Security Art Work

Este artículo es la segunda entrega de la serie dedicada a explorar los Actores Estado más activos de los últimos años, con el propósito de comprender en profundidad sus operaciones, modus operandi, victimología y otros aspectos clave. En esta entrega, revisaremos las operaciones ciber de los Cuerpos de la Guardia Revolucionaria Islámica de Irán (IRGC).

Antes de profundizar en el tema, es clave entender cómo está estructurado el gobierno de Irán en la actualidad, ya que su configuración influye directamente en su política y estrategia.

Esta se basa en la distribución de poder. En primer lugar, el Líder Supremo es el máximo responsable en las Fuerzas Armadas y tiene el poder de declarar la guerra o aprobar operaciones militares, entre otras. Antes de declarar cualquier operación militar, este informa al Consejo Supremo de Seguridad Nacional (SCNS), quien es el cuerpo responsable de la política exterior y doméstica, y está compuesto por sus secretarios, asignados por el Líder Supremo, y comandantes o miembros de diferentes instituciones  militares y servicios de seguridad iraníes.

El SCNS informa tanto al Staff General de las Fuerzas Armadas, como al Mando de Khatemolanbia (KCHP), quienes, a su vez, se comunicarán con sus servicios correspondientes, ya sean el IRGC (principal ejército de Irán) o ARTESH. Por otro lado, Irán también tiene un presidente al frente del poder ejecutivo; sin embargo, este no ejerce control sobre las fuerzas armadas, lo que lo convierte en el único país donde el poder ejecutivo carece de dicha autoridad, según agencias públicas de EE. UU.

Las principales unidades del GRU ruso activas en operaciones en el ciberespacio han sido tratadas en este blog: desde nuestros antiguos posts (¡de 2018!) sobre la unidad 26165 y la unidad 74455 hasta la reciente aparición (en el ciberespacio) de la unidad 29155. Todas estas unidades tienen algo en común, aparte de su capacidad para operar en el ciberespacio: todas tienen un nombre de grupo APT. La unidad 26165 se identifica con APT28, mientras que la unidad 74455 es conocida como Sandworm Team y la unidad 29155 como Ember Bear (nótese el caos en la nomenclatura de grupos APT al que ya hemos hecho referencia en este blog). Sin embargo, no todas las unidades del GRU que operan en el ciberespacio tienen el honor de tener un grupo APT asignado. En este post hablamos de la unidad 54777, una unidad militar del GRU involucrada en operaciones psicológicas (PSYOP), también a través del ciberespacio pero que, por ahora, no tiene un nombre de grupo APT asociado.

La Unión Soviética, y ahora Rusia, tiene una larga trayectoria en el ámbito de la desinformación y la guerra psicológica. De hecho, el objetivo de la “confrontación de información” es influenciar la percepción y el comportamiento del enemigo, de la población y de la comunidad internacional. La guerra psicológica se ha utilizado desde los orígenes de la inteligencia soviética, por parte del fundador de la Cheka, Felix DZERZHINSKI, hasta el conflicto actual con Ucrania. Para destacar la importancia de la guerra psicológica en la Rusia moderna, sólo un detalle: Aleksandr Gennadyevich STARUNSKY, antiguo responsable de la unidad militar 54777 de la que vamos a hablar aquí, fue ascendido por el propio Vladimir PUTIN al comité científico, bajo el Consejo de Seguridad de la Federación Rusa.

El GRU soviético, y el Ejército Rojo en su conjunto, consideraban la propaganda especial como parte de sus medidas activas. A pesar de que esta propaganda iba supuestamente dirigida a influenciar a las tropas enemigas, el régimen soviético la utilizó para subir la moral a sus propias tropas. Cuando la Unión Soviética se desmoronó, la Dirección de Propaganda Especial, responsable de las operaciones psicológicas militares, fue transferida al GRU, y unos años después, en 1994, se estableció como la unidad militar 54777. Esta transferencia no fue un asunto puramente burocrático: hizo las operaciones psicológicas rusas más agresivas de lo que eran en la época soviética. Mientras que en tiempos soviéticos las unidades de propaganda especial operaban exclusivamente durante las campañas militares, al menos teóricamente, con la transferencia al GRU estas operaciones comenzaron a ejecutarse tanto en tiempos de guerra como en tiempos de paz.

La unidad militar 54777 (VCh 54777, 72nd Special Service Center, 72nd Main Intelligence Information Center -GRITs- o Foreign Information and Communications Service), es todavía la responsable de las operaciones psicológicas del GRU. En la página web de Agentura, y en los conocidos como Aquarium Leaks, podemos encontrar una descripción detallada de esta unidad, junto a los históricos esfuerzos soviéticos, y actuales rusos, en el ámbito de la propaganda y la guerra psicológica.

Entre sus operaciones más destacadas, la unidad 54777 ha estado involucrada en campañas de desinformación acerca de la anexión rusa de Crimea en 2014, de la guerra civil en Siria y del conflicto en Ucrania. En tiempos de paz, esta unidad ha estado involucrada en operaciones contra elecciones en Europa y Estados Unidos, así como en campañas de desinformación acerca de la pandemia de COVID-19.

Además de PSYOP “tradicional”, la unidad 54777 incluye tanto capacidades SIGINT como capacidades en el ciberespacio. En el ámbito de la inteligencia de señales, esta unidad obtiene y analiza comunicaciones para generar inteligencia que pueda ser posteriormente utilizada en campañas de desinformación e influencia. En el ciberespacio, la unidad 54777 trabaja complementando las operaciones en el ciberespacio no sólo con PSYOP digitales: sus actividades incluyen operaciones de apoyo a unidades “ciber” del GRU, creación y diseminación de versiones falsas de sus propias operaciones en el ciberespacio, así como guerra electrónica y operaciones psicológicas en el nivel táctico.

La unidad 54777 lleva a cabo la mayor parte de sus operaciones en el ciberespacio a través de redes sociales, una actividad que comenzó con la revolución del Maidan. Además de redes sociales, esta unidad disemina desinformación y manipula a la opinión pública a través de plataformas digitales y foros públicos. Utiliza diferentes organizaciones pantalla, incluyendo InfoRos y el Instituto de la Diáspora Rusa, fundados por Aleksandr Gennadyevich STARUNSKY (a quien ya hemos hecho referencia). Estas organizaciones son “agencias de información” focalizadas en la vida política, económica y social de la Federación Rusa y otras ex Repúblicas Soviéticas, generando contenido tanto en ruso como en inglés.

Probablemente, la unidad 54777 está localizada en la 12ª Dirección del GRU, focalizada en operaciones de información. Supuestamente esta unidad está dirigida por la unidad 55111, que trataremos en otro post. De hecho, Aleksandr Gennadyevich STARUNSKY, antiguo mando de la unidad 54777, era el comandante adjunto de la unidad 55111 cuando fue ascendido al comité científico del Consejo de Seguridad. Según fuentes abiertas, la unidad 54777 tiene, o ha tenido, diferentes unidades encargadas de las operaciones psicológicas en cada distrito militar ruso, además del de Moscú:

• Distrito militar de Leningrado: unidad militar 03126, localizada en la region de Leningrado.
• Distrito militar central: unidad militar 03138, localizada en Yekaterinburgo.
• Distrito militar sur: unidad militar 03128, localizada en Rostov del Don.
• Distrito militar este: unidad militar 03134, localizada en Jabárovsk.

Una característica de todas estas unidades es su emblema: una combinación del símbolo internacional de la psicología, Ψ (“Psi”), y un clavel rojo, símbolo heráldico de la inteligencia militar rusa, tal y como muestra la imagen (de la web de Agentura):

Este artículo marca el inicio de una serie dedicada a explorar los Actores Estados más activos de los últimos años, con el propósito de comprender en profundidad sus operaciones, modus operandi, victimología y otros aspectos clave. En esta primera entrega, analizaremos el clúster Forest Blizzard y algunas de sus operaciones desde el inicio del conflicto entre Rusia y Ucrania en 2022.

El clúster Forest Blizzard – también conocido como APT28 o Fancy Bear – ha sido atribuido de forma colectiva por el Servicio de investigación del Congreso de EEUU a las unidades 26165, 74455 y 54777 del Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Estas unidades han sido identificadas como responsables de diversas operaciones ofensivas y de campañas de  desinformación. En concreto, la unidad 26165 ha estado implicada en operaciones a entidades políticas estadounidenses, como el Comité Nacional Demócrata junto a otras entidades como el IRA (Internet Research Agency) y el SVR (Servicio de Inteligencia Exterior), mientras que la Unidad 74455 ha realizado ciberataques como el malware NotPetya en 2017, o la liberación de correos electrónicos robados durante las elecciones presidenciales de 2016. Por su parte, la Unidad 54777, conocida como el 72º Centro de Servicios Especiales, se ha focalizado en operaciones psicológicas y campañas de desinformación a gran escala. La siguiente imagen muestra la estructura jerárquica de las organizaciones de inteligencia y sus respectivos clústers, basada en los análisis realizados por múltiples agencias de inteligencia gubernamentales y privadas.

Dentro de un ejercicio de Red Team, el Command and Control (C2) actúa como el engranaje principal dentro de la Cyber Kill Chain, ya que permite al adversario mantener el control sobre los sistemas comprometidos y, de esta manera, facilitar la obtención del control completo de la infraestructura de una organización.

Importancia

Un C2 permite desplegar un punto de control dentro de un ejercicio donde se prioriza el sigilo, de manera que crea el entorno clave de dominio sobre los defensores, dado que otorga un sistema de comunicación encubierta sobre los sistemas infectados. De esta manera, proporciona una serie de ventajas a un atacante, dado que permite efectuar comandos, exfiltrar datos sensibles y expandir su presencia por la red sin llegar a ser detectados.

Extrapolemos los puntos claves de un C2:

1. Persistencia, dado que permite mantener un control sobre los sistemas comprometidos a largo plazo.
2. Exfiltración, dado que permite extraer información de las redes víctimas sin llegar a ser detectado.
3. Pivoting, dado que permite realizar movimientos laterales para poder desplazarse y explotar sistemas de redes adyacentes.

Técnicas Implementadas

El objetivo de un C2 es mantener una comunicación continua y encubierta con los sistemas comprometidos por el Red Team. Con este objetivo en mente, implementan técnicas como las siguientes:

• Tunelización DNS: Permite la transmisión de datos a través de la encapsulación de los mismos mediante el protocolo DNS. Abusa de la confianza de la esencialidad del tráfico DNS en las redes corporativas, que generalmente suele estar permitido por los diferentes dispositivos de seguridad.
• C2 basado en HTTPS: Permite el establecimiento de la comunicación cifradas mediante HTTPS entre el atacante y el sistema comprometido. Con esta técnica se permite camuflar el tráfico malicioso del atacante con el tráfico web legítimo.
• Beaconing: Permite la comunicación mediante beacons a intervalos regulares o aleatorios, desde el sistema comprometido al C2. Normalmente se debe hacer una instalación de un implante malware en el sistema comprometido, pero la ventaja que tiene es que ayuda a evitar aquellos sistemas de seguridad más avanzados que se basan en una detección por patrones.
• C2 en Cloud: Permite la comunicación con el C2 mediante el uso de servicios cloud, como AWS, Drive, Dropbox, Azure, entre otros. La ventaja radica en que, si se ha detectado el uso de una de estas tecnologías durante la fase de reconocimiento, sería una buena aproximación utilizar está técnica para camuflar el tráfico malicioso como operaciones normales del usuario.
• C2 Satelital^[1]: Es una técnica donde se establece la comunicación entre el C2 y los sistemas comprometidos haciendo uso de enlaces satelitales. Este escenario requiere un alto nivel de sofisticación y recursos; sin embargo, proporciona un grado elevado de sigilo e indetectabilidad frente a los equipos de seguridad de las organizaciones. Este modelo tiene varias ventajas:
  • El tráfico C2 pasa a través de redes satelitales, evitando las rutas de internet convencionales. El rastreo de una dirección IP asociada a comunicaciones satelitales hacia una ubicación física resulta sumamente complejo de realizar.
  • Permite la simultaneidad en la unidireccionalidad y bidireccionalidad de la comunicación C2 según convenga. De este modo, reduce la posibilidad de ser detectado y facilita tanto el envío de comandos como la exfiltración de datos.
• P2P: Este modelo es interesante, dado que implica la generación de redes P2P entre los sistemas comprometidos para que se comuniquen directamente entre sí, de esta manera formando una red descentralizada. Esta técnica elimina la necesidad de un servidor C2 centralizado, aumentando la resiliencia de la red maliciosa.

En el dinámico y siempre cambiante entorno de la ciberseguridad, adelantarse a las amenazas es más crucial que nunca.

En S2 Grupo, en colaboración con el Centro Criptológico Nacional (CCN), hemos desarrollado y mejorado continuamente CARMEN, una herramienta innovadora diseñada para proteger a las organizaciones frente a las amenazas más sofisticadas.

¿Qué es CARMEN?

CARMEN (Centro de Análisis de Registros y Minería de Datos), es una solución integral para la detección y respuesta ante amenazas, específicamente diseñada para hacer frente a la evolución de las amenazas persistentes avanzadas (APTs). Esta herramienta es fundamental para los procesos de Threat Hunting, permitiendo a los equipos de seguridad identificar y neutralizar riesgos de manera proactiva.

El principal objetivo de CARMEN es generar inteligencia a partir del tráfico de red y las actividades de los usuarios dentro de la organización, filtrando y priorizando la información crítica. De esta manera, ayuda a evitar brechas de seguridad y a mitigar el impacto de los ciberataques. Con CARMEN, las organizaciones logran una visibilidad total de su infraestructura, facilitando tanto la detección temprana de amenazas como una respuesta ágil y efectiva.

En el contexto actual de la ciberseguridad se enfrentan dos bandos claramente diferenciados:

Por un lado, la industria del cibercrimen, que se ha consolidado como una de las principales fuerzas económicas a nivel global, ocupando uno de los primeros puestos en la economía mundial. Con ingresos que superan a muchas industrias legales, su objetivo principal es obtener beneficios económicos a través de ataques que van desde el robo de información y extorsión hasta la interrupción de servicios esenciales, ejecutados con un alto grado de habilidad técnica. Esto la convierte en una amenaza cada vez más y peligrosa sofisticada para gobiernos, empresas y ciudadanos.

Por otro lado, las organizaciones legales, que están obligadas a implementar diversas estrategias de ciberseguridad para reducir el impacto de posibles incidentes, cumplir con los mínimos en prevención y neutralización de amenazas, además de cumplir con normativas y estándares. Algunas de estas estrategias incluyen: evaluaciones de madurez (maturity assessment), herramientas de prevención, centros de operaciones de seguridad (SOC), herramientas de detección y respuesta en endpoints (EDR), evaluaciones de riesgos (risk assessment), simulacros, prevención de pérdida de datos (data loss prevention), entre otros.

Sin embargo, para considerarse verdaderamente maduras en ciberseguridad, las organizaciones deben ir más allá de lo básico y desarrollar estrategias avanzadas y alineadas con las tácticas del cibercrimen, dado que los adversarios no se limitan a técnicas convencionales. Por ejemplo, aparte de contar con herramientas de prevención, también es necesario conocer que un thread hijacking manipula el registro RIP/EIP del CPU para ejecutar su shellcode, o que las capacidades de Nobelium tienden a operar en memoria y menos en disco. De lo contrario, estaríamos abordando el problema de manera superficial.

El desafío radica en que muchas de estas organizaciones enfrentan limitaciones significativas, ya sea por presupuestos restringidos o por la falta de personal capacitado para enfrentar adversarios sofisticados. La detección de estas técnicas requiere un equipo especializado y proactivo, capaz no solo de identificar ataques avanzados, sino también de ofrecer una visión detallada del estado de la arquitectura de seguridad de la organización, superando el modelo reactivo o convencional de detección.

Por esta razón, el objetivo de este artículo es ayudar a estos equipos a identificar su madurez real en términos de capacidades de detección y neutralización, complejidad técnica y costes asociados. Para lograrlo, se presentan dos estrategias de detección distintas:

En una próspera ciudad costera, rodeada por el mar y montañas, se encontraba una empresa de compraventa de productos comestibles muy respetada, conocida por su enfoque innovador y atención al detalle. Para dar soporte a sus servicios, la empresa tenía desplegado un servidor de correo electrónico, utilizado para intercambiar mensajes, compartir datos confidenciales y coordinar proyectos con los clientes.

Una mañana, un cliente de la empresa recibió un correo aparentemente inofensivo de un remitente conocido. Dentro del mensaje había un enlace que prometía llevar a un sitio web con información interesante. Sin saberlo, al hacer clic en el enlace, el cliente activó un pequeño fragmento de código JavaScript oculto en el correo. Este código era el inicio de un ataque de Cross Site Scripting (XSS), una vulnerabilidad que permitía a un atacante inyectar scripts maliciosos en las páginas web visitadas por otros usuarios.

El ataque aprovechaba una vulnerabilidad XSS pública, cuyo CVE es CVE-2020-8512. Esta vulnerabilidad permite que los scripts maliciosos se ejecuten directamente en los navegadores de los usuarios afectados cuando abren los correos infectados. En este caso, cada vez que alguien interactuaba con estos mensajes, el script malicioso se activaba, capturando información confidencial, como credenciales de inicio de sesión y correos electrónicos, enviándola al atacante sin dejar rastro visible.

La trampa del ciberdelincuente había sido planificada de manera sigilosa. El atacante sabía que al haber detectado una vulnerabilidad de alta criticidad podía aprovecharla con el objetivo de robar los datos de los clientes. De esta manera, decidió revisar diversas herramientas que le pudieran permitir efectuar el ataque que él esperaba y encontró la herramienta JS-TAP.

En el mundo de la ciberseguridad existe una vulnerabilidad ampliamente conocida como Path Traversal, que puede afectar a los servidores web, entre ellos los Nginx. Esta representa una amenaza significativa para la integridad y seguridad de la información.

¿En qué consiste?

Esta vulnerabilidad permite que un atacante pueda acceder y leer archivos fuera del directorio raíz designado. Por lo tanto, un atacante podría manipular las solicitudes de archivos para llegar a recursos que no deberían ser accesibles.

¿Cómo se aprovecha dicha vulnerabilidad? Esto se consigue mediante la manipulación de rutas de directorio en las URLs de solicitudes HTTP.

En la siguiente imagen se puede ver un ejemplo de cómo se accedería al archivo passwd del servidor a través de la web. Los símbolos de “..” indican la cantidad de directorios que hay entre los archivos mostrados en la web y la ubicación de la carpeta raíz del servidor.

Que las defensas se prueban con ataques es algo ya plenamente asumido por muchas organizaciones. Hace ya muchos años que los ejercicios de Red Team se han convertido en un elemento fundamental para evaluar y mejorar la seguridad de las infraestructuras TI más avanzadas. En ellos, uno o varios hackers simulan el comportamiento de un atacante y ponen a prueba durante un tiempo determinado tanto la seguridad de un conjunto de activos o usuarios como las capacidades defensivas del centro de operaciones de seguridad (SOC) de la organización, cuyos miembros no deben saber que el ejercicio se está llevando a cabo.

Los resultados obtenidos se reflejan en un informe que contiene una o varias narrativas de ataque e información sobre las debilidades identificadas. Este informe es utilizado luego por la organización para mejorar la seguridad, minimizando el impacto de futuros ataques reales.

Los ejercicios de Red Team son un excelente recurso, no solamente para mejorar las defensas de la organización, sino también para que el personal del SOC se enfrente a una situación de ataque realista de la que poder aprender, con la ventaja añadida de que luego puede sentarse tranquilamente con los atacantes a comentar la jugada.