Evolución de Shamoon – Parte 2

15 de febrero de 2019 Por

[Nota: Este artículo ha sido elaborado por ARTURO NAVARRO y SALVADOR SÁNCHIZ ARANDA]

Tal y como indicábamos en el anterior artículo de esta saga continuamos con la disección de la amenaza Shamoon, en esta ocasión en su vertiente más reciente.

DICIEMBRE 2018. SHAMOON V3

Shamoon v3 aparece el 10 de diciembre 2018 con más similitudes a la versión original que a la v2. Aparece combinada con una nueva pieza de malware, Filerase (también llamada Trojan.Filerase), responsable de borrar datos del OS del host infectado de forma totalmente permanente (siendo imposible su recuperación con técnicas forenses), para posteriormente proceder al borrado de MBR que realiza el componente wiper de Shamoon v3.
[Read more…]

Evolución de Shamoon – Parte 1

14 de febrero de 2019 Por

[Nota: Este artículo ha sido elaborado por Arturo Navarro y Salvador Sánchiz Aranda]

Tal y como nos contaba nuestra compañera Maite Moreno en este mismo blog, Shamoon fue como se denominó a una campaña atribuida supuestamente a Irán en 2012 y centrada principalmente en la destrucción de información, principalmente en petroleras de Arabia Saudí. Como también se indica en el mismo artículo, la rivalidad entre Arabia Saudí e Irán es histórica, con lo que este tipo de campañas podrían ser habituales entre ambos estados.

Shamoon ha estado evolucionando desde aquel 2012 y en este artículo os queremos hacer un análisis sobre las tres versiones que se han ido detectando de dicha amenaza.
[Read more…]

El deporte como Soft Power para las grandes potencias

13 de febrero de 2019 Por

El ciberespionaje se ha incrementado hacia las organizaciones deportivas antidoping. Entre 2016 y 2018 se han identificado diversos ciberataques a importantes organizaciones internacionales antidoping. Como cita A. Villalón en su post sobre la actividad del GRU en octubre de 2018el NCSC británico acusó públicamente al GRU de actividades de ciberespionaje contra la agencia WADA (World Anti-Doping Agency)”. También se les atribuyen los ciberataques a la organización IOC (International Olympic Committee Antidoping) y la CCES (Canadian Center Ethics for Sports) donde presuntamente entre sus principales objetivos estaba captar las credenciales de los oficiales y técnicos antidoping para posteriormente poder acceder a la información clasificada. Otro técnico antidoping, en este caso de la USADA (US Antidoping Agency), el cual estaba ubicado en Río de Janeiro durante los Juegos Olímpicos, le fue comprometida su cuenta de email desde la wifi del hotel por presuntos agentes del GRU (se recomienda la lectura de los posts de A. Villalón sobre el GRU, la Unidad 74455 y 26165). Por los diferentes acontecimientos relacionados con el ciberespionaje dentro de las organizaciones internacionales antidoping, podemos apreciar que el deporte internacional posee más relevancia para las superpotencias mundiales, como Rusia, de la que muestran a priori.

El deporte siempre ha sido una herramienta psicosocial útil ([4]) para que los gobiernos de superpotencias puedan incentivar determinadas emociones, sentimientos e incluso valores entre sus ciudadanos. Los éxitos deportivos nacionales de un país generan sentimientos de unión social, rebajando una posible tensión ideológica de los mismos. Existe un efecto psicosocial ([7]) donde la sociedad tiende a vincular su sentimiento patriótico y de identidad nacional con los éxitos deportivos internacionales de su país. [Read more…]

(Ciber) GRU (XIV): conclusiones

11 de febrero de 2019 Por

Hemos analizado en este trabajo principalmente la estructura, objetivos y TTP del GRU en el ámbito ciber, a partir de la información que durante 2018 ha visto la luz y que ha permitido obtener un conocimiento detallado del Servicio y sus actividades no sólo a servicios de inteligencia, sino también a pobres analistas como nosotros que no disponen de todas las capacidades de las que puede disponer un estado; con lo que sabemos, incluso analizando fuentes públicas, tenemos acceso a información que en algunos casos debe considerarse sensible y que sin duda está siendo -o ha sido- analizada por servicios de todo el mundo, empezando por la propia Rusia.

[Read more…]

(Ciber) GRU (XIII): preguntas y conspiraciones

8 de febrero de 2019 Por

Todo lo sucedido en 2018 en relación al GRU, tanto las acusaciones públicas de diferentes gobiernos como las investigaciones privadas en relación a sus actividades, nos hacen plantearnos diferentes preguntas; seguramente todas ellas tengan respuesta, pero no la conocemos, o al menos no a ciencia cierta… por eso, también podemos hablar de conspiraciones a la hora de responder a estas cuestiones. Vamos a verlas en este apartado.

¿Cómo se ha obtenido esta información?

No lo sabemos. Desde luego, de fuentes públicas no: seguramente estamos hablando de información obtenida de fuentes humanas, por ejemplo, por un posible topo en el Servicio… o en otro servicio que conozca bien al GRU.

Algunos analistas relacionan con las informaciones que han visto la luz este año la detención, en diciembre de 2016, entre otros de Sergei MIKHAILOV (Coronel del FSB, Director del Segundo Departamento del ISC), Dmitry DOKUCHAEV (Comandante del FSB, adscrito al mismo departamento que MIKHAILOV y buscado además por el FBI) y Ruslan STOYANOV (analista de Kaspersky, pero anteriormente ligado al FSB). Acusados todos ellos de alta traición a la patria y que podrían haber vendido información sensible a la inteligencia estadounidense. ¿Podrían haber traicionado estas personas al FSB, y por extensión al GRU, facilitando datos de operaciones, agentes, técnicas… usadas por el Servicio contra intereses extranjeros? ¿Podría tener un topo aún activo alguno de los servicios rusos que venda esta información a otros servicios de inteligencia? Quién lo sabe…

[Read more…]

SSL pinning, I hate you!

7 de febrero de 2019 Por

NOTA: Ante todo destacar que esta publicación consiste en una recopilación de artículos que he usado (y alguna cosa con la que me he tenido que pegar). El contenido pertenece a otras personas y los enlaces a los originales se encuentran en esta misma publicación.

En lo que a la auditoría de aplicaciones para móviles Android se refiere, nunca me he metido demasiado, principalmente por falta de tiempo y porque al final aunque se pueda ver el código, cada desarrollador hace las cosas a su manera (las buenas manías de cada developer).

[Read more…]

(Ciber) GRU (XII): OPSEC

6 de febrero de 2019 Por

Los miembros del GRU expulsados de Holanda aplicaban medidas básicas de OPSEC, como llevarse ellos mismos la basura de la habitación del hotel; no obstante su detención ha puesto de manifiesto la falta de otras medidas de seguridad, igualmente básicas, que sin duda habrán dado mucho que hablar en el Servicio. Quizás las operaciones de proximidad -en Holanda al menos- no eran consideradas como de riesgo por el GRU, quizás son fallos humanos por incumplimiento de normativa… quién sabe. El hecho cierto es que esta OPSEC pobre ha sacado a la luz información sobre identidades, objetivos, TTP… del Servicio que nos han permitido conocerlo un poco mejor durante 2018 y que, de haber actuado de otra forma, estas evidencias no lo serían tanto.

Cuando hablamos de OPSEC, más allá de modelos y metodologías formales, hablamos siempre de las tres C [1]: cover, concealment, compartmentation. La cobertura de una operación debe permitir justificar dónde estás (estado) y qué estás haciendo (acción), la ocultación debe permitir ocultar actividades o identidades relacionadas con la operación y, por último, la compartimentación, como línea de defensa final, debe minimizar el impacto en caso de que las cosas vayan mal, no afectando a otras personas, operaciones, etc. [Read more…]

¿Qué pasa con el ENS?

5 de febrero de 2019 Por

El artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, estipula la necesidad de redacción de un Esquema Nacional de Seguridad que establezca la política de seguridad en la utilización de medios electrónicos.
[Read more…]

(Ciber) GRU (XI): TTP

4 de febrero de 2019 Por

Las informaciones que han salido a la luz en los últimos meses, en especial la acusación de Mueller, han identificado diferentes tácticas y técnicas del GRU, algunas de ellas conocidas previamente -y en muchos casos ligadas a APT28- y otras que, aunque todos nos podíamos imaginar, nadie había confirmado con anterioridad. Se muestran resumidas en la siguiente tabla dichas TTP, basadas en una adaptación de las tácticas y técnicas que publica MITRE en su framework ATT&CK:

[Read more…]

El protocolo MQTT: impacto en España

1 de febrero de 2019 Por

En el artículo de hoy os hablaremos de uno de los protocolos de moda, MQTT y cual es su impacto, en cuanto a ciberseguridad se refiere, en España. MQTT es ampliamente usado en el ámbito industrial, domótica y, en general, en todo lo relacionado con IoT.

MQTT es un protocolo de mensajes muy simple y ligero que se basa en un modelo publisher/subscriber, también conocido como productor/consumidor. Por una parte tendremos los publishers, que serán aquellos encargados de generar los mensajes a enviar. Siguiendo el flujo de las comunicaciones, encontraríamos el intermediario (broker), que será el encargado de distribuir los mensajes a los consumidores o subscribers. MQTT es un estándar ideado para las comunicaciones M2M (Machine to Machine) en las cuales varios dispositivos comparten información, ya sea a través de un medio cableado o inalámbrico. [Read more…]