(Ciber) GRU (VI): y ahora, ¿qué?

La información que ha visto la luz durante 2018, tanto la oficial de los gobiernos de Reino Unido, Estados Unidos, Holanda y Canadá, como la no oficial de investigaciones adicionales, tanto particulares como de diferentes organizaciones (destacando a Bellingcat y RFE/RL, Radio Free Europe/RadioLiberty) ha expuesto mucha información interesante del GRU. Nos ha facilitado datos de sus unidades (identificación, estructura, funciones, ubicación física…), de personas que forman parte del servicio (identidades, empleos, funciones, aliases, relaciones, ámbito personal…) y de sus operaciones (objetivos, TTP, software, artefactos, IOC…). Adicionalmente, han puesto de manifiesto unas medidas deficientes de seguridad operacional, medidas que han permitido ampliar más si cabe las investigaciones iniciales y han sacado a la luz identidades, domicilios particulares, relaciona familiares… de miembros -o antiguos miembros- del GRU.

De todas las investigaciones realizadas a partir de los datos publicados por diferentes gobiernos, destacan las realizadas por Bellingcat, organización que investiga temas basándose principalmente en fuentes abiertas. Estamos hablando ahora de investigaciones privadas, no refrendadas por gobiernos y basadas sobre todo en OSINT, algo radicalmente diferente a las declaraciones de un gobierno con material probatorio que, por supuesto, no ha sido obtenido de fuentes públicas -ya hablaremos de dónde puede provenir esta información-. Incluso podemos dudar de la credibilidad de estas fuentes, ya que hay muchas voces que defienden que todo lo que publican es mentira, un montaje de Occidente, etc. Quién lo sabe… Estas investigaciones están basadas en fuentes abiertas e insistimos en que Bellingcat es una organización privada y por tanto sus investigaciones también lo son; pero el 19 de diciembre de 2018, como hemos adelantado anteriormente, el gobierno estadounidense ([1]) parece refrendar de manera oficial una de las principales investigaciones de Bellingcat, la que identifica como dos miembros del GRU, Héroes de la Federación Rusa, a las personas que intentaron asesinar a los Skripal en marzo: a partir de los detalles publicados por el gobierno británico sobre las identidades falsas de los agentes del GRU que envenenaron a los Skripal (Alexander PETROV y Ruslan BOSHIROV), Bellincat publicó en el mismo mes de septiembre y principios de octubre diferentes artículos, como [2], que mostraban las identidades reales de los sospechosos y confirmaba su relación con el GRU. 

En cualquier caso, mucho más interesante para nosotros es la relación de miembros o antiguos miembros de la Unidad 26165 del Servicio ([3]), publicada el mismo día cuatro de octubre, en el que diferentes gobiernos remataron el mal año del GRU; ese mismo día, a partir de las identidades de los miembros de la Unidad sacadas a la luz por la inteligencia holandesa, Bellingcat realiza un rastreo en fuentes públicas y semipúblicas e identifica a más de 300 miembros de la Unidad gracias a las direcciones de registro de sus automóviles, que coincidían con la sede del Servicio. En la RuNET existe información privada de ciudadanos rusos -domicilios, matrículas, números de teléfono- a disposición de cualquier usuario de Internet (no entramos a comprar bases de datos en el mercado negro, que también sería posible); a partir de una identidad (por ejemplo un nombre, ligado a una fecha de nacimiento o a la dirección de la Unidad) y con un poco de tiempo es posible obtener datos personales, e igualmente posible identificar, por ejemplo, a personas que han registrado un vehículo en una determinada dirección. De esta manera, Bellingcat asocia a esos potenciales miembros de la Unidad 26165 -o antiguos miembros, o personas que han tenido relación con la Unidad- y extrae nombres, matrículas, direcciones personales, perfiles de redes sociales, en lo que se considera una de las más importantes fugas de información de la historia.

Sin ser Bellingcat, con un poco de tiempo y usando Google Translate para los que no sabemos ruso, cualquier usuario de Internet puede llegar a esos mismos datos personales, encontrando relaciones más que interesantes; por supuesto, es necesario considerar la fiabilidad de las fuentes, aunque los datos que directamente hemos podido contrastar apuntan a que, al menos en su mayor parte, la información extraída es cierta. Hablaremos en otro momento del rastreo OSINT en la RuNET, pero en los siguientes apartados abordaremos lo que hemos aprendido del GRU durante 2018: parte de su estructura ciber, algunos de sus objetivos, diferentes TTP de sus operaciones y ciertas consideraciones OPSEC que quizás debían haberse tenido en cuenta antes de abordar una operación close access.

Referencias

[1] US Department of the Treasury. Notice of Intended Removals; Ukraine-/Russia-related Designations; Cyber-related Designations. Diciembre 2018. https://www.treasury.gov/resource-center/sanctions/OFAC-Enforcement/Pages/20181219_33.aspx

[2] Bellingcat. Skripal Suspects Confirmed as GRU Operatives: Prior European Operations Disclosed. Septiembre, 2018. https://www.bellingcat.com/news/uk-and-europe/2018/09/20/skripal-suspects-confirmed-gru-operatives-prior-european-operations-disclosed/

[3] Bellingcat. 305 Car Registrations May Point to Massive GRU Security Breach. Octubre, 2018. https://www.bellingcat.com/news/2018/10/04/305-car-registrations-may-point-massive-gru-security-breach/

(Ciber) GRU (V): octubre 2018

Si 2018 ya era un mal año para el GRU, el día cuatro de octubre diferentes países occidentales dan la puntilla final al Servicio publicando información de sus operaciones y agentes: se trata de Holanda, Reino Unido, Canadá y Estados Unidos -e inmediatamente Australia y Nueva Zelanda apoyan, como es normal, a sus aliados-; resumiendo: Holanda y FVEY rematan el annus horribilis del Servicio, como vamos a ver en este post.

Holanda

El día cuatro de octubre la inteligencia militar holandesa, el MIVD (Militaire Inlichtingen- en Veiligheidsdienst) publica en rueda de prensa ([1]) la operación ejecutada en abril en la que se identifica y expulsa del país a cuatro miembros del GRU acusados de atacar a la Organización para la Prohibición de las Armas Químicas (OPCW); al igual que hizo el Departamento de Justicia estadounidense en julio, proporciona todo lujo de detalles sobre las identidades, técnicas, medidas de seguridad, objetivos… de los agentes del GRU actuando en suelo holandés con pasaporte diplomático. Según esta información, cuatro agentes del Servicio (dos adscritos a la Unidad 26165, Aleksei SERGEYEVICH MORENETS y Evgenii MIKHAYLOVICH SEREBRIAKOV, y dos adscritos posiblemente a la Unidad 22177, Alexey VALEREVICH MININ y Oleg MIKHAYLOVICH SOTNIKOV) aterrizan el 10 de abril en Holanda y son recibidos por personal de la Embajada Rusa en este país, alquilan un coche y ejecutan una operación de proximidad (close access) para intentar comprometer la seguridad de la OPCW. Son identificados, se les incauta dinero en metálico y equipamiento técnico (que por supuesto es analizado al detalle, mostrando datos de otras operaciones) que incluye dispositivos para atacar redes inalámbricas y son acompañados a un avión de Aeroflot que los devuelve a Rusia. Ante las graves acusaciones holandesas, Rusia defiende que sus agentes simplemente realizaban una inspección de seguridad en la embajada del país en Holanda.

Reino Unido

El NCSC (National Cyber Security Center), dependiente del GCHQ británico, propina también el cuatro de octubre un nuevo y duro golpe al GRU [2]: como hemos dicho con anterioridad acusa al servicio ruso, directa y abiertamente, de diferentes ciberataques, entre ellos contra la agencia anti dopaje WADA o el DNC estadounidense; sin el despliegue de pruebas de los holandeses, los británicos acusan al GRU -y lo identifican directamente con APT28- de ataques contra la Agencia Internacional Anti Dopaje (World Anti Doping Agency, WADA), el DNC, infraestructuras críticas de Ucrania o la Organización para la Prohibición de Armas Químicas (Organization for the Prohibition of Chemical Weapons, OPCW). En todos los casos se explicita “NCSC assess with high confidence that the GRU was almost certainly responsible”: esta elevada confianza en sus afirmaciones hace que el gobierno británico acuse directamente al Kremlin de estos ataques; se indica además que el NCSC seguirá trabajando con sus aliados para sacar a la luz las actividades y los métodos del GRU (frase especialmente significativa).

USA

Ese mismo día el Departamento de Justicia publica una nueva acusación contra agentes del GRU; en esta ocasión se identifica a siete agentes del Servicio, cuatro de los cuales son los expulsados de Holanda en abril y los tres restantes habían sido identificados en julio por el mismo Departamento. En la siguiente tabla se muestra el resumen de estas identidades:

Unidad Nombre Empleo Cargo Aliases Acusaciones previas
26165 Aleksei SERGEYEVICH MORENETS

Lexa
26165 Evgenii MIKHAYLOVICH SEREBRIAKOV

Zhenya
26165 Artem ANDREYEVICH MALYSHEV Teniente
djangomagicdev realblatr DNC
26165 Ivan SERGEYEVICH YERMAKOV

Kate S. Milton James McMorgans Karen W. Millen DNC
26165 Dimitry SERGEYEVICH BADIN
Ayudante Jefe de Departamento
DNC
22177 Alexey VALEREVICH MININ



¿22177? Oleg MIKHAYLOVICH SOTNIKOV



El Departamento de Justicia acusa ([3]) a todos ellos de ataques, además de a empresas como WestingHouse Electric Company, a organizaciones anti doping como la WADA, de la que ya hemos hablado, la USADA (US Anti Doping Agency) o el CCES (Canadian Centre for Ethics in Sport), entre otros; en especial, y de ahí el asunto de la orden de detención emitida por el FBI que se muestra en la imagen, el GRU aparentemente se focalizaba en el ataque a este tipo de organizaciones ligadas al deporte, quizás a raíz de las acusaciones contra Rusia de dopaje sistemático de sus atletas y su impacto en las olimpiadas de Rio de Janeiro de 2016.

Cartel de búsqueda publicado por el FBI (octubre 2018)

Canadá

Por último, en la misma jornada Canadá también se suma a las acusaciones oficiales contra el GRU manifestando de forma pública ([4]), aunque de manera más escueta que el resto de países, que el Servicio ruso, de nuevo identificado con APT28, ha atacado a la WADA -con sede central en Canadá- y al Canadian Centre for Ethics in Sport, y responsabiliza también al GRU de los ataques a la OPCW en Holanda, apoyando así a sus aliados. Todo ello, como en casos anteriores, con high confidence, Por este motivo, el gobierno canadiense considera al gobierno ruso directamente responsable de una violación de las leyes internacionales y de las normas establecidas.

Referencias

[1] Ministerio de Defensa de Holanda. GRU close access cyber operation against OPCW. Octubre, 2018. https://english.defensie.nl/binaries/defence/documents/publications/2018/10/04/gru-close-access-cyber-operation-against-opcw/ppt+pressconference+ENGLISH+DEF.pdf

[2] NCSC. Octubre 2018. https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposed

[3] DoJ. U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations. Octubre, 2018. https://www.justice.gov/opa/pr/us-charges-russian-gru-officers-international-hacking-and-related-influence-and

[4] Gobierno de Canadá. Canada identifies malicious cyber-activity by Russia. Octubre, 2018. https://www.canada.ca/en/global-affairs/news/2018/10/canada-identifies-malicious-cyber-activity-by-russia.html

(Ciber) GRU (IV): septiembre 2018

Serguei Skripal era un agente del GRU que había sido detenido en el año 2004, acusado de colaborar con el MI6 británico y condenado por alta traición hasta que en 2010 fue canjeado por agentes rusos detenidos en el marco de la Operación Ilegales. Desde entonces vivía en Reino Unido, aparentemente alejado de cualquier actividad “molesta” ligada a su pasado como miembro del Servicio. Sin embargo, en marzo de 2018 aparece inconsciente junto a su hija Yulia -de visita en Reino Unido- en un banco de Salisbury, supuestamente víctima de un ataque con Novichok, un agente nervioso soviético, del que Reino Unido acusa a Rusia sin muchos más detalles.

A finales de junio dos británicos, un hombre y una mujer, son ingresados en el hospital del distrito de Salisbury; los había traído una ambulancia desde Amesbury, a pocos kilómetros de donde fueron envenenados el ex agente del GRU y su hija. La investigación confirma que han sido envenenados también con Novichok, aparentemente por accidente: ninguno de ellos tenía relación previa con lo sucedido en marzo y, posiblemente, encontraron por casualidad el agente nervioso en lo que parecía ser una botella de perfume abandonada en un parque. Al rociarse, se contaminaron; la mujer murió a principios de julio a consecuencia de los efectos de la contaminación. [Read more…]

(Ciber) GRU (III): julio 2018

Como hemos dicho, si hasta este año el GRU era uno de los servicios más opacos del mundo, en 2018 todo cambia. Tres hechos destacan en la cronografía, que concluyen con la muerte del Teniente General KOROBOV en noviembre; vamos a ver en este apartado el primero de ellos -y en los sucesivos los dos siguientes-, ocurrido en el mes de julio.

El trece de julio el Departamento de Justicia (DoJ) estadounidense publica [1], un documento de acusación contra doce agentes del GRU -citados directamente con nombre y apellidos- a los que relaciona con una posible injerencia rusa en las elecciones presidenciales de 2016. Quien firma el documento es nada más y nada menos que Robert Mueller, asesor del DoJ que coordina las investigaciones sobre este ámbito -el de la relación de Rusia con la selecciones presidenciales estadounidenses- y que, entre otras cosas, fue director del FBI durante más de diez años. Tras esta acusación, el FBI incluye entre sus “Cyber most wanted” a los doce agentes del servicio, resaltando que pueden ir armados y son peligrosos; hasta ese momento, el único servicio ruso que tenía el privilegio de contar con agentes entre los más buscados por el FBI era el FSB. [Read more…]

Ciber (GRU) (II): SIGINT histórica

El GRU, la Unidad Militar 44388, obtiene y procesa inteligencia de múltiples disciplinas, incluyendo IMINT, SATINT y por supuesto OSINT, con necesidades de información ligadas al ámbito militar, político, tecnológico, económico y ecológico/energético ([1]). Ya se indicó en el artículo dedicado al GRU, dentro de la serie relativa a la Comunidad de Ciberinteligencia Rusa, que la Sexta Dirección del GRU ha tenido históricamente las atribuciones SIGINT (COMINT y ELINT) del Servicio; una excelente descripción de estas atribuciones se encuentra en [2]; en la imagen, la estructura histórica  del GRU: 

La Sexta Dirección, directamente dependiente del Director Adjunto para Asuntos Técnicos del Servicio, se estructuraba en cuatro divisiones:  [Read more…]

(Ciber) GRU (I): Introducción

Como ya adelantamos en el post donde se hablaba de él, dentro de la serie sobre la Comunidad de Ciberinteligencia rusa, el GRU (GU) es el más opaco de los servicios rusos, manteniendo casi intacta su herencia soviética frente a los “occidentalizados” FSB o SVR: de hecho, la estructura y funcionamiento del Servicio no ha sido especialmente conocida, siendo la principal referencia [1] hasta hace más bien poco. Más allá de datos puntuales de operaciones sin una atribución clara, o de las identidades de su Director y Directores Adjuntos -nada secreto-, poco o nada se sabía del Servicio. Sin embargo, y seguramente muy a pesar del GRU, en 2018 hay -hasta ahora- tres hechos que dan un giro radical a esta opacidad: [Read more…]

Las herramientas de los dioses

Hoy en SAW no vamos a hablar de seguridad sino de religión. De la religión verdadera, de la buena: de Unix. Y de sus dioses: Kernighan, Ritchie, Thompson… podríamos citar unos cuantos. Y de las herramientas que, en los años setenta, estos dioses nos enviaron a los pobres mortales, como el maná caído del cielo para el pueblo elegido. Y es que estos dioses crearon un sistema operativo de verdad, con unas herramientas técnicamente maravillosas y una filosofía muy sencilla: capacidades simples que combinadas hacen tareas complejas. La perfección. La vida es Unix ejecutando un script. Han pasado más de cuarenta años y nosotros, pobres mortales que éramos el pueblo elegido, ¿qué hemos hecho en este tiempo? Tratar de deshonrar ese legado divino con capas artificiales e inútiles (“de abstracción”, las llaman, para tratar de darles sentido) que introducen dos problemas innecesarios en cualquier entorno tecnológico “moderno”: complejidad, y por tanto probabilidad de error, y lentitud. Sirva de ejemplo el ejecutable “true”, al hilo de la historia que hace poco comentaba Rob Pike en Twitter:

$ >mytrue;chmod +x mytrue
$ ./mytrue
$ echo $?
0
$

Un programa cuya única finalidad es devolver siempre 0. Un ejecutable vacío. VACÍO. No puede haber algo más simple y que funcione, desde hace cuarenta años… pues bien, aquí entramos los mortales. Año 2018:

$ ls -l /usr/bin/true
-rwxr-xr-x 1 root wheel 17760 29 abr 2017 /usr/bin/true
$ file /usr/bin/true
/usr/bin/true: Mach-O 64-bit executable x86_64
$ otool -L /usr/bin/true
/usr/bin/true:
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1238.0.0)
$ /usr/bin/true
$ echo $?
0
$

Por supuesto, este es solo un ejemplo, y no de los graves, sobre cómo nos gusta complicarnos. Como dijo un profeta hace años, “Those who do not understand Unix are condemned to reinvent it, poorly.”. Me imagino el brainstorming inicial en un grupo que luego acaba sacando a la luz determinadas tecnologías:

– Tíos, vamos a hacer unas herramientas para manejar grandes conjuntos de datos que ahora están en ficheros planos.
– Pero, si ya tenemos awk, sed, grep…
– Funcionan demasiado bien y la gente no contrata mantenimiento. Escuchad, las llamaremos “bases de datos”.
– ¿Bases de datos? Irás de coña, ¿no?
– No, no, lo tengo todo atado: hacen que el fichero por debajo sólo se pueda procesar con nuestro programa metiendo varias capas de abstracción, pero realmente también están manejando archivos de texto, como hasta ahora…
– Jajajaja, ¡qué cabrón! ¡No hay huevos, Larry!
– Sujetadme la cerveza.

#define SELECT grep
#define ALTER sed
#define DELETE cut
#define DROP “>”
int make_program_look_bigger[1000000];

– Eres el puto amo, Larry. ¿Qué va a ser lo próximo, chicos? ¿Un lenguaje de programación que pueda convertir esta Sun 3500 en un 8086, con alguna excusa? ¿Qué se os ocurriría?
– Podemos meter un sleep en las líneas pares de nuestro código C y decimos que es independiente de plataforma.
– Jajajajajaja, no colará… Espera, ¿qué haces, James?
– Sujetadme la cerveza…

Evidentemente, situaciones como las anteriores se producen porque aunque sabemos que Unix es la religión verdadera, Kernighan, Ritchie y demás son sus dioses y algunos otros son sus profetas, aún así hay entre nosotros ateos (los llamaremos así para no ser crueles, aunque el nombre técnico es Human Malware), perfiles aparentemente técnicos que no han querido, sabido o podido ver la luz verdadera; los perfiles no técnicos están disculpados, porque Unix no ha iluminado sus vidas aún. Todos conocemos a algún ateo: son los que siempre buscan soluciones complejas a problemas triviales. Preguntadle a cualquier creyente cómo realizar una operación sobre, pongamos, un log, y con una línea de awk lo resolverá. Preguntadle a un ateo y definirá una estructura en base de datos, parseará el log con un programa en Java que tira de varias librerías bajadas de github para convertirlo en un XML, para luego insertarlo en la base de datos de antes, y montará un comité para determinar aspectos críticos, como elegir los tonos pastel para la interfaz gráfica o analizar la ubicación de los botones en una aplicación web que conecta vía API contra un servidor en cloud que a su vez aplica técnicas de machine learning sobre el puto log. ¿Y esto para qué? Para sacar las líneas que contienen la cadena “foo”. Ojo, en el tercer campo, ahí es nada.

Dentro de esa familia que estamos denominando amablemente “ateos” podemos diferenciar varios tipos característicos; son los siguientes:

Proceseitor. Lo arregla todo con comités, procesos, procedimientos, controles, controles de los controles, seguimientos periódicos y derivados. Realmente esta subespecie no es un ateo, sino que es peor: está intentando convertir gente a otra religión, ITIL, considerada como secta destructiva en muchos entornos. Debe considerarse a proceseitor como ALTAMENTE PELIGROSO y, en caso de encontrase con uno, se recomienda no acercarse a él y avisar inmediatamente a las autoridades; también podemos cambiarles alguna de sus obras de cabecera, como Coaching for IT Strategists: a fist fucking approach, por un ejemplar de The Magic Garden Explained o The Design of the Unix Operating System, lo que conseguirá una combustión espontánea en cuanto comiencen la lectura.

Visual developer. Programador que no sabe usar punteros y por tanto reniega de C; el scripting no es una alternativa porque “son ñapas”. Ante un problema (“especificación de requisitos” le llaman) analiza durante días la situación, hace comparativas entre varias tecnologías, monta unos entornos de desarrollo para realizar benchmarkings y, en seis meses, determina que va a desplegar diez capas de abstracción para empoderar al usuario en su relación con la tecnología y evitar así el tratamiento personalizado del dato. Ríete tú de ISO/OSI. Por supuesto el programa nunca funcionará, pero será por culpa de una especificación de requisitos incorrecta; en estos casos, invitar al ateo leer e interiorizar las Sagradas Escrituras, The C Programming Language y The Unix Programming Environment, puede ser útil, aunque no tanto como un disparo en la rodilla.

Segurata. Acaba de actualizar su LinkedIn para poner que es “Senior Security Architect, Red Team Leader and Chief Strategist Hacker” porque se ha leído un manual de metasploit mientras acaba el máster y ya va a tope, con su Kali Linux y sus menús; por supuesto, prefiere ese manual al Computer Networks o al Modern Operating Systems de Tanenbaum, porque Tanenbaum no es jaker y además usa troff, y eso no es cool… Al contrario que en el caso anterior, el disparo en la rodilla suele ser contraproducente, porque el ateo seguiría molestando y encima se pondría paranoico, activando en su vida el modo MOSSAD_CLAIMS_FOR_ME y siendo aún más pesado; es más efectivo modificar su /etc/hosts para apuntar www.sgae.es a www.fsb.ru, convencerlo para atacar a la SGAE por el tema del canon de los CD, que nunca pasa de moda, y dejar que la naturaleza siga su curso.

DevOps. Administra máquinas Ubuntu y se ha comprado una Raspberry, así que lo debemos considerar devops, porque cree que es un BOFH de verdad pero de vez en cuando se le escapan palabros como XML o agile. Acude regularmente a encuentros endogámicos donde algunos devops explican a otros devops cosas de devops, con dockers y tal, y cuenta la leyenda que una vez uno de ellos recompiló un núcleo Linux y no se lo contó a los demás. A Quarter Century of Unix History puede ser un buen detalle con estos ateos, para que sean conscientes de que muchas cosas no las han descubierto ellos, como también puede serlo un teclado sin intro, que nunca viene mal en estos casos. Y si además nos lo queremos pasar bien, tampoco está mal meterles el evil.sh en su .bash_profile.

El usuario. Aunque se considera a sí mismo un perfil técnico porque una vez consiguió salir de vi y se hizo youtuber e instagramer a la vez, realmente sus conocimientos no son muy amplios y debemos considerarlo un usuario. De vez en cuando dice frases como “Nosotros, los técnicos” o “Aquí todos venimos de la parte técnica”, que te suenan como cuando los gibraltareños dicen “Nozotro lo ingleze”. Ante este tipo particular de ateo no podemos recomendar ninguna lectura, sólo comprensión y paciencia, y también hablarles despacito para que no hagan swap; por otro lado, es fácil -y divertido, hay que decirlo- entretenerlos con algunos palabros sabiamente combinados para que no molesten, como “Es que en el red team estamos trabajando con una VPN a través de USB que envía paquetes TCP a dispositivos IoT”. Ale, a procesar, campeón.

¿Qué hacemos con esta gente? Guardad el AK-47, por favor, que os veo venir y no debemos legislar en caliente. La situación es compleja, principalmente porque los ateos no tienen depredadores naturales y, sobre todo en los últimos años, se han dedicado a reproducirse de manera exponencial; si os cruzáis con uno podéis regalarle condones para frenar su tendencia reproductiva, pero un consejo: jamás os hagáis los héroes, que esta gente ya no tiene nada que perder, como los administradores de Lotus Notes, y pueden incluso ponerse agresivos. Por ejemplo, a proceseitor le molestan especialmente cosas como que alguien se salte el paso 3, punto 3.8, apartado 3.8.A, párrafo 3.8.A.c, línea 3.8.A.c.XVI, del procedimiento “Gestión de recursos informáticos corporativos en plena sinergia con el negocio”, que dice que todo renice debe ser aprobado mediante un burofax con el sello oficial, firmado por el IT Manager y dirigido al Business Strategist de la organización. Se pone nervioso, le da vueltas la cabeza y empieza a hablar en ITIL.

En SAW no tenemos la solución mágica para hacer frente al colectivo de ateos que pululan en las organizaciones; algunos ingenuos piensan que se pueden recuperar con iniciativas sencillas, por ejemplo con campañas donde se use el hashtag #AdoptaUnAteo (#AdoptALuser) para enviarles indirectas simpáticas que traten de marcarles el buen camino, del tipo “biff también avisa de nuevos mensajes… desde hace 40 años y sin soniditos ridículos, imbécil #AdoptaUnAteo”, “Menos stackoverflow y más RTFM #AdoptaUnAteo” o “No abras ficheros CSV con Excel, hijo de puta! #AdoptaUnAteo”. Pero nosotros sabemos que esto no funcionará: ni devolverá al ateo al camino verdadero ni tampoco conseguiremos que convierta el agua en vino. Por eso miramos a la Historia: ¿qué se ha hecho de siempre con la gente que abandona la religión verdadera? Dos cosas: exorcismos y sacrificios humanos. Punto.

Si vamos a exorcizar ateos, por ejemplo poseídos por systemd, debemos ir con cuidado; desde SAW recomendamos que un exorcismo lo ejecuten sólo profesionales, porque si sale mal nos confiamos, creemos haberlo recuperado y un día nos encontramos al falso creyente diciendo en un foro que ifconfig está deprecated. Cuando se dé cuenta de que vamos a exorcizarlo, el ateo tratará de confundirnos para hacernos creer que ha visto la luz verdadera; puede decir cosas en idiomas desconocidos, fruto de la posesión, del tipo “Powered by Solaris…” o “alias nano=‘rm -f’”, pero no nos dejemos engañar: al acercarle el Essential System Administration, su solo contacto le producirá quemaduras, comenzará a girar la cabeza 180 grados, a escupir espuma por la boca y a soltar blasfemias como “Has visto lo que ha hecho la cerda de tu hija”, “Tómame, tómame” o “Yo soy el Maligno y capturo SIGKILL”. Cuidado. Aquí es cuando el exorcista, un profesional, arrojará varios SIGTERM contra el PID del ateo y pronunciará unas palabras sagradas para liberar su alma:

Te exorcizamos Espíritu Inmundo, quienquiera que seas, Java, XML o Word. En el nombre de Unix seas arrojado de las almas de la religión verdadera. No oses oscurecer a los elegidos a quienes pretendes hacerte semejante; te lo ordena Brian, te lo ordena Dennis, te lo ordena Rob, que se hicieron carne y habitaron entre nosotros. Que los descendientes de MULTICS se apiaden de ti, que la pureza de un buen script limpie tu alma, que uses goto cuando tengas que usarlo. Unix es la senda y yo soy su pastor, así está escrito en mi GECOS. Hosanna, K&R, limpiad esta alma.

En este momento el ateo debe mostrar signos de reconversión, por ejemplo desinstalando la máquina virtual de Java o recitando de memoria la página man de getpwent(3). Si no es así ya debemos rociarlo de SIGKILL o, directamente, ejecutar un shutdown, que es el último recurso del exorcista antes de pasar a mayores: si el exorcismo no funciona ya sólo nos queda el sacrificio humano. Por ejemplo, en SAW, desde el fallecimiento de Ritchie hace más de siete años, mensualmente sacrificamos en su honor a un ateo en la hoguera, a la antigua, con encanto; lo hemos puesto en el cron y así no falla, que si no luego se reencarnan en consultores ISO y la liamos. Pero no penséis que es un simple kill -9, no: antes de quemarlo lo abrimos en canal con un CD donde están las fuentes de System V, nos comemos sus vísceras, bebemos su sangre y rezamos dos scriptnuestros para que aquellos dioses que se hicieron carne en los 70 vuelvan a poner cordura en este mundo 4.0 que nos rodea. Todo esto en honor a los creadores de maravillas como Unix, C o awk y, por qué no, también porque nos gusta.

DISCLAIMER: Todo este post está basado en hechos ficticios y no refleja en ningún momento opiniones personales del autor, efectivamente y no. Cualquier parecido con la realidad es pura coincidencia.

CSIRT.es

Ayer CCN-CERT publicó el comunicado relativo al relanzamiento del grupo CSIRT.es, foro que aglutina a los equipos de respuesta ante incidentes españoles o con ámbito de actuación en España, y cuyo objetivo es centralizar el intercambio de información y facilitar la coordinación entre estos mismos equipos.

Actualmente CSIRT.es lo componemos más de veinte equipos y, como se indicaba en el comunicado, están representados actores públicos y privados, de diferentes sectores, con diferentes objetivos… pero que tienen muchos puntos en común; el principal, por definición, dotar de una capacidad de respuesta a una comunidad determinada. Y esa capacidad hoy en día no puede funcionar si se pretende operar de manera independiente y aislada de otros equipos: requiere necesariamente de vías directas de colaboración con terceros. Más allá de foros como FIRST o TF-CSIRT, creemos que un punto que posibilite la colaboración entre CSIRT con ámbitos de actuación en España es más que interesante y necesario. [Read more…]

La CCI rusa (XVIII). Conclusiones

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

[Read more…]

La CCI rusa (XVII): objetivos. España

La Primera Dirección General del KGB era la responsable de todas las operaciones del servicio fuera de la URSS; esta Dirección incluía departamentos focalizados en diferentes áreas geográficas del mundo, que constituían el núcleo operativo de la Dirección General, y que eran responsables entre otros cometidos de casi todas las empresas ligadas al KGB que operaban fuera de territorio soviético. Y dentro de estos departamentos geográficos, el Quinto se ocupaba de Francia, Italia, Países Bajos, Irlanda… y España. Sin duda no llegábamos al nivel de Estados Unidos y Canadá (Primer Departamento, ocupado en exclusiva por estos dos países) pero tampoco andábamos muy lejos, quizás en un segundo nivel. Por diferentes motivos que obviamente han ido cambiando a lo largo de los años, desde la Guerra Civil hasta nuestros días España ha sido un objetivo histórico (no el más prioritario, pero sí relevante) para la inteligencia soviética y ahora lo sigue siendo para la inteligencia rusa: desde el NKVD durante su tiempo de vida hasta los servicios actuales, pasando obviamente por el KGB desde mediados hasta finales del pasado siglo. Exactamente igual que la URSS, o Rusia en la actualidad, también es y ha sido un objetivo importante para Occidente: por ejemplo, no tenemos más que leer algo sobre la operación Mari, en los años 60 ([2]).

Un buen ejemplo de las actividades rusas en la España de los años setenta y ochenta es SOVHISPAN. Esta consignataria soviético española, fundada en 1971 y que operó hasta 1993, aprovechó la situación estratégica de las Islas Canarias para desplegar allí una capacidad de abastecimiento de los buques soviéticos que faenaban en las costas africanas o hacían paradas técnicas en los viajes transatlánticos (bien de pasaje o científicos). A primera vista, una interesante relación comercial entre dos países y una espectacular fuente de ingresos para las Islas, con vuelos directos entre Las Palmas y Moscú operados, entre otros, por Aeroflot. Pero además, una cobertura perfecta para el KGB y el GRU y sus intereses en España: desde la entrega del Sahara o la llegada de la democracia, hasta la utilización del independentismo canario como posible elemento desestabilizador para evitar la entrada de España en la OTAN. Los servicios españoles no fueron ajenos a esta situación, y propiciaron la expulsión de soviéticos acusados de espionaje; se estima que entre 1977 y 1985 fueron expulsados de España al menos quince agentes del KGB y del GRU, algunos de ellos relacionados directamente con SOVHISPAN, como el propio Director General de la compañía, Yuri Bitchkov (1981).

Ni hace años, como ya hemos indicado, ni tampoco en la actualidad, con unas necesidades de información diferentes: España no es el objetivo prioritario de la inteligencia rusa. Por poner unos ejemplos, en el ámbito OTAN somos una potencia media frente a países como Francia o Alemania, estamos alejados geográficamente de Moscú ([1]), no podemos desestabilizar a la Madre Rusia ni por nuestra influencia en la zona del este de Europa ni por nuestras reservas energéticas, no disponemos de una capacidad militar que suponga una amenaza real a las fronteras rusas (pero por otro lado, estamos en OTAN)… No obstante, no ser el objetivo prioritario no significa no ser un objetivo; debemos considerar a España como un objetivo significativo en la actualidad para los intereses rusos, como lo sigue siendo todo el ámbito OTAN u “Occidente” ([3]). Y para ello no es necesario remontarse al siglo pasado y a las actividades de SOVHISPAN: más recientemente se han identificado diferentes casos de espionaje ruso contra España que han saltado a la opinión pública. A finales de 2010, dos miembros de la embajada rusa en España fueron expulsados del país acusados de espionaje (en realidad, fue todo más discreto: se les invitó a abandonar el territorio nacional por realizar acciones ajenas a su estatus diplomático…), medida ante la que Rusia reaccionó como es habitual, expulsando a dos diplomáticos españoles de Moscú. También fue difundida por toda la prensa generalista la detención en 2007 de un antiguo miembro del CNI al que se había identificado como un agente doble que vendió información sensible a los servicios rusos hasta el año 2004; primer condenado por traición en democracia, que a día de hoy sigue en prisión.

Pero, ¿qué busca la inteligencia rusa en España? En función de las necesidades de información rusas, vistas con anterioridad en esta misma serie, volvemos a identificar cuatro grandes ámbitos de interés para los servicios rusos en España o, generalizando, en cualquier parte del mundo: la inteligencia científico-técnica, la inteligencia política y diplomática, la inteligencia militar y la inteligencia económica; incluimos el ámbito “ecológico” (energético) como de especial interés en casi todos ellos. Vamos a analizar cada uno de estos ámbitos en el escenario español actual, tanto en la Administración Pública como en la empresa, partiendo del hecho de que, sobre el papel y de manera formal, España y Rusia mantienen un acuerdo desde hace años para la protección mutua de la información clasificada, en especial la política, militar, técnico-militar y económica ([5]). Nos suenan estos ámbitos, ¿verdad? También es cierto que este acuerdo habla explícitamente de información “intercambiada en el curso de la cooperación”, no de la información “no intercambiada”…

Centrémonos en primer lugar en la Administración Pública; las Administraciones Autonómicas (mucho menos las Locales) no tienen por qué ser un objetivo ruso, al menos habitual, aunque es necesario recordar que en ciertos casos podría ser interesante para Rusia acceder a información del contexto autonómico. Si así fuera, las Comunidades Autónomas con más interés potencial para Rusia podrían ser Cataluña, Comunidad Valenciana, Andalucía e Islas Canarias, y por motivos obvios la Comunidad de Madrid; en todas estas Comunidades existen Consulados rusos (en algunas de ellas, honorarios). Esto tiene una explicación sencilla: en el litoral catalán, en la Costa del Sol, en la Comunidad Valenciana y en el archipiélago es donde más ciudadanos rusos se concentran (Barcelona es la ciudad y Alicante la provincia de España con más población rusa). De esta manera, ocasional -y potencialmente, potencialmente, como siempre- podría ser interesante para la inteligencia rusa acceder a un historial médico de un ciudadano de esta nacionalidad que esté siendo tratado en un hospital español, por poner un ejemplo, por lo que las zonas con más posibilidades de ser un objetivo puntual serían las citadas.

Pero más allá de intereses ocasionales, si hablamos de la Administración Pública española, es necesario mirar a la Administración General del Estado (AGE), supuesto objetivo clave para Rusia, como supuesto objetivo clave para los servicios de cualquier país del mundo; todos los Ministerios que conforman la AGE son un objetivo ruso. La AGE tiene obviamente un interés político y diplomático, una de las necesidades básicas de la inteligencia rusa, e incluso alguno de sus Ministerios un interés científico-técnico (Defensa, Fomento, Educación…) o económico; mención aparte merece el Ministerio de Defensa, con el añadido del interés militar para la inteligencia rusa. De hecho, según el CCN-CERT los principales objetivos rusos en España son gubernamentales; pero aunque todos los Ministerios españoles sean un objetivo, por diferentes motivos, puede haber algunos que lo sean más que otros… ¿cuáles podrían ser los principales objetivos? Quizás, sólo quizás, los siguientes -con su denominación formal correspondiente-: Presidencia, Exteriores, Defensa, Interior y Economía. ¿Por qué estos cinco? Porque por la sensibilidad de los datos que manejan, lo serán de cualquier servicio extranjero en general: no en vano han conformado la CDGAI (Comisión Delegada del Gobierno para Asuntos de Inteligencia, [4]).

Aparte de Secretarías, Direcciones Generales, etc., cada Ministerio tiene diferentes Organismos Públicos vinculados; focalizándonos en los cinco anteriores, dentro de los dependientes de Presidencia el objetivo clave por definición seguramente será el Centro Nacional de Inteligencia, el principal actor de la inteligencia española, o el Departamento de Seguridad Nacional, por supuesto muy por encima de otros organismos como el BOE o Patrimonio Nacional. En el caso de Exteriores, los principales objetivos podrían ser la AECID (Agencia Española de Cooperación Internacional para el Desarrollo) o el Centro de Estudios Internacionales -buena parte del resto son centros culturales-, mientras que si hablamos de Defensa todo, en mayor o menor medida, es un potencial objetivo ruso: desde el INTA o la DGAM hasta el ISFAS (aunque seguro que éste es menos interesante que los dos primeros). Para Interior la Policía, Guardia Civil o Instituciones Penitenciarias pueden ser especialmente sensibles -recordemos el amplio ecosistema de inteligencia ruso y sus relaciones con terceros- y por último, en Economía, quizás el mayor foco de interés lo constituyan organismos como el CDTI o CSIC, por la ventaja científico-técnica que su información puede aportar a los servicios y empresas rusas.

Mención aparte de la propia Administración merecen las empresas públicas (o semi públicas) adscritas; en el Inventario de Entes del Sector Público Estatal (INVESPE) se relacionan todas las sociedades mercantiles adscritas a Ministerios. Tenemos más de 150 empresas públicas que van desde algunas con tan poco interés potencial -en este contexto- como “Aparcamiento Zona Franca, S.L.” o “Compañía Española de Tabaco en Rama, S.A.”, adscritas ambas a Hacienda, hasta otras que sí pueden ser un objetivo claro, como ISDEFE, S.A. (Defensa) o INCIBE, S.A. (Industria). En este caso, en el de las empresas, los intereses de la inteligencia rusa no estarán tan focalizados en política y diplomacia, sino que se centrarán en el espionaje científico-técnico y en el económico, como lo harán en la empresa privada; por este motivo, aquí puede ser necesaria una mención especial a las empresas adscritas a determinados Ministerios que participan en proyectos de muchos millones de euros, como Fomento, por el espionaje económico y técnico del que puedan ser objeto (y no sólo ruso).

Si ya pasamos al ámbito privado, el de las empresas, el espionaje político o el militar pierden obviamente fuerza en favor del científico técnico y el económico en diferentes sectores -como hemos dicho, lo mismo que en la empresa pública-: las empresas rusas compiten en grandes concursos con las españolas y sus servicios tendrán un interés legítimo en favorecerlas, además del interés en obtener una ventaja técnica directa mediante el robo de información. Uno de los principales sectores de interés puede ser el energético, principal motor ruso, por lo que podemos hablar de las empresas de este sector como un objetivo claro; sin ir más lejos, recordemos el interés de Lukoil por entrar de manera severa en REPSOL hace unos años. En este grupo entrarían todas las grandes energéticas españolas (sin dar nombres, seguro que todos las identificamos), así como otras empresas ligadas directa o indirectamente al sector.

Pero más allá del energético, cuando hablábamos de las necesidades de información rusas unos posts atrás hacíamos referencia a otros sectores marcados como clave por su Estrategia de Seguridad Nacional: TIC, biomedicina, farmacia, tecnología nuclear, nanotecnología… en definitiva, sectores punteros que pueden hacer avanzar a un país de forma significativa. Nada extraño ni para los servicios rusos ni para los de ningún otro país, por supuesto. Las empresas de estos sectores serán objetivo potencial de la inteligencia rusa, como seguramente lo serán de muchos otros servicios: sus investigaciones, proyectos, patentes… valen mucho dinero. Una relación de las empresas españolas en cada uno de estos sectores no es ningún secreto, y consultando fuentes abiertas podemos hacernos una idea aproximada de posibles objetivos en España con todo lujo de detalles.

Un ámbito especialmente interesante es el del espionaje científico-técnico en empresas ligadas a Defensa, posible objetivo tanto de la inteligencia civil como de la inteligencia militar rusas. Aquí, la Dirección General de Armamento y Material (DGAM) tiene inscritas unas seiscientas empresas en su catálogo; el dato es clasificado, pero no hay más que consultar WikiPedia para obtener un interesante listado de empresas de este sector; si dejamos a un lado empresas más clásicas y nos focalizamos en tecnología (ojo, no sólo informática, hay muchas tecnologías interesantes para la Defensa… y sobre todo caras, objetos de interés ruso) obtenemos una relación jugosa de empresas en este ámbito. O más sencillo aún: podemos acudir, por ejemplo, a páginas web de asociaciones que aglutinan a las propias empresas del sector donde, en algún caso, además de proporcionar la relación de asociados -algo obvio- se clasifican éstos en función de diferentes parámetros, como el número de empleados: así podemos identificar fácilmente empresas españolas que trabajan en tecnologías para el sector Defensa o afines con, por ejemplo, menos de cincuenta trabajadores. ¿Qué significa esto? Que tenemos una excelente relación de empresas interesantes para los servicios rusos pero que además son de pequeño tamaño, lo que a priori -no tiene por qué ser así, y esperemos que no lo sea- puede implicar que son objetivos blandos; para hacernos una idea, estas empresas trabajan en entornos tan variados e interesantes como la fabricación de buques de guerra, la nanofotónica militar o la electrónica submarina…

En definitiva, España ha sido y sigue siendo un objetivo de la inteligencia rusa, no el más prioritario pero quizás sí en un segundo nivel; por tanto no es de extrañar que los servicios rusos, o las APT rusas, tengan a España en su punto de mira, tanto en la Administración Pública (prioritario) como en el sector privado (biomedicina, TIC, defensa…), buscando información alineada con sus necesidades, por supuesto siempre presuntamente. A modo de ejemplo, si en el Targeted Cyberattacks Logbook de Kaspersky seleccionamos campañas de ciberespionaje o robo de información que hayan tenido a España en el Top 10 de sus objetivos encontramos cinco, de las cuales tres son Turla, Agent.BTZ y Crouching Yeti. Nos suenan, ¿verdad? Por curiosidad, las otras dos son de habla hispana: Machete y Careto. Otros trabajos hablan claramente de España como un objetivo relevante para APT28 ([6]), MiniDuke ([7], [8]) o Energetic Bear ([9]), por poner solo unos ejemplos de APT supuestamente rusas que han impactado en nuestro país. De hecho, FireEye, en sus informes sobre EMEA, indica que en esta zona España pasó del décimo puesto en detección de APT en 2014 al tercero en 2015 ([10]), algo que demuestra que está en el punto de mira de diferentes actores -no sólo rusos-.

Para finalizar este apartado, dos comentarios. En primer lugar, es necesario recordar que los objetivos aquí identificados no constituyen en ningún caso una relación exhaustiva; aunque quizás éstos sean unas prioridades, recordemos la capacidad y voracidad de los servicios rusos y sus amplias necesidades de información: pocas organizaciones cuya información tenga valor político o económico deben considerar a Rusia una amenaza lejana -ni tampoco a otros actores-. En segundo lugar, todo lo reflejado en este post ha sido extraído de fuentes públicas y en muchos casos son opiniones estrictamente personales, como casi siempre…

Referencias
[1] Javier Morales, Eric Pardo. Rusia en la estrategia de seguridad nacional 2013. UNISCI Discussion Papers, número 35. Mayo, 2014.
[2] Claudio Reig. El espía que burló a Moscú. Ed. libros.com. Abril, 2017.
[3] Mira Milosevich-Juaristi. ¿Por qué Rusia es una amenaza existencial para Europa?. Real Instituto Elcano. Julio, 2015.
[4] Gobierno de España. Real Decreto 1886/2011, de 30 de diciembre, por el que se establecen las Comisiones Delegadas del Gobierno. BOE 315, de 31 de diciembre de 2011.
[5] Gobierno de España. Acuerdo entre el Gobierno del Reino de España y el Gobierno de la Federación de Rusia sobre la protección mutua de la información clasificada. BOE 312, de 26 de diciembre de 2014.
[6] Razvan Benchea y otros. APT28 Under the Scope. A Journey into Exfiltrating Intelligence and Government Information. BitDefender. 2015.
[7] F-Secure. The Dukes. 7 years of Russian cyberespionage. F-Secure Labs Threat Intelligence. Septiembre, 2015.
[8] Costin Raiu, Igor Soumenkov, Kurt Baumgartner, Vitaly Kamluk. The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor. Kaspersky Lab. Febrero, 2013.
[9] Symantec. Dragonfly: Cyberespionage Attacks Against Energy Suppliers. Symantec Security Response. Julio, 2014.
[10] Álvaro García. APT. Evolución de las tácticas. Situación de España en el panorama europeo. IX Jornadas STIC CCN-CERT. Diciembre, 2015.