Hemos analizado en este trabajo principalmente la estructura, objetivos y TTP del GRU en el ámbito ciber, a partir de la información que durante 2018 ha visto la luz y que ha permitido obtener un conocimiento detallado del Servicio y sus actividades no sólo a servicios de inteligencia, sino también a pobres analistas como nosotros que no disponen de todas las capacidades de las que puede disponer un estado; con lo que sabemos, incluso analizando fuentes públicas, tenemos acceso a información que en algunos casos debe considerarse sensible y que sin duda está siendo -o ha sido- analizada por servicios de todo el mundo, empezando por la propia Rusia.
(Ciber) GRU (XIII): preguntas y conspiraciones
8 de febrero de 2019 Por
Todo lo sucedido en 2018 en relación al GRU, tanto las acusaciones públicas de diferentes gobiernos como las investigaciones privadas en relación a sus actividades, nos hacen plantearnos diferentes preguntas; seguramente todas ellas tengan respuesta, pero no la conocemos, o al menos no a ciencia cierta… por eso, también podemos hablar de conspiraciones a la hora de responder a estas cuestiones. Vamos a verlas en este apartado.
¿Cómo se ha obtenido esta información?
No lo sabemos. Desde luego, de fuentes públicas no: seguramente estamos hablando de información obtenida de fuentes humanas, por ejemplo, por un posible topo en el Servicio… o en otro servicio que conozca bien al GRU.
Algunos analistas relacionan con las informaciones que han visto la luz este año la detención, en diciembre de 2016, entre otros de Sergei MIKHAILOV (Coronel del FSB, Director del Segundo Departamento del ISC), Dmitry DOKUCHAEV (Comandante del FSB, adscrito al mismo departamento que MIKHAILOV y buscado además por el FBI) y Ruslan STOYANOV (analista de Kaspersky, pero anteriormente ligado al FSB). Acusados todos ellos de alta traición a la patria y que podrían haber vendido información sensible a la inteligencia estadounidense. ¿Podrían haber traicionado estas personas al FSB, y por extensión al GRU, facilitando datos de operaciones, agentes, técnicas… usadas por el Servicio contra intereses extranjeros? ¿Podría tener un topo aún activo alguno de los servicios rusos que venda esta información a otros servicios de inteligencia? Quién lo sabe…
SSL pinning, I hate you!
7 de febrero de 2019 Por
NOTA: Ante todo destacar que esta publicación consiste en una recopilación de artículos que he usado (y alguna cosa con la que me he tenido que pegar). El contenido pertenece a otras personas y los enlaces a los originales se encuentran en esta misma publicación.
En lo que a la auditoría de aplicaciones para móviles Android se refiere, nunca me he metido demasiado, principalmente por falta de tiempo y porque al final aunque se pueda ver el código, cada desarrollador hace las cosas a su manera (las buenas manías de cada developer).
(Ciber) GRU (XII): OPSEC
6 de febrero de 2019 Por
Los miembros del GRU expulsados de Holanda aplicaban medidas básicas de OPSEC, como llevarse ellos mismos la basura de la habitación del hotel; no obstante su detención ha puesto de manifiesto la falta de otras medidas de seguridad, igualmente básicas, que sin duda habrán dado mucho que hablar en el Servicio. Quizás las operaciones de proximidad -en Holanda al menos- no eran consideradas como de riesgo por el GRU, quizás son fallos humanos por incumplimiento de normativa… quién sabe. El hecho cierto es que esta OPSEC pobre ha sacado a la luz información sobre identidades, objetivos, TTP… del Servicio que nos han permitido conocerlo un poco mejor durante 2018 y que, de haber actuado de otra forma, estas evidencias no lo serían tanto.
Cuando hablamos de OPSEC, más allá de modelos y metodologías formales, hablamos siempre de las tres C [1]: cover, concealment, compartmentation. La cobertura de una operación debe permitir justificar dónde estás (estado) y qué estás haciendo (acción), la ocultación debe permitir ocultar actividades o identidades relacionadas con la operación y, por último, la compartimentación, como línea de defensa final, debe minimizar el impacto en caso de que las cosas vayan mal, no afectando a otras personas, operaciones, etc. [Read more…]
¿Qué pasa con el ENS?
5 de febrero de 2019 Por
El artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, estipula la necesidad de redacción de un Esquema Nacional de Seguridad que establezca la política de seguridad en la utilización de medios electrónicos.
[Read more…]
(Ciber) GRU (XI): TTP
4 de febrero de 2019 Por
Las informaciones que han salido a la luz en los últimos meses, en especial la acusación de Mueller, han identificado diferentes tácticas y técnicas del GRU, algunas de ellas conocidas previamente -y en muchos casos ligadas a APT28- y otras que, aunque todos nos podíamos imaginar, nadie había confirmado con anterioridad. Se muestran resumidas en la siguiente tabla dichas TTP, basadas en una adaptación de las tácticas y técnicas que publica MITRE en su framework ATT&CK:
El protocolo MQTT: impacto en España
1 de febrero de 2019 Por
En el artículo de hoy os hablaremos de uno de los protocolos de moda, MQTT y cual es su impacto, en cuanto a ciberseguridad se refiere, en España. MQTT es ampliamente usado en el ámbito industrial, domótica y, en general, en todo lo relacionado con IoT.
MQTT es un protocolo de mensajes muy simple y ligero que se basa en un modelo publisher/subscriber, también conocido como productor/consumidor. Por una parte tendremos los publishers, que serán aquellos encargados de generar los mensajes a enviar. Siguiendo el flujo de las comunicaciones, encontraríamos el intermediario (broker), que será el encargado de distribuir los mensajes a los consumidores o subscribers. MQTT es un estándar ideado para las comunicaciones M2M (Machine to Machine) en las cuales varios dispositivos comparten información, ya sea a través de un medio cableado o inalámbrico. [Read more…]
(Ciber) GRU (X): objetivos
31 de enero de 2019 Por
Aparte de algunos objetivos más concretos, como la compañía Westinghouse Electric Company’s -con negocios en tecnología nuclear- o routers domésticos que puedan ser comprometidos para orquestar un ataque distribuido contra el objetivo real, la información publicada en 2018 ha sacado a la luz cinco grandes objetivos del GRU, consistentes con los intereses del Servicio y por consiguiente con los de la Federación Rusa; son los expuestos en este punto.
Llama la atención que en la mayor parte de estos objetivos -salvo quizás Ucrania y sus infraestructuras- el GRU tiene, siempre presuntamente, un interés relacionado más con la confrontación de información psicológica a la que hemos hecho referencia que con un ataque puramente técnico; dicho de otra forma, es poco probable que el GRU ataque a objetivos como los investigadores del uso de Novichok o del derribo del MH17, que veremos a continuación, con la intención de alterar tecnológicamente los resultados de estas investigaciones… es más probable que el objetivo real fuera obtener información por un lado para conocer de primera mano el estado en cada momento y por otro, igualmente importante, para poder obtener datos que permitiera al Servicio el inicio de campañas de desinformación contra estos organismos investigadores, de manera que de cara a la sociedad perdieran credibilidad en sus afirmaciones, beneficiando así los intereses de la Federación Rusa. [Read more…]
Agujas, pajares e imanes: Análisis forense de malware fileless (V)
30 de enero de 2019 Por
En el artículo anterior Ángela ya tenía gracias al análisis forense toda la información del ataque, así que le toca continuar con la respuesta al incidente en las fases de contención, erradicación y recuperación.
Respuesta al incidente
Con todas las respuestas importantes en la mano, Ángela puede hacer un esquema muy rápido del incidente:
- Los atacantes envían un spear-phishing a Pepe Contento y otros altos cargos el 3 de noviembre sobre las 10.37h.
- El usuario Pepe Contento abre el correo y pincha sobre el enlace el mismo día a las 11.05h, ejecutando el código malicioso entregado por Sharpshooter y comprometiendo su equipo con una sesión de Meterpreter.
- Los atacantes verifican que tienen privilegios de administrador y obtienen las credenciales del equipo, encontrando el hash de un administrador de dominio (que tenía sesión iniciada en el equipo).
- Los atacantes se hacen pasar por la cuenta de administrador de dominio y acceden a las contraseñas cifradas de varios altos cargos.
- Estas contraseñas cifradas son rotas por los atacantes mediante un ataque de fuerza bruta, obteniendo las contraseñas en claro.
- Los atacantes emplean esas credenciales para acceder a los webmail de diversos altos cargos entre las 11.30h y las 16.00h del mismo día.
- A las 15.30h la usuaria maria.feliz detecta un comportamiento inusual de su cuenta de correo y lo comunica al CAU.
- A las 15.45h el CAU corrobora el comportamiento extraño y avisa a Seguridad.
- Seguridad accede a las 15.55h a los logs del correo y detecta los accesos anómalos.
- Se declara incidente de seguridad a las 16.00h.
Agujas, pajares e imanes: Análisis forense de malware fileless (IV)
29 de enero de 2019 Por
Paso 7: Correo
En la entrada anterior Salvador había destripado el malware y encontrado el C2, y Ángela había confirmado que era una sesión de Meterpreter, habiéndose hecho una idea de las posibles acciones realizadas por los atacantes.
Tan solo queda localizar el vector de entrada, que por el análisis de memoria sabíamos que era un correo electrónico malicioso. Es el momento perfecto para recuperar el equipo del usuario pepe.contento, entrar con un LiveUSB forense (como DEFT o SIFT) y recuperar el .ost del usuario del directorio C:\Users\pepe.contento\AppData\Local\Microsoft\Outlook.
Para leerlo en modo solo lectura la forma más cómoda es emplear Kernel OST Viewer, que permite abrir el fichero de correo entero (y con acceso a los metadatos). En 30 segundos Ángela ha encontrado lo que buscaba:
[Read more…]
