Tendencias de malware. Diciembre 2016

Durante este mes de diciembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que una vez más queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:

malwarediciembre

Antes que nada, nos gustaría remarcar el respiro que, al menos a nosotros, nos ha dado Locky este mes, con una cantidad tremendamente reducida de SPAM en comparación con los dos meses anteriores. Esto no significa que haya desaparecido ni mucho menos ya que han estado llegando a muchos sitios correos con textos de “asunto:” como los siguientes: [Read more…]

La CCI rusa (VIII): GRU

gru_emblemEl único de los grandes servicios rusos que, como ya hemos indicado, no es un heredero directo del KGB es el GRU (Glavnoye Razvedyvatelnoye Upravlenie), unidad militar 44388, cuyo objetivo es proporcionar inteligencia al Ministerio de Defensa, a la cúpula militar y a las fuerzas armadas rusas en su conjunto. Este servicio está dedicado a la inteligencia militar, desde la estratégica a la operativa, trabajando no sólo en un sentido exclusivo de defensa, sino abarcando también otros aspectos como la política o la economía ligadas al ámbito militar, y en especial la inteligencia exterior –en ocasiones junto al SVR-; desde el año 1996, tiene encomendada la misión de adquirir incluso información relativa a ecología y medio ambiente. Para ejecutar estas tareas, el GRU dispone de todo tipo de capacidades, desde IMINT hasta HUMINT, pasando por OSINT y, por supuesto, SIGINT, capacidades que le dotan de un ámbito de actuación e influencia internacional y que permiten al GRU “actuar en cualquier punto del mundo donde pudiera surgir la necesidad”, según declaraciones del General Valentin Vladimirovich Korabelnikov, en una entrevista concedida en 2006, cuando era Director del GRU.

El GRU es sin duda el más opaco de los servicios rusos y posiblemente el mejor de ellos; se trata de un grupo que mantiene ciertas reminiscencias soviéticas –recordemos que sobrevivió al KGB- e incluso que considera “occidentalizados” a otros servicios como el FSB. Como curiosidades, el GRU recluta a sus agentes entre las clases “proletarias”, preferentemente a personal sin conocimientos de idiomas, y entre sus supuestos cometidos está el enterrar armas en territorio hostil para poderlas utilizar en caso de conflicto; no dispone de servicio de contrainteligencia (función ejercida por el FSB) ni tampoco de oficina de prensa (realmente, el GRU no es más que una Dirección General dentro del Ministerio de Defensa ruso) o página web oficial ([1]). Gracias a sus métodos de trabajo, es el servicio de inteligencia que menos desertores ha tenido en la historia soviética y rusa.
[Read more…]

PYME vs Estándares de Seguridad de la Información (II)

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.
[Read more…]

En el 2017 más y mejor

El 2016 empezó prometiendo ser un año en el que cumpliríamos esa lista de objetivos que todos nos marcamos. No en vano, eso parece que lo prometen todos los años el 1 de Enero, pero este año tenía algo especial, nos daba un día más para cumplirlos, porque 2016 ha sido un año bisiesto.

Profesionalmente nosotros hemos cumplido muchos objetivos, y uno de ellos ha sido seguir al frente de este blog contándoles todo lo que ha ido sucediendo durante el año, que no ha sido poco.

Haciendo un rápido resumen, no quiero que nos den literalmente las uvas leyendo este post, quiero destacar algunos de ellos:

Este sería un pequeño resumen de nuestro año como blog.

Para el mundo 2016 será recordado por: Donald Trump, Hillary Clinton, El Brexit, las olimpiadas de Rio de Janeiro, un año fatídico para grandes estrellas del espectáculo, la visita de Barack Obama a Cuba, el año en el que Las Fallas de Valencia fueron nombradas patrimonio inmaterial de la Humanidad por la UNESCO… y el año en el que la Princesa Leia pasó a ser una con la fuerza.

Y para ir cerrando este post y este año, me queda poco por decir: pónganse guapos para recibir al nuevo año, o quédense tirados en pijama en el sofá, coman 12 uvas o 23 aceitunas, lo que más felices les haga, pero eso sí, hagan una buena lista de objetivos para 2017 y que la fuerza les acompañe para cumplirlos.

#33c3 – Un congreso único en el mundo

Cuando leáis esto probablemente estaré ya en Hamburgo para asistir a la 33ª edición del Chaos Computer Congress, conocido como #33c3 y organizado por el Chaos Computer Club (CCC), la asociación de hackers (más bien es un conjunto de hackerspaces y asociaciones de hacking) más grande de Europa, y que lleva más de 30 años investigando y promoviendo la concienciación en temas relacionados con la tecnología y el hacking, incluyendo temas controvertidos como privacidad, vigilancia y seguridad de la información entre otros.

Este año, y gracias a la insistencia de algunos amigos, me he hecho un autorregalo de navidad y asistiré a este congreso que, al igual que todos los eventos organizados por el CCC, son únicos en el mundo, y no solo por la calidad o variedad de los temas tratados en las ponencias oficiales, sino por todo lo que se mueve a su alrededor. Voy a explicar por qué creo que esto es así.

Para empezar, se pone a disposición de los asistentes y de aquellos que no han podido asistir al evento varias redes de comunicación. En concreto, una red GSM (aunque este año no se pueden comprar tarjetas SIM nuevas) y una red DECT (muchos de los teléfonos inalámbricos que tenemos en casa son compatibles) desplegadas por todo el centro de convenciones donde tiene lugar el evento gracias a Eventphone, así como extensiones SIP tanto dentro del evento como fuera, para poder comunicarte con amigos o familiares que no hayan podido asistir al evento (esta última red externa se conoce como EPVPN). Además hay todo un directorio de servicios a los que puedes acceder a través de extensiones en esta red.
[Read more…]

La CCI rusa (VII): FSO

e1470_fsoOtro de los herederos de la FAPSI es el FSO (Federal’naya Sluzhba Okhrani), identificado en [1] como la unidad militar 32152 y dirigido desde mayo de este año por el General de División Dmitry Kochnev (su antecesor, Evgeny Murov, era General de Ejército, dos grados superior, y esto en los servicios rusos es muy importante). Murov consiguió para el Servicio atribuciones de la FAPSI muy importantes: con más de 20.000 efectivos en la actualidad (supuestamente, ya que es información clasificada, y diversas fuentes hablan de más de 50.000), el FSO heredó y amplió la Novena Dirección del KGB, con responsabilidad en la protección de “bienes” gubernamentales, en el sentido más amplio de la palabra. Por ejemplo, el Servicio de Seguridad Presidencial, el SBP -los guardaespaldas de Putin- o el control del famoso maletín nuclear ruso dependen del FSO, al igual que la explotación de una red segura para la transmisión de resultados electorales, GAS Vybory (la información es, obviamente, un bien a proteger). En concreto, desde un punto de vista ciber, este servicio ha asumido entre otras capacidades las asociadas a SIGINT estratégica, la garantía de explotación de los sistemas estatales -en especial en lo referente a su protección frente a servicios extranjeros- y la seguridad de la información clasificada nacional ([2]), lo que incluye las comunicaciones presidenciales: el FSO proporciona comunicaciones seguras a muy alto nivel, por ejemplo entre el Kremlin y los principales mandos militares rusos, lo que le otorga un enorme poder para el control de la información…

Dentro del FSO se enmarca desde 2004 (anteriormente pertenecía al FSB) el Spetssvyaz, Servicio de Información y Comunicaciones Especiales (SSSI), considerado en la actualidad por algunos analistas como el equivalente ruso a la NSA estadounidense (aunque en realidad la comunidad de inteligencia de ambos países es diferente y por tanto las atribuciones de la NSA están repartidas entre agencias rusas). Este grupo desarrolla las atribuciones ciber del Servicio anteriormente expuestas e incluye al menos una Dirección para la gestión de comunicaciones gubernamentales civiles, otra para la gestión de comunicaciones gubernamentales militares, una Dirección General para recursos de información (dedicada aparentemente a la protección de la información en sí, en su sentido más amplio) y otra Dirección General para sistemas de información ([3]), dedicada a la protección de los sistemas que tratan los datos. El Director del Spetssvyaz, Alexey Mironov, es a su vez Director Adjunto del FSO; se trata de un General joven, quien iba a sustituir a Evgeny Murov al frente del servicio tras la jubilación de éste… hasta que se nombró al GD Kochnev para ese puesto; una acción inesperada para muchos y desde luego curiosa, en especial por el empleo de Kochnev…

Una curiosidad: el FSO ordenó en 2013 la compra de máquinas de escribir (sí, máquinas de escribir, de las de toda la vida) tras algunos escándalos de robos de datos –supuestos- por parte de terceros, para evitar así fugas de información. Otra curiosidad: el Spetssvyaz registra dominios de Internet de forma abierta: kremlin.ru, gov.ru, ру.рф, da-medvedev.ru… Aunque nos llame la atención (no solo por el hecho en sí, sino por algunos de los dominios registrados), no son los únicos que lo hacen: servicios más cercanos a nosotros siguen o han seguido la misma filosofía abierta…al menos en algunos casos; ya hablaremos en algún post del registro de ciertos dominios “curiosos”, cerca y lejos de aquí :)

Referencias
[1] Jeffrey Car. Inside Cyber Warfare: Mapping the Cyber Underworld. 2nd Edition. O’Reilly, 2011.
[2] President of the Russian Federation. Strategy for the national security of the Russian Federation up to 2020. Mayo, 2009.
[3] Jonathan Littell. The Security Organs of the Russian Federation. A brief history 1991-2005. Post-Soviet Armies Newsletter. Psan Publishing House, 2006.

La CCI rusa (VI): SVR

150px-svrlogoEl SVR (Sluzhba Vneshney Razvedki) fue el primer heredero del KGB con entidad propia, heredando las atribuciones de la Primera Dirección General; se ocupa de la inteligencia exterior rusa, proporcionando a las autoridades nacionales inteligencia que pueda beneficiar a Rusia en diferentes ámbitos que han evolucionado desde el militar y de defensa (en especial, años 90) al tecnológico, industrial, científico y económico. Para lograr este objetivo el SVR se basa sobre todo en capacidades HUMINT, tanto abiertas como clandestinas, apoyándose teóricamente en el GRU –que veremos en un próximo post– para sus necesidades de inteligencia de señales.

En este ámbito SIGINT el SVR trabaja junto al GRU en inteligencia estratégica (al menos en teoría, ya que es bien conocida la rivalidad entre agencias rusas: recordemos la operación “conjunta” del SVR junto al GRU de la estación SIGINT de Lourdes, en Cuba), a diferencia de la inteligencia más operativa del FSB; el objetivo principal del SVR, con independencia de la disciplina utilizada, es la adquisición de información y elaboración de inteligencia acerca de capacidades, acciones, planes, intenciones… tanto reales como potenciales de terceros países contra los intereses vitales de la Federación Rusa (como hemos dicho, incluso económicos).
[Read more…]

¡Feliz Navidad!

No nos vamos a enrollar. No nos ha tocado ni la devolución con el 31337, así que aquí seguimos :)

Como todos los años, desde Security Art Work os deseamos que paséis unas estupendas Navidades en compañía de los vuestros, que Papá Noel os traiga una vulnerabilidad con logo -algo se rumorea por ahí- y muchos polvorones (hemos llegado a 12.000 seguidores en Twitter, muchas gracias a todos). Y extendamos los buenos deseos de estos días al resto del año, que buena falta nos hace. Dejamos para la semana próxima nuestro típico post de lo que ha pasado durante 2016 (tan típico como éste o el de las vacaciones que ponemos siempre).

Disfrutad todo lo que podáis; cuidado con las comidas, cuidado con los encuentros familiares (especialmente si combinamos familia y alcohol) y, sobre todo, cuidado con la carretera (sin combinar con nada) si tenéis que desplazaros en estas fechas.

Aquí va nuestra felicitación navideña de este año:


#!/bin/sh
# Postal Navidad Security Art Work 2016
trap 'echo ^[c;exit 0' INT;c=0;x=$(tput lines);y=$(tput cols);m=`echo "53656375726974792041727420576f726b206f73206465736561206d657269637269736d617320792070726f737065726f203745310a"|xxd -r -p`;for((I=0;J=--I;))do tput setaf 6;clear;for((D=x;S=++J**3%y,--D;))do printf %*s\*\\n $S;done;tput setaf 2; if [ $c -eq 3 ]; then tput bold;c=0;fi;printf %7c\\n \X 0|sed ':x
p;s/ 0/010/;tx
d';tput setaf sgr0;tput bold; printf "%-4s | | %16s $m"; tput sgr0;sleep 1;c=`expr $c + 1`;done

Nos leemos el martes próximo como muy tarde.


¡Felices fiestas!

PYME vs Estándares de Seguridad de la Información (I)

En el universo de la Consultoría de GRC (Gobierno, Riesgo y Cumplimiento), es más común llevar a cabo proyectos en compañías de tamaño medio-grande que en pequeña y mediana empresa, siendo éstas segundas muy superiores en número, tanto a nivel nacional como europeo. Dada esta tesitura cabe preguntarse, ¿por qué son menos las pymes que contratan nuestros servicios?, ¿son menos vulnerables ante ataques que comprometan la seguridad de su información?

De sobra es conocido que, durante la última década, las organizaciones han experimentado una gran dependencia de sus sistemas de información para la prestación de servicios a sus clientes y cumplir con sus objetivos de negocio. Hoy en día, no solo las grandes compañías tienen esta dependencia de las TIC, también las pymes, que constituyen más del 99% del tejido empresarial europeo y, además, son las que presentan riesgos más significativos en cuanto a seguridad de la información se refiere. Estos riesgos constituyen una gran amenaza para el negocio de estas organizaciones.
[Read more…]

Forensic CTF Writeup: Baud, James Baud (II)

En el primer artículo abrimos boca con algunas cuestiones del forense, así que ahora toca continuar con el primer plato.

4. What makes this email service difficult to analyze?

ProtonMail es un servicio de correo web diseñado teniendo en cuenta la seguridad. Cuando un usuario se crea una cuenta, debe generar a su vez unas claves que cifran todos sus correos. De esta forma ProtonMail (si nos fiamos de ellos, por supuesto) nunca va a tener acceso a los datos del usuario al estar cifrados de forma segura.
[Read more…]