“ALGO” de “RITMO”: algoritmos en la toma de decisiones

11 de enero de 2019 Por

¿Has realizado alguna compra por Internet últimamente? ¿Has accedido a algún servicio digital? ¿Y crees que las decisiones tomadas al comprar o acceder a dichos servicios ha sido una decisión libre y atendiendo a tus propios criterios? Pues va a ser que no…

No dudamos que has buscado, comparado y tomado una decisión propia en base a gustos y necesidades, pero siento decirte que a tus gustos y necesidades le han dado “algo de ritmo”, es decir, tu decisión en gran medida ha sido “algoritmizada” (que es una palabra inventada, lo sé, pero en algún momento había que inventarla…)

Sobre algoritmos y su capacidad o competencia para dirigir nuestras decisiones vitales y no tan vitales se ha escrito largo y tendido y desde multitud enfoques en este y otros muchos blogs. Sin embargo, me gustaría compartir con vosotros mis dudas e inquietudes acerca de una aplicación concreta de los algoritmos. La toma de decisiones en el ámbito penal y el impacto de los sesgos en dichas decisiones. [Read more…]

Informe: Grupo Gamaredon

10 de enero de 2019 Por

Desde LAB52 se ha elaborado un informe relacionado con el grupo GAMAREDON. Este grupo según informes previos de PaloAlto y Looking Glass centra su actividad en atacar a Ucrania.

El informe pretende actualizar la información relacionada con este grupo desde un punto de vista técnico y explicar la situación actual que se vive entre dos países como Rusia y Ucrania con un análisis geoestratégico y geopolítico.

Quizá uno de los aspectos más interesantes del estudio y que merece la pena resaltar es este comentario de @DrunkBinary el 30 de Noviembre de 2018:

En este comentario, y en otros referentes a GAMAREDON, @DrunkBinary lanza la hipótesis de que Ucrania puede estar siendo objeto de ataque de unos alumnos pertenecientes a una academia del FSB (vamos como si fuera la academia Enigma del FSB :O) y estos estuvieran haciendo sus prácticas sobre un objetivo real. Después de realizar este informe pensamos que no es una hipótesis muy descabellada, difícil de verificar, pero hay varios indicadores que hacen pensar que esto pudiera ser así.

Aunque fuera cierto que se tratara de una academia atacando, no hay que olvidar que están infectando a víctimas reales por la información manejada por LAB52 y por lo publicado recientemente por el CERT de Ucrania, con la gravedad e impacto que esto conlleva.

Desde LAB52 esperamos que les sea de utilidad el informe y cualquier comentario será bienvenido.

– Descargar informe –

[Read more…]

Análisis de Linux.Sunless

9 de enero de 2019 Por

Siguiendo con nuestra serie de artículos de seguimiento de botnets IoT, en el siguiente artículo vamos a analizar el malware Sunless, el cual fue detectado en nuestros honeypots entre el 18 y el 19 de diciembre.
Este malware se caracteriza por distanciarse en gran medida de variantes basadas en Mirai, incorporando mecanismos de eliminación de la “competencia” a través de técnicas rudimentarias, vistas anteriormente en mineros.

Infección

Tal y como podemos observar en la imagen inferior, Sunless recicla el método de infección característica del malware IoT, utilizando el famoso script bricker.sh, el cual podemos encontrar en numerosas fuentes abiertas.
[Read more…]

DEFCON 2018 DFIR CTF – Reto forense (Nivel 3 + Conclusiones)

8 de enero de 2019 Por
DEFCON 2018 DFIR CTF [1] [2] [3]

Puesto de usuario – Nivel básico

1. ¿Qué dirección IP tiene el puesto de usuario?

El registro lo sabe TODO. En este caso, el hive SYSTEM:

Un poco de RegistryExplorer y ya tenemos la respuesta:

* Respuesta: 74.118.138.195

2. ¿Cuál es el SID de la cuenta de Administrador? [Read more…]

DEFCON 2018 DFIR CTF – Reto forense (Nivel 2)

7 de enero de 2019 Por
DEFCON 2018 DFIR CTF [1] [2] [3]

Servidor de ficheros – Nivel básico

1. ¿Cuál es el número de serie del volumen de la única partición de la imagen de disco del servidor de ficheros?

El número de serie del volumen es un valor hexadecimal que se genera cuando se crea el sistema de ficheros. La documentación de Microsoft nos dice que para sistemas de ficheros NTFS lo tenemos en la posición 0x48 del BPB (Bios Parameter Block), que es parte del sector de arranque. Este sector lo tenemos en el disco en el $boot (en el raiz del disco). Montamos el disco con FTK Imager y accedemos al valor hexadecimal:

Ahí tenemos el valor: 652496C0. [Read more…]

DEFCON 2018 DFIR CTF – Reto forense (Intro + Nivel 1)

4 de enero de 2019 Por
(N.d.E.: nos damos un respiro con los artículos sobre la Comunidad de Ciberinteligencia rusa, el GRU (volverán pronto), para adentrarnos en el reto forense que nos introduce Antonio Sanz.)

Comentaban unos alumnos del curso de análisis forense hace unas cuantas semanas la dificultad de conseguir experiencia en forense y respuesta ante incidentes, no sin parte de razón. En muchas ocasiones yo comparo, salvando las obvias distancias, el trabajo de DFIR (Digital Forensics and Incident Response) con el de un bombero: gran parte del tiempo de relajación mezclado con una pequeña parte de tiempo de intensidad y stress máximos.

Aquí estamos, sin embargo, no siendo del todo exactos: ¿qué hacen los bomberos cuando no se deslizan por el tubo y salen corriendo a salvar gente? La respuesta es muy sencilla: ENTRENAN.

En el mundo DFIR el entrenamiento es fundamental, ya que en muy pocos trabajos se está el 100% del tiempo “en harina” (hay que tener en cuenta que estar en un incidente a máxima capacidad de trabajo durante un periodo largo de tiempo cuesta, y mucho). El entrenamiento, además, permite detectar carencias y áreas de mejora, así como afianzar conceptos y aprender nuevas formas de hacer las cosas. [Read more…]

(Ciber) GRU (VIII): estructura. Unidad 74455

3 de enero de 2019 Por

Aparentemente la Unidad 74455 está ligada a operaciones de desinformación, influencia, propaganda… lo que volvería a confirmar el amplio concepto de information warfare de la doctrina militar rusa, al que ya hemos hecho referencia en repetidas ocasiones y la mezcla del ámbito puramente técnico con el ámbito psicológico (dezinformatsiya, spetspropaganda, kompromat…). De hecho, la DIA estadounidense habla de la confrontación de información rusa (informatsionnoye protivoborstvo, IPb) como el término usado por el gobierno para el conflicto de la guerra de información, con dos grandes medidas: técnica, como una CNO clásica, y psicológica, como el intento de manipular a la población a favor de los intereses rusos ([1]), hablando abiertamente de PSYOP “ciber”; la primera de estas medidas correspondería a la Unidad 26165 y la segunda a la Unidad 74455.

Existe muy poca información disponible en fuentes abiertas en relación a la Unidad 74455; su relación con el ámbito tecnológico puede confirmarse con algunas referencias científicas (artículos y libros). Por ejemplo, en la revista “Sistemas de control y medición de información”, aparece el nombre de E.E. Nazarov, como científico y empleado de la Unidad Militar 74455; esta identidad ha participado en dos artículos: “Algoritmo para generar interferencia tipo basada en la evaluación rápida de parámetros de señal” y “Métodos para estimar los errores en la determinación de las coordenadas del portador de radar aerotransportado por un sistema RTR distribuido espacialmente”. [Read more…]

(Ciber) GRU (VII): estructura. Unidad 26165

28 de diciembre de 2018 Por

La Unidad 26165 (85th Special Service Center) se ubica en el número 20 de Komsomolskiy Prospekt; en esta misma dirección se ubica la Unidad Militar 06410 (152nd Training Center), con Koval NIKOLAY NESTEROVICH al mando y creada el 27/08/1943; aparentemente esta segunda unidad no está relacionada con el ámbito ciber desde un punto de vista técnico, encontrado información disponible en fuentes públicas de artículos o tesis relacionadas con la enseñanza militar, psicología, etc.

En la época soviética, en el número 20 de la Avenida Komsomolskiy de Moscú se localizaba al Servicio de Descifrado del GRU, al que ya hemos hecho referencia, íntimamente relacionado con la Sexta Dirección (SIGINT) pero no dependiente de él; de hecho, ese histórico Servicio de Descifrado es aparentemente la propia Unidad 26165, creada el 23 de mayo de 1953 según fuentes abiertas. Existe información pública que aparentemente confirma su existencia al menos en 1958, como la medalla conmemorativa del 60 aniversario de la Unidad que se muestra a continuación: 

La “propuesta de racionalización” adjunta también muestra actividad de esta unidad en los años 70 del siglo pasado: 

El concepto de “Rationalization Proposal” en la antigua Unión Soviética hacía referencia a conceptos técnicos que son innovadores y útiles para una organización porque suponen un cambio en diseños, tecnologías, maquinarias, materiales… Si la propuesta era aceptada tras una evaluación, al autor se le facilitaba un certificado como el anexo a efectos de propiedad intelectual.

El Coronel Jefe de la Unidad era, hasta principios de 2018, Viktor BORISOVICH NETYKSHO. Parte de la información sobre unidades militares es pública en Rusia; por ejemplo, en RusProfile (http://www.rusprofile.ru/), una página donde se recoge información sobre entidades jurídicas y empresarios rusos, podemos llegar a la información abierta de la Unidad 26165, como su fecha de fundación a la que ya hemos hecho referencia; según esta página su actual Comandante es el Coronel Dmitry ALEXANDROVICH MIKHAILOV, desde enero de 2018.

La Unidad 26165 se encarga de las actividades CNE y CNA en las acciones identificadas durante 2018; es una unidad técnica, de ataque y explotación, que desarrolla herramientas y capacidades ofensivas y que además ejecuta operaciones usando estas mismas capacidades, con dos grupos diferenciados: la acusación de Robert Mueller identifica, en relación a la Unidad 26165, a un grupo operativo, mandado por ANTONOV y que se encarga de ejecutar los ataques -intrusión, persistencia, etc.-, y un grupo de soporte y desarrollo, mandado por MORGACHEV y que es el responsable de facilitar infraestructura y herramientas al primero; la estructura definida en la acusación es la siguiente: 

Las acusaciones holandesas añaden como miembros de la Unidad a Aleksei SERGEYEVICH MORENETS y a Evgenii MIKHAYLOVICH SEREBRIAKOV, quienes junto a los agentes de la Unidad 22177 fueron interceptados en La Haya, sin estar definido a cuáles de los grupos anteriores pertenecen aunque aparentemente, por el tipo de actividad que estaban desarrollando, estarían bajo el mando de ANTONOV.

Con las informaciones que hemos conocido durante este año 2018 podemos ponerle cara -y nombre, y empleo…- a supuestos miembros de APT28; cuando diferentes informes han hablado de las horas de compilación del malware, en horario laboral de Moscú y San Petersburgo, podemos imaginarnos a MORGACHEV y su grupo, mientras que cuando se han identificado campañas contra diferentes objetivos entran en juego ANTONOV y los suyos; por supuesto, la estructura y las identidades anteriores son parciales: la Unidad 26165 es mucho más compleja y amplia de lo que hemos conocido en 2018.

(Ciber) GRU (VI): y ahora, ¿qué?

27 de diciembre de 2018 Por

La información que ha visto la luz durante 2018, tanto la oficial de los gobiernos de Reino Unido, Estados Unidos, Holanda y Canadá, como la no oficial de investigaciones adicionales, tanto particulares como de diferentes organizaciones (destacando a Bellingcat y RFE/RL, Radio Free Europe/RadioLiberty) ha expuesto mucha información interesante del GRU. Nos ha facilitado datos de sus unidades (identificación, estructura, funciones, ubicación física…), de personas que forman parte del servicio (identidades, empleos, funciones, aliases, relaciones, ámbito personal…) y de sus operaciones (objetivos, TTP, software, artefactos, IOC…). Adicionalmente, han puesto de manifiesto unas medidas deficientes de seguridad operacional, medidas que han permitido ampliar más si cabe las investigaciones iniciales y han sacado a la luz identidades, domicilios particulares, relaciona familiares… de miembros -o antiguos miembros- del GRU.

De todas las investigaciones realizadas a partir de los datos publicados por diferentes gobiernos, destacan las realizadas por Bellingcat, organización que investiga temas basándose principalmente en fuentes abiertas. Estamos hablando ahora de investigaciones privadas, no refrendadas por gobiernos y basadas sobre todo en OSINT, algo radicalmente diferente a las declaraciones de un gobierno con material probatorio que, por supuesto, no ha sido obtenido de fuentes públicas -ya hablaremos de dónde puede provenir esta información-. Incluso podemos dudar de la credibilidad de estas fuentes, ya que hay muchas voces que defienden que todo lo que publican es mentira, un montaje de Occidente, etc. Quién lo sabe… Estas investigaciones están basadas en fuentes abiertas e insistimos en que Bellingcat es una organización privada y por tanto sus investigaciones también lo son; pero el 19 de diciembre de 2018, como hemos adelantado anteriormente, el gobierno estadounidense ([1]) parece refrendar de manera oficial una de las principales investigaciones de Bellingcat, la que identifica como dos miembros del GRU, Héroes de la Federación Rusa, a las personas que intentaron asesinar a los Skripal en marzo: a partir de los detalles publicados por el gobierno británico sobre las identidades falsas de los agentes del GRU que envenenaron a los Skripal (Alexander PETROV y Ruslan BOSHIROV), Bellincat publicó en el mismo mes de septiembre y principios de octubre diferentes artículos, como [2], que mostraban las identidades reales de los sospechosos y confirmaba su relación con el GRU. 

En cualquier caso, mucho más interesante para nosotros es la relación de miembros o antiguos miembros de la Unidad 26165 del Servicio ([3]), publicada el mismo día cuatro de octubre, en el que diferentes gobiernos remataron el mal año del GRU; ese mismo día, a partir de las identidades de los miembros de la Unidad sacadas a la luz por la inteligencia holandesa, Bellingcat realiza un rastreo en fuentes públicas y semipúblicas e identifica a más de 300 miembros de la Unidad gracias a las direcciones de registro de sus automóviles, que coincidían con la sede del Servicio. En la RuNET existe información privada de ciudadanos rusos -domicilios, matrículas, números de teléfono- a disposición de cualquier usuario de Internet (no entramos a comprar bases de datos en el mercado negro, que también sería posible); a partir de una identidad (por ejemplo un nombre, ligado a una fecha de nacimiento o a la dirección de la Unidad) y con un poco de tiempo es posible obtener datos personales, e igualmente posible identificar, por ejemplo, a personas que han registrado un vehículo en una determinada dirección. De esta manera, Bellingcat asocia a esos potenciales miembros de la Unidad 26165 -o antiguos miembros, o personas que han tenido relación con la Unidad- y extrae nombres, matrículas, direcciones personales, perfiles de redes sociales, en lo que se considera una de las más importantes fugas de información de la historia.

Sin ser Bellingcat, con un poco de tiempo y usando Google Translate para los que no sabemos ruso, cualquier usuario de Internet puede llegar a esos mismos datos personales, encontrando relaciones más que interesantes; por supuesto, es necesario considerar la fiabilidad de las fuentes, aunque los datos que directamente hemos podido contrastar apuntan a que, al menos en su mayor parte, la información extraída es cierta. Hablaremos en otro momento del rastreo OSINT en la RuNET, pero en los siguientes apartados abordaremos lo que hemos aprendido del GRU durante 2018: parte de su estructura ciber, algunos de sus objetivos, diferentes TTP de sus operaciones y ciertas consideraciones OPSEC que quizás debían haberse tenido en cuenta antes de abordar una operación close access.

Referencias

[1] US Department of the Treasury. Notice of Intended Removals; Ukraine-/Russia-related Designations; Cyber-related Designations. Diciembre 2018. https://www.treasury.gov/resource-center/sanctions/OFAC-Enforcement/Pages/20181219_33.aspx

[2] Bellingcat. Skripal Suspects Confirmed as GRU Operatives: Prior European Operations Disclosed. Septiembre, 2018. https://www.bellingcat.com/news/uk-and-europe/2018/09/20/skripal-suspects-confirmed-gru-operatives-prior-european-operations-disclosed/

[3] Bellingcat. 305 Car Registrations May Point to Massive GRU Security Breach. Octubre, 2018. https://www.bellingcat.com/news/2018/10/04/305-car-registrations-may-point-massive-gru-security-breach/

(Ciber) GRU (V): octubre 2018

26 de diciembre de 2018 Por

Si 2018 ya era un mal año para el GRU, el día cuatro de octubre diferentes países occidentales dan la puntilla final al Servicio publicando información de sus operaciones y agentes: se trata de Holanda, Reino Unido, Canadá y Estados Unidos -e inmediatamente Australia y Nueva Zelanda apoyan, como es normal, a sus aliados-; resumiendo: Holanda y FVEY rematan el annus horribilis del Servicio, como vamos a ver en este post.

Holanda

El día cuatro de octubre la inteligencia militar holandesa, el MIVD (Militaire Inlichtingen- en Veiligheidsdienst) publica en rueda de prensa ([1]) la operación ejecutada en abril en la que se identifica y expulsa del país a cuatro miembros del GRU acusados de atacar a la Organización para la Prohibición de las Armas Químicas (OPCW); al igual que hizo el Departamento de Justicia estadounidense en julio, proporciona todo lujo de detalles sobre las identidades, técnicas, medidas de seguridad, objetivos… de los agentes del GRU actuando en suelo holandés con pasaporte diplomático. Según esta información, cuatro agentes del Servicio (dos adscritos a la Unidad 26165, Aleksei SERGEYEVICH MORENETS y Evgenii MIKHAYLOVICH SEREBRIAKOV, y dos adscritos posiblemente a la Unidad 22177, Alexey VALEREVICH MININ y Oleg MIKHAYLOVICH SOTNIKOV) aterrizan el 10 de abril en Holanda y son recibidos por personal de la Embajada Rusa en este país, alquilan un coche y ejecutan una operación de proximidad (close access) para intentar comprometer la seguridad de la OPCW. Son identificados, se les incauta dinero en metálico y equipamiento técnico (que por supuesto es analizado al detalle, mostrando datos de otras operaciones) que incluye dispositivos para atacar redes inalámbricas y son acompañados a un avión de Aeroflot que los devuelve a Rusia. Ante las graves acusaciones holandesas, Rusia defiende que sus agentes simplemente realizaban una inspección de seguridad en la embajada del país en Holanda.

Reino Unido

El NCSC (National Cyber Security Center), dependiente del GCHQ británico, propina también el cuatro de octubre un nuevo y duro golpe al GRU [2]: como hemos dicho con anterioridad acusa al servicio ruso, directa y abiertamente, de diferentes ciberataques, entre ellos contra la agencia anti dopaje WADA o el DNC estadounidense; sin el despliegue de pruebas de los holandeses, los británicos acusan al GRU -y lo identifican directamente con APT28- de ataques contra la Agencia Internacional Anti Dopaje (World Anti Doping Agency, WADA), el DNC, infraestructuras críticas de Ucrania o la Organización para la Prohibición de Armas Químicas (Organization for the Prohibition of Chemical Weapons, OPCW). En todos los casos se explicita “NCSC assess with high confidence that the GRU was almost certainly responsible”: esta elevada confianza en sus afirmaciones hace que el gobierno británico acuse directamente al Kremlin de estos ataques; se indica además que el NCSC seguirá trabajando con sus aliados para sacar a la luz las actividades y los métodos del GRU (frase especialmente significativa).

USA

Ese mismo día el Departamento de Justicia publica una nueva acusación contra agentes del GRU; en esta ocasión se identifica a siete agentes del Servicio, cuatro de los cuales son los expulsados de Holanda en abril y los tres restantes habían sido identificados en julio por el mismo Departamento. En la siguiente tabla se muestra el resumen de estas identidades:

Unidad Nombre Empleo Cargo Aliases Acusaciones previas
26165 Aleksei SERGEYEVICH MORENETS

Lexa
26165 Evgenii MIKHAYLOVICH SEREBRIAKOV

Zhenya
26165 Artem ANDREYEVICH MALYSHEV Teniente
djangomagicdev realblatr DNC
26165 Ivan SERGEYEVICH YERMAKOV

Kate S. Milton James McMorgans Karen W. Millen DNC
26165 Dimitry SERGEYEVICH BADIN
Ayudante Jefe de Departamento
DNC
22177 Alexey VALEREVICH MININ



¿22177? Oleg MIKHAYLOVICH SOTNIKOV



El Departamento de Justicia acusa ([3]) a todos ellos de ataques, además de a empresas como WestingHouse Electric Company, a organizaciones anti doping como la WADA, de la que ya hemos hablado, la USADA (US Anti Doping Agency) o el CCES (Canadian Centre for Ethics in Sport), entre otros; en especial, y de ahí el asunto de la orden de detención emitida por el FBI que se muestra en la imagen, el GRU aparentemente se focalizaba en el ataque a este tipo de organizaciones ligadas al deporte, quizás a raíz de las acusaciones contra Rusia de dopaje sistemático de sus atletas y su impacto en las olimpiadas de Rio de Janeiro de 2016.

Cartel de búsqueda publicado por el FBI (octubre 2018)

Canadá

Por último, en la misma jornada Canadá también se suma a las acusaciones oficiales contra el GRU manifestando de forma pública ([4]), aunque de manera más escueta que el resto de países, que el Servicio ruso, de nuevo identificado con APT28, ha atacado a la WADA -con sede central en Canadá- y al Canadian Centre for Ethics in Sport, y responsabiliza también al GRU de los ataques a la OPCW en Holanda, apoyando así a sus aliados. Todo ello, como en casos anteriores, con high confidence, Por este motivo, el gobierno canadiense considera al gobierno ruso directamente responsable de una violación de las leyes internacionales y de las normas establecidas.

Referencias

[1] Ministerio de Defensa de Holanda. GRU close access cyber operation against OPCW. Octubre, 2018. https://english.defensie.nl/binaries/defence/documents/publications/2018/10/04/gru-close-access-cyber-operation-against-opcw/ppt+pressconference+ENGLISH+DEF.pdf

[2] NCSC. Octubre 2018. https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposed

[3] DoJ. U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations. Octubre, 2018. https://www.justice.gov/opa/pr/us-charges-russian-gru-officers-international-hacking-and-related-influence-and

[4] Gobierno de Canadá. Canada identifies malicious cyber-activity by Russia. Octubre, 2018. https://www.canada.ca/en/global-affairs/news/2018/10/canada-identifies-malicious-cyber-activity-by-russia.html