, como siempre, no podemos confirmarlo con certeza.

Objetivos
Entre los objetivos de APT28 se encuentran sectores como el aeroespacial, defensa, energía, administraciones públicas y medios de comunicación (recordemos el manejo de la información en las estrategias y doctrinas rusas), con un especial cariño por los ministerios de Defensa y organizaciones de los sectores anteriores ligadas al entorno militar ([1]) que casualmente reflejan los intereses de la inteligencia militar rusa; en [5], informe donde FireEye identifica a este grupo como APT28, se detallan algunos de los objetivos -y de las víctimas- de APT28, destacando su interés operativo en los ámbitos cercanos al militar y, adicionalmente, su interés en el control de la información relativa a temas relevantes para Rusia, algo alineado con el amplio concepto de information warfare ruso al que hemos hecho referencia en posts anteriores. APT28 no aborda robo de propiedad intelectual, y adicionalmente, los países comprometidos corresponden con los principales intereses geopolíticos rusos -que ya comentaremos en futuros posts-, y los objetivos son compatibles tanto con el origen ruso del grupo como con la posible cercanía del mismo con el ámbito militar; dicho de otra forma, APT28 y GRU comparten necesidades de información y objetivos, por lo que quizás, sólo quizás, tengan algún tipo de relación. ¿Es APT28 una unidad del GRU? No lo sabemos ¿Es un grupo externo pagado por el GRU? No lo sabemos ¿Es un grupo de Cuenca? No lo sabemos…

Por su parte, APT29 amplía los objetivos de su competidor, desligándolos parcialmente del ámbito militar para focalizarse no sólo en éste, sino además en sectores como el farmacéutico, el financiero o el tecnológico, por poner solo unos ejemplos, así como en ONG e incluso en organizaciones delincuenciales ([7]). Este último elemento es muy significativo, ya que podría reflejar las atribuciones policiales, y por tanto las necesidades de información, del FSB ruso, mientras que el ataque a diferentes ONG implica -o puede implicar- intereses políticos, económicos o de control de la información. En línea con un servicio como el FSB… o en línea con una operación conquense de bandera falsa.

Un ejemplo reciente
Sin duda, el caso reciente más sonado de supuestos compromisos por parte de APT rusas, en esta ocasión tanto por APT28 como por APT29, es el del Democratic National Comitee (DNC) estadounidense, en 2016, y su potencial influencia en los resultados de la campaña electoral, incidente descrito a la perfección en [3]; Crowdstrike puso de manifiesto la presencia de ambos grupos en los sistemas del DNC, con una mayor persistencia por parte de APT29, y dejando la competencia entre estos grupos: no comparten TTP, ni vulnerabilidades, ni recursos… pero en ocasiones comparten objetivos. A los elementos técnicos para la atribución a los servicios rusos, analizados por compañías como la anterior (y reforzados posteriormente por otras como FireEye o Fidelis) se une la sorpresiva aparición de Guccifer 2.0, una identidad presumiblemente falsa (un sockpuppet) compatible con la doctrina militar rusa y completamente alineado con el amplio concepto de information warfare al que ya hemos hecho referencia y que incluye la decepción, la desinformación, etc. Un excelente análisis de este sockpuppet y su potencial relación con una operación de bandera falsa del GRU puede encontrarse en [4].

Conclusiones
Hemos visto en este post que todo apunta a que APT28 y APT29 son de origen ruso y posiblemente cuentan con el apoyo de un gobierno para sus actividades, dos hipótesis de probabilidad ALTA. Las necesidades de información de ambos grupos son compatibles con las necesidades de información del gobierno ruso, y sus objetivos coinciden también con las inquietudes de dicho gobierno en diferentes ámbitos. No comparten inteligencia ni arsenales, lo que sería compatible con la separación de los diferentes servicios de inteligencia rusos si APT28 y APT29 estuvieran ligados a algunos de ellos, pero sí objetivos: el resultado final, la inteligencia, será de mayor calidad. Según diferentes analistas, APT28 puede estar relacionado con la inteligencia militar rusa, el GRU, mientras que APT29 lo estaría con el FSB. Puede que sea así. O puede que no. Muchas veces uno llega a la conclusión de que nombres como APT28, PawnStorm, APT29, Snake… no son más que la forma elegante que tenemos de decir FSB, GRU, FSO… cuando no tenemos las pruebas suficientes para confirmar la implicación de estos servicios en ciertas operaciones. En cualquier caso, si realmente APT28 se corresponde con una unidad del GRU y APT29 con una unidad del FSB (o viceversa, como defiende [9]) es algo que por supuesto ni sabemos a ciencia cierta ni creo que podamos saber a corto plazo: todo son hipótesis. Quizás en estos momentos hay un señor en Cuenca, muy listo y organizado, con muchos recursos, escuchando Radio Moscú para perfeccionar un idioma extranjero y configurando su equipo con la zona horaria de San Petersburgo mientras se ríe de todos los analistas del mundo.

Referencias
[1] Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike. Junio, 2016. https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

[2] RFSID. Running for Office: Russian APT Toolkits Revealed. Agosto, 2016. https://www.recordedfuture.com/russian-apt-toolkits/

[3] Eric Lipton, David E. Sanger, Scott Shane. The Perfect Weapon: How Russian Cyberpower Invaded the U.S. New York Times. Diciembre, 2016. http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html

[4] Thomas Rid. All Signs Point to Russia Being Behind the DNC Hack. Motherboard. Julio, 2016. http://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

[5] FireEye. APT28: A window into Russia’s cyber espionage operations?. FireEye. Octubre, 2014. https://www2.fireeye.com/apt28.html

[6] FireEye. HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group. FireEye. Julio, 2015. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf

[7] F-Secure. THE DUKES. 7 years of Russian cyberespionage. F-Secure. Septiembre, 2015. https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

[8] Jen Weedon. Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. Kenneth Geers (Ed.), Cyber War in Perspective: Russian Aggression against Ukraine. NATO CCD COE Publications. Tallinn. 2015.

[9] Malcolm Nance. The plot to hack America: How Putin’s cyberspies and WikiLeaks tried to steal the 2016 election. Sky horse Publishing, 2016.

Imagen cortesía de Indian Strategic Studies.

Forensic CTF Writeup: Baud, James Baud (IV)

Como ya vimos en el artículo anterior, habíamos encontrado un .hta que ejecutaba un script en Powershell que a todas luces parecía malicioso. Nos quedamos con la mosca detrás de la oreja, así que aunque estemos fuera del alcance del CTF, vamos a intentar tirar del hilo para ver si somos capaces de saber qué ha sucedido en el equipo.

[Nota: Como esta parte es un bonus, no vamos a intentar hacerla por duplicado en Windows y Linux, que bastante trabajo llevaron algunas cosas.]

Nos gustaría responder a estas preguntas:

  • ¿Qué malware se ha desplegado en el equipo?
  • ¿Qué acciones maliciosas se han realizado en el sistema?
  • ¿Cuál ha sido el vector de entrada de esta infección?

[Read more…]

Bro IDS tips and tricks

Como continuación del excelente post sobre Bro que publicó nuestro compañero Juan Manuel hace un tiempo, en el presente recopilamos diversos tips and tricks para dicha herramienta que esperamos que os sean de utilidad. Nos centraremos en la última versión estable, Bro 2.5, publicada en noviembre del pasado año 2016.

Captura sobre varios interfaces

En algunas ocasiones, el tráfico a monitorizar nos llega por varios interfaces de red diferentes; por ejemplo, en el caso de disponer de dos salidas a Internet. [Read more…]

Evaluaciones de Impacto en la Protección de Datos Personales (EIPD o PIA)

Ya vimos en la anterior entrada los retos y oportunidades que plantea el nuevo reglamento europeo de protección de datos, y el enfoque preventivo que adopta. Es precisamente dentro de este enfoque preventivo donde encontramos uno de los elementos más importantes a mi juicio: la evaluación de impacto sobre la protección de datos, EIPD o PIA (por sus siglas en inglés, Privacy Impact Assessment).

Estos informes son muy comunes en otros países europeos y tienen como finalidad evaluar los riesgos y amenazas a los que se enfrenta un nuevo producto, servicio o sistema de información desde sus inicios. La ventaja es evidente: esto permite eliminar o mitigar dichos riesgos antes de que el sistema se desarrolle, evitando los costes económicos y reputacionales que puede conllevar su descubrimiento a posteriori (o incluso su materialización). [Read more…]

Forensic CTF Writeup: Baud, James Baud (III)

Ya llevamos una buena parte del reto forense desgranado en los artículos anteriores. Ahora viene la parte buena…

11. What IP address was used by the attacker for C2?

Linux way

Entramos en harina de otro costal. Al parecer se ha producido un ataque contra el equipo, así que por fin nos podemos poner en modo investigador/cazador. Tenemos varias vías de investigación, siendo la más sencilla examinar las conexiones que se puedan observar en la memoria vía el comando netscan de Volatility. [Read more…]

Tendencias de malware. Diciembre 2016

Durante este mes de diciembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que una vez más queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:

malwarediciembre

Antes que nada, nos gustaría remarcar el respiro que, al menos a nosotros, nos ha dado Locky este mes, con una cantidad tremendamente reducida de SPAM en comparación con los dos meses anteriores. Esto no significa que haya desaparecido ni mucho menos ya que han estado llegando a muchos sitios correos con textos de “asunto:” como los siguientes: [Read more…]

La CCI rusa (VIII): GRU

gru_emblemEl único de los grandes servicios rusos que, como ya hemos indicado, no es un heredero directo del KGB es el GRU (Glavnoye Razvedyvatelnoye Upravlenie), unidad militar 44388, cuyo objetivo es proporcionar inteligencia al Ministerio de Defensa, a la cúpula militar y a las fuerzas armadas rusas en su conjunto. Este servicio está dedicado a la inteligencia militar, desde la estratégica a la operativa, trabajando no sólo en un sentido exclusivo de defensa, sino abarcando también otros aspectos como la política o la economía ligadas al ámbito militar, y en especial la inteligencia exterior –en ocasiones junto al SVR-; desde el año 1996, tiene encomendada la misión de adquirir incluso información relativa a ecología y medio ambiente. Para ejecutar estas tareas, el GRU dispone de todo tipo de capacidades, desde IMINT hasta HUMINT, pasando por OSINT y, por supuesto, SIGINT, capacidades que le dotan de un ámbito de actuación e influencia internacional y que permiten al GRU “actuar en cualquier punto del mundo donde pudiera surgir la necesidad”, según declaraciones del General Valentin Vladimirovich Korabelnikov, en una entrevista concedida en 2006, cuando era Director del GRU.

El GRU es sin duda el más opaco de los servicios rusos y posiblemente el mejor de ellos; se trata de un grupo que mantiene ciertas reminiscencias soviéticas –recordemos que sobrevivió al KGB- e incluso que considera “occidentalizados” a otros servicios como el FSB. Como curiosidades, el GRU recluta a sus agentes entre las clases “proletarias”, preferentemente a personal sin conocimientos de idiomas, y entre sus supuestos cometidos está el enterrar armas en territorio hostil para poderlas utilizar en caso de conflicto; no dispone de servicio de contrainteligencia (función ejercida por el FSB) ni tampoco de oficina de prensa (realmente, el GRU no es más que una Dirección General dentro del Ministerio de Defensa ruso) o página web oficial ([1]). Gracias a sus métodos de trabajo, es el servicio de inteligencia que menos desertores ha tenido en la historia soviética y rusa.
[Read more…]

PYME vs Estándares de Seguridad de la Información (II)

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.
[Read more…]

En el 2017 más y mejor

El 2016 empezó prometiendo ser un año en el que cumpliríamos esa lista de objetivos que todos nos marcamos. No en vano, eso parece que lo prometen todos los años el 1 de Enero, pero este año tenía algo especial, nos daba un día más para cumplirlos, porque 2016 ha sido un año bisiesto.

Profesionalmente nosotros hemos cumplido muchos objetivos, y uno de ellos ha sido seguir al frente de este blog contándoles todo lo que ha ido sucediendo durante el año, que no ha sido poco.

Haciendo un rápido resumen, no quiero que nos den literalmente las uvas leyendo este post, quiero destacar algunos de ellos:

Este sería un pequeño resumen de nuestro año como blog.

Para el mundo 2016 será recordado por: Donald Trump, Hillary Clinton, El Brexit, las olimpiadas de Rio de Janeiro, un año fatídico para grandes estrellas del espectáculo, la visita de Barack Obama a Cuba, el año en el que Las Fallas de Valencia fueron nombradas patrimonio inmaterial de la Humanidad por la UNESCO… y el año en el que la Princesa Leia pasó a ser una con la fuerza.

Y para ir cerrando este post y este año, me queda poco por decir: pónganse guapos para recibir al nuevo año, o quédense tirados en pijama en el sofá, coman 12 uvas o 23 aceitunas, lo que más felices les haga, pero eso sí, hagan una buena lista de objetivos para 2017 y que la fuerza les acompañe para cumplirlos.

#33c3 – Un congreso único en el mundo

Cuando leáis esto probablemente estaré ya en Hamburgo para asistir a la 33ª edición del Chaos Computer Congress, conocido como #33c3 y organizado por el Chaos Computer Club (CCC), la asociación de hackers (más bien es un conjunto de hackerspaces y asociaciones de hacking) más grande de Europa, y que lleva más de 30 años investigando y promoviendo la concienciación en temas relacionados con la tecnología y el hacking, incluyendo temas controvertidos como privacidad, vigilancia y seguridad de la información entre otros.

Este año, y gracias a la insistencia de algunos amigos, me he hecho un autorregalo de navidad y asistiré a este congreso que, al igual que todos los eventos organizados por el CCC, son únicos en el mundo, y no solo por la calidad o variedad de los temas tratados en las ponencias oficiales, sino por todo lo que se mueve a su alrededor. Voy a explicar por qué creo que esto es así.

Para empezar, se pone a disposición de los asistentes y de aquellos que no han podido asistir al evento varias redes de comunicación. En concreto, una red GSM (aunque este año no se pueden comprar tarjetas SIM nuevas) y una red DECT (muchos de los teléfonos inalámbricos que tenemos en casa son compatibles) desplegadas por todo el centro de convenciones donde tiene lugar el evento gracias a Eventphone, así como extensiones SIP tanto dentro del evento como fuera, para poder comunicarte con amigos o familiares que no hayan podido asistir al evento (esta última red externa se conoce como EPVPN). Además hay todo un directorio de servicios a los que puedes acceder a través de extensiones en esta red.
[Read more…]