GRU: unidad militar 29155

Históricamente, la unidad militar 29155 del GRU ruso (VCh 29155, 161st Specialist Training Center) ha estado involucrada en medidas activas como subversión, asesinatos o sabotaje. Recordemos que las medidas activas soviéticas o rusas hacen referencia a operaciones encubiertas con el objetivo de influenciar la política o la opinión pública de terceros países. Estas medidas incluyen desde actividades en el ciberespacio hasta “wet stuff” (una mala traducción sería “cosas que manchan las manos”: asesinatos, chantajes, sabotajes…). Entre otras operaciones famosas de esta unidad destacan el sabotaje de un depósito de armas en República Checa (2014), un golpe de estado en Montenegro (2016) o el intento de envenenamiento de los Skripal en Salisbury (2018).

A pesar de que la unidad 29155 era conocida por los analistas, su existencia saltó a medios generalistas cuando se acusó a esta unidad de ser la causante del “Síndrome de la Habana”. Este síndrome se identificó entre diplomáticos y personal de inteligencia estadounidense y canadiense destinado en Cuba, en 2016, y sus síntomas se replicaron en otras partes del mundo. Estos síntomas incluyen problemas visuales, vértigo o dificultades cognitivas que se manifiestan, según los afectados, tras haber escuchado sonidos extraños. Desde que se descubrió el síndrome de La Habana, su origen ha sido controvertido. Diferentes estudios lo han asociado a actividades de la inteligencia rusa relacionadas con armamento de nueva generación, desde armas acústicas a energía dirigida.

[Read more…]

Feliz Navidad

Desde Security Art Work queremos desearos unas felices fiestas y lo mejor para este 2024 que está a punto de comenzar. Y en estos tiempos de postales generadas por inteligencia artificial, jerseys tipificados en el Código Penal y comida y bebida por encima de nuestras posibilidades, os enviamos nuestra felicitación navideña. Gracias a las herramientas de los dioses, sencilla y ligera, para que no se os llene el disco duro, ni el de vuestro ordenador ni el del ordenador de otras personas.

begin 644 saw23.awk
M0D5'24X@>PIS<F%N9"@I.PIR97-E=#TB7#`S,ULP;2(["F@],C`[<SUH+3$[
M;#TQ.PIF;W(@*&H@/2`Q.R!J(#P]<SL@:BLK*2!P<FEN=&8H(B`B*3L*<')I
M;G1F*")<,#,S6S$[.31M(BD[(`IP<FEN=&8H(D!<;B(I.PIF;W(@*&D],3MI
M/#UH.VDK*RD@>PH)9F]R*&H],3MJ/#US.VHK*RD@<')I;G1F*"(@(BD["B`@
M("`@("`@<RTM.PH@("`@("`@(&9O<BAJ/3$[:CP];#MJ*RLI('L*("`@("`@
M("`)<')I;G1F*")<,#,S6S$[.3)M(BD["@D)83UI;G0H,3`J<F%N9"@I*3L*
M"0EI9BAA(3TS*7!R:6YT9BAA*3L*"0EE;'-E>PH)"0EP<FEN=&8H(EPP,S-;
M-3LS-&TB*3L@"@D)"7!R:6YT9B@B*B(I.PH)"0EP<FEN=&8H<F5S970I.PH)
M"7T*("`@("`@("!]"B`@("`@("`@;"L],CL*("`@("`@("!P<FEN=&8H<F5S
M970I.PH@("`@("`@('!R:6YT9B@B7&XB*3L*"7T*='<]:"\R.PIT:#UH+S0[
M"G1S/6@M='<O,CL*9F]R("AI/3$[:3P]=&@[:2LK*2!["@EF;W(H:CTQ.VH\
M/71S.VHK*RD@<')I;G1F*"(@(BD["B`@("`@("`@<')I;G1F*")<,#,S6S$[
M,S%M(BD["B`@("`@("`)9F]R("AJ/3$[:CP]='<[:BLK*2!P<FEN=&8H:6YT
M*#$P*G)A;F0H*2DI.PH@("`@("`@('!R:6YT9BAR97-E="D["B`@("`@("`)
M<')I;G1F*")<;B(I.PI]"G!R:6YT9B@B7#`S,ULQ.SDT;2(I.PIP<FEN=&8H
M(D1E<V1E(%-E8W5R:71Y($%R="!7;W)K(&]S(&1E<V5A;6]S($9E;&EZ($YA
M=FED860@>2!P<L.S<W!E<F\@,C`R-%QN(BD["G!R:6YT9BAR97-E="D["GT*
`
end

Por cierto, si sabes abrir el sobre y visualizar la felicitación sin ayuda de Google (o de ChatGPT) eres población de riesgo. Feliz Navidad y cuidado con los excesos de estos días :)

Operaciones de proximidad en el ciberespacio

En el ámbito de las operaciones en el ciberespacio, la mayor parte de operaciones de ataque o explotación son remotas, es decir, se realizan a través de tecnologías que permiten al actor hostil no estar físicamente cerca de su objetivo: un acceso vía VPN, un correo electrónico o enlace dañino que instala un implante en la víctima, una vulnerabilidad remota explotada exitosamente, etc. Pero un pequeño porcentaje de operaciones requieren un acercamiento físico entre el actor hostil y su objetivo: son las operaciones de proximidad, llamadas también Sneaker Operations o CACO (Close Access Cyberspace Operations).

Crypto AG CX-52. Fuente: WikiPedia.

Cuando no todo estaba conectado a Internet, las operaciones de proximidad eran casi la única vía de acceso a los sistemas o la información del objetivo; para robar información había que colocar un micro o una cámara colándose por la noche en un edificio, modificando una cadena de suministro o situándose en un edificio enfrente de las instalaciones del objetivo, por poner unos ejemplos. Algunas de las acciones de adquisición de inteligencia de señales requerían esta proximidad, y esta proximidad evidentemente implicaba un riesgo significativo de ser neutralizado, con todas las implicaciones que esta neutralización puede tener. Algunos ejemplos muy conocidos de operaciones de proximidad para adquisición de inteligencia de señales implican (presuntamente) a la DGSE francesa implantando micros en los asientos business de los vuelos de Air France entre París y Nueva York, a los soviéticos (presuntamente) regalando un Gran Sello con un implante al embajador estadounidense en la URSS o a alemanes y estadounidenses (presuntamente) manipulando dispositivos de cifra de Crypto AG en la operación Rubicon.

[Read more…]

De la inteligencia a la detección de amenazas

La detección de las amenazas se realiza en buena parte a partir de indicadores de compromiso. Estos indicadores son observables que identificamos en la gestión de un incidente o en una investigación, que nos llegan de terceros en forma de feeds de inteligencia, que descargamos de plataformas como MISP, que compartimos entre grupos de trabajo… En definitiva, los descubrimos o nos los descubren. Pero ¿de dónde vienen estos indicadores? De una u otra forma los indicadores, parte fundamental para la caracterización de una amenaza (actor, operación…) provienen del análisis de inteligencia. En este post vamos a comentar el camino desde la adquisición de información hasta la generación de indicadores de compromiso para la detección de una amenaza. Este camino se resume en la figura siguiente:

Todos sabemos que las diferentes disciplinas de adquisición de inteligencia juegan un papel fundamental en la detección de amenazas en el ciberespacio. En este ámbito ciber cada una de estas disciplinas (simplificando, SIGINT, MASINT, HUMINT, OSINT y GEOINT) tiene un peso específico y aporta un valor determinado, conformando la base de lo que llamamos ciber inteligencia. Por ejemplo, el rol de la inteligencia de señales tiene habitualmente mucho más peso que el de la inteligencia geoespacial, y las fuentes humanas aportan mucha menos inteligencia que las señales, pero bien manejadas, de mucho más valor.

[Read more…]

ATT&CK reconnaissance: críticas constructivas

Sin duda, MITRE ATT&CK se ha convertido en el marco de trabajo de referencia para la estructuración (y análisis, y detección…) de tácticas y técnicas ligadas a operaciones ofensivas. Este estándar de facto constituye un esfuerzo enorme que sirve de gran ayuda para todos los que trabajamos en seguridad, pero también tiene muchas opciones de mejora, al ser un trabajo en curso y permanente actualización. Algunas de las críticas a MITRE ATT&CK pasan por la estructura plana de técnicas asociadas a cada táctica, sin ningún tipo de estructura que facilite su análisis.

En particular, en el caso de la táctica Reconocimiento, en la que un actor hostil trata de obtener información sobre su objetivo a través de diferentes medios, MITRE ATT&CK proporciona igualmente una estructura plana para las técnicas, como en el resto de tácticas, pero en este caso mezcla conceptos que pueden inducir a error y que no constituirían técnicas en sí mismas. Veamos: MITRE ATT&CK define las siguientes técnicas para la táctica “Reconnaissance” (no detallamos al nivel de sub técnica):

IDTechnique
T1595Active Scanning
T1592Gather Victim Host Information
T1589Gather Victim Identity Information
T1590Gather Victim Network Information
T1591Gather Victim Org Information
T1598Phishing for Information
T1597Search Closed Sources
T1596Search Open Technical Databases
T1593Search Open Websites/Domains
T1594Search Victim-Owned Websites
[Read more…]

Explotando datos de APT for fun and (no) profit (IV): conclusiones

Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Hemos obtenido algunos datos para soltar frases en las charlas de APT (por favor, no olvidéis usarlos junto a las frases de “El Arte de la Guerra”, de Sun Tzu, que nunca pasa de moda, y comentar lo del eslabón más débil de la cadena y demás :). Con algo de tiempo, podemos obtener conclusiones más o menos interesantes, o más o menos estúpidas, en relación a las actividades, intereses, orígenes… de los grupos APT. Y explotando otros datasets (¿vamos a por MITRE ATT&CK?) podemos ampliar o complementar estas conclusiones.

Algunos de los datos que podemos concluir después de este pequeño análisis:

  • Parece claro que Rusia juega en la Liga de Campeones de las APT; es el país líder en todo tipo de actividades hostiles, desde el sabotaje hasta el espionaje o la delincuencia económica.
  • El líder de todos los grupos APT es también ruso: Turla, operando desde hace casi un cuarto de siglo (y en este caso sí que podemos confirmar que sigue vivo) y con un abanico de objetivos impresionante.
  • El grupo al que los analistas prestan más atención es también ruso: APT28, el más investigado y, casi por este motivo, el que más nombres diferentes tiene.
  • El número de actores con capacidades CNA se está incrementando en los últimos años, de nuevo con Rusia a la cabeza.
  • Aparte de los actores habituales, dos países han estado particularmente activos durante los últimos años: Irán y Corea del Norte.
  • Sería interesante identificar un nuevo parámetro para cada actor, similar a “visto por última vez”, que nos permita saber cuánto tiempo un grupo ha estado activo, o si lo está en estos momentos.
  • Usar diferentes nombres, en función de quién lo llama, para el mismo grupo es un caos a la hora de procesar datos; en este sentido, el esfuerzo de MISP para identificar un UUID por grupo es de agradecer (https://github.com/MISP/misp-galaxy/blob/main/clusters/threat-actor.json#L2434),  como bien nos ha indicado @adulau en Twitter.
  • Con algo de imaginación y gnuplot puedes tener tu propio Magic Quadrant de APT :)
  • Importante: esto es un simple post, no un artículo científico. No esperes verdades absolutas, no discutibles y que sienten cátedra aquí.
  • Y la última conclusión: AWK es nuestro amigo. Recordad:

Explotando datos de APT for fun and (no) profit (III): análisis (no tan) simple

Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Una vez que hemos respondido a algunas preguntas tontas o simplemente sencillas, es el momento de plantearnos algunas más complejas, así que empecemos…

¿Los actores con capacidades CNA están incrementando sus actividades en los últimos años?

En las preguntas simples hemos identificado que el sabotaje o la destrucción no son las motivaciones más habituales en los actores de la amenaza. Pero estamos interesados en ellos, por lo que veamos sus actividades en el tiempo:

for i in `grep "Sabotage and destruction" [0-9]*.txt|awk -F: '{print $1}'`; do grep \"meta\",\"date\"\] $i|awk '{print $2}'|sed 's/\"//g';done|awk '{a[$0]++}END{for(k in a){print k,a[k]}}’ >years.cna

Dibujando los resultados, tenemos:

gnuplot> set boxwidth 0.5
gnuplot> set xtics 1
gnuplot> set ytics 1
gnuplot> set yrange [0:5]
gnuplot> plot 'years.cna' with boxes

Desde 2012, el número de actores con capacidades CNA -o al menos su salto a la fama- se ha incrementado de forma considerable: de 14 grupos totales, 9 han arrancado sus actividades en los últimos ocho años, por lo que podríamos decir que es una tendencia al alza. Por curiosidad, el actor más antiguo con capacidades CNA empezó en 2001. ¿Adivinamos su nombre? Efectivamente, Equation Group… 

[Read more…]

Explotando datos de APT for fun and (no) profit (II): análisis simple

Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Con la información ya procesada y lista podemos empezar el análisis por la parte mas sencilla: las preguntas tontas y las preguntas simples que en muchas ocasiones nos planteamos. Allá vamos.

¿Cuáles son los grupos con más sinónimos?

La pregunta más tonta que siempre me he planteado es por qué usamos tantos nombres diferentes para el mismo actor. ¿Quién tiene el privilegio de ser el grupo con más nombres? Veamos:


$ for i in [0-9]*.txt; do c=`grep synonyms\", $i|grep -vi operation|wc -l `; echo $c $i;done |sort -n|tail -1
18 233.txt
$

El resultado es “233.txt”, que corresponde a APT 28, con 18 sinónimos; el segundo clasificado, con 16 nombres diferentes, es Turla. Casualmente, ambos de Rusia (veremos luego algunas curiosidades de Rusia).

Aparte de esto, una opinión personal: ¡18 nombres para el mismo grupo! Definitivamente, y una vez más, necesitamos un estándar para los nombres de actores hostiles. Esta puede ser tu primera frase cuando des una charla de APT: donde está un comité ISO cuando se le necesita?

¿Qué grupos son de mi país?

Aparte de los actores que todos tenemos en mente (Rusia, China…), ¿tenemos grupos españoles? ¿Tenemos grupos de otros países relevantes? El código ISO 3166-1 para España es ES, por lo que podemos buscar actores españoles -y de otros países- con una orden simple:

[Read more…]

Explotando datos de APT for fun and (no) profit (I): adquisición y procesamiento

Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Cuando asistimos a charlas relacionadas con APT -o las damos-, a veces oímos frases como “la mayor parte de los actores se focalizan en robo de información” o “Rusia es uno de los actores más activos en el panorama”. Pero, ¿de dónde vienen estas frases? Hemos pasado una noche entera explotando datos relativos a APT por diversión (y for (no) profit) para proporcionar curiosidades, hechos, datos… que puedes usar desde ya mismo en tus charlas! :)

Desde 2019 el equipo de ThaiCERT publica en PDF “Threat Group Cards: A Threat Actor Encyclopedia” y proporcionan un portal de acceso libre (https://apt.thaicert.or.th/cgi-bin/aptgroups.cgi) con toda la información relativa a estos grupos, obtenida de fuentes abiertas. En este portal, además de navegar por los diferentes grupos y sus herramientas, se presentan estadísticas acerca de sus actividades (países origen, objetivos, herramientas más usadas…), y la mayor parte de estos grupos son considerados APT (en estos momentos, 250 de 329, con la versión de base de datos actualizada a fecha 20 de octubre de 2020). Pero, ¿y si necesitamos estadísticas o correlaciones específicas que no están en la página web?

[Read more…]

Los IOC han muerto, ¡larga vida a los IOC!

Un indicador de compromiso (IOC) se define como una pieza de información que puede utilizarse para identificar el posible compromiso de un entorno: desde una simple dirección IP hasta un conjunto de tácticas, técnicas y procedimientos usados por un atacante en una campaña. Aunque cuando hablamos de IOC siempre tendemos a pensar en indicadores como IP o dominios, el concepto va más allá, y en función de su granularidad, podemos encontrar tres tipos de indicadores:

  • Indicadores atómicos: los que no pueden ser descompuestos en partes más pequeñas sin perder su utilidad, como una dirección IP o un nombre de dominio.
  • Indicadores calculados: los que se derivan de datos implicados en un incidente, como el hash de un fichero.
  • Indicadores conductuales: los que a partir del tratamiento de los anteriores, permiten representar el comportamiento de un atacante, sus tácticas, técnicas y procedimientos (TTP).
[Read more…]