top of page

Sednit y los secretos de los ciberataques dirigidos.

Sednit (también conocido como APT28, Fancy Bear, Pawn Storm y Sofacy) es uno de los más poderosos y sofisticados grupos de cibercrímen a nivel mundial, lamentablemente reconocido por sus exitosos y muy dolorosos golpes contra sus objetivos. Sin embargo, aunque sus ataques suelen ser dirigidos a organizaciones y personas de muy alto perfil, trascendiendo más allá del interés económico y utilizando malware altamente sofisticado; vale la pena analizar su modus operandi, puesto que sigue siendo muy similar al de muchos ciberdelincuentes que amenazan el día a día de las compañías.


En este post, utilizaremos los datos reales, recogidos por los investigadores en ciberseguridad de nuestros aliados de ESET, para analizar las tácticas de ataque usadas por Sednit y, más allá de la difusión, poder fortalecer la seguridad del lector contra esta amenaza y similares, por medio de la información y las recomendaciones pertinentes.


Sednit

Los ataques de Sednit suelen dirigirse a objetivos de alto perfil y tener repercusiones a nivel mundial.

Los ciberatacantes de Sednit suelen operar en 5 fases para ejecutar sus golpes, las cuales son típicas de los ataques dirigidos; siendo muy diferentes a los de WannaCry o Petya, donde basta con desarrollar un malware que se libera para que se replique y distribuya, hasta que de con un objetivo de valor.


Fase 1: Selección del objetivo.

Como mencionábamos, los ataques dirigidos suelen tener intereses mucho más allá de los económicos, son golpes que buscan comprometer seriamente la operatividad o credibilidad de una persona u organización en particular.


Los objetivos pueden ser seleccionados por distintas razones, en el caso de Sednit, suelen ser organizaciones o personas simpatizantes con cierta ideología o altamente influyentes en la geopolítica, como el Comité Democrático Nacional de los Estados Unidos, el Parlamento Alemán, la cadena de televisión francesa TV5Monde y funcionarios varios de la OTAN.


Bundestag

El parlamento alemán fue una de las victimas de Sednit.

Analizando un caso más local, es imposible olvidar al hacker Andrés Sepulveda, responsable material de infiltrarse en los diálogos de La Habana, durante el pasado periodo electoral para la presidencia de Colombia, quien presuntamente habría servido a los intereses de la campaña del entonces candidato Oscar Ivan Zuluaga.


Estos casos dejan en evidencia que el principal móvil para seleccionar al objetivo de un ataque dirigido es el rencor, la envidia o el desacuerdo entre ideas; esto puede traducirse en un empleado descontento o un competidor desleal, por eso la mejor recomendación para prevenir ser el próximo objetivo es asegurarse de que la cultura organizacional de su empresa, como la de cada uno de sus componentes, aliente conductas éticas, transparentes y diplomáticas; si bien, es imposible caer bien a todo el mundo, entre menos enemigos tenga menor riesgo habrá de estar expuesto a un ciberataque dirigido.


Parece una locura pensar que un jardinero mal despedido pueda gestionar un ataque cibernético contra su compañía, sin embargo contratar un hacker experto en la deep web resulta mucho más fácil y económico de lo que comúnmente se creería, sin mencionar la reciente explosión de apps que permiten el contacto entre los usuarios comunes y desarrolladores de ransomware a la medida y on-demand.


apps ransomware

App para creación de troyanos y ransomware personalizados | Fuente: Hispasec.

Fase 2: Identificación de la brecha.

Una vez el atacante ha seleccionado su objetivo, tendrá que encontrar la forma de entrar en su sistema, esto es algo en lo que grupos como Sednit son expertos, pues gran cantidad de sus exploids aprovechan brechas 0-day (no identificadas aun por los sistemas de ciberseguridad), lo cual demuestra un sofisticado equipo para su reconocimiento, aunque también pueden utilizar fracturas para las que ya existen parches, pero que la empresa o persona no han implementado aun.


El reconocimiento de las brechas particulares del objetivo es la razón por la que su software se hace completamente personalizado, aumentando considerablemente la probabilidad de éxito en sus ataques.


Si bien, no existe un software infalible, lo mejor para evitar que sus brechas sean descubiertas es contar con sistemas de antivirus robustos y con alta trascendencia, además de un software completamente legal y actualizado, desarrollado por organizaciones reconocidas y con equipos confiables. Lejos de ser una recomendación pro-monopolio, lo cierto es que las pequeñas empresas desarrolladoras, aunque ofrezcan productos más baratos, suelen contar con un equipo más pequeño y menos efectivo en la identificación de brechas de seguridad en sus programas, por lo que sus actualizaciones de seguridad serán menos frecuentes (incluso nulas); por eso siempre que piense en invertir en nuevo software, no se fíe solamente de la opinión de su asesor, consulte y revise la presencia y reputación del programa, así como la opinión de otras personas y empresas que lo hayan implementado.


Cuadrante mágico

El cuadrante mágico puede ser de gran ayuda para tomar decisiones de compra. | Fuente: tecnozero

Fase 3: Infección.

Una vez el atacante ha desarrollado el malware personalizado, su siguiente paso será colocarlo en la red o el dispositivo de la victima; por supuesto entre las grandes organizaciones es muy habitual contar con protecciones perimetrales robustas, así que traspasar esas barreras de seguridad desde fuera es realmente complicado, Sednit, como la mayoría de ciberdelincuentes, es consciente de que para poder actuar necesita un cómplice, aunque sea involuntario, dentro de la organización; por eso sus ataques utilizan una de las tácticas más antiguas de infección, el phishing.


Las investigaciones de ESET revelaron que la mayoría de ataques dirigidos por Sednit, fueron enviados a personas y organizaciones que utilizan Gmail como cliente de correo electrónico, enviándose principalmente los lunes y los viernes, probablemente buscando mayor oportunidad de visualización o tomar desprevenidas a las victimas en momentos en que tuviesen que tomar una decisión urgente sin pensar mucho en las consecuencias.


Dependiendo de la brecha a explotar, Sednit utiliza el phishing de una de las 3 formas más frecuentes: invita a la víctima a descargar un archivo aparentemente inocente y funcional, pero que esconde el exploid en su código; le llevará, por medio de un enlace aparentemente sano, hacia una página web con un script dañino; o le inducirá a completar un formulario con apariencia auténtica, para que inserte sus credenciales de usuario y utilizarlas a favor del ataque.


Correo electrónico

El correo electrónico sigue siendo la puerta de entrada del cibercrimen.

El fichero que infecta el dispositivo, puede tener una o más de estas cualidades: contener el malware completo con que se ejecutará el ataque, actuar como backdoor para permitir el control del equipo y la inserción de nuevo software dañino, contar con efecto gusano o abrir una brecha en la red corporativa; por eso, aun si el equipo comprometido es el de la recepcionista (o un usuario con pocos privilegios), el ataque puede afectar la información almacenada en los servidores o dispositivos de la alta gerencia.


Conocer esto es lo que nos da ventaja sobre los atacantes, pues este puede convertirse en el punto más débil o el más fuerte de una organización, y de ello dependerá el éxito o fracaso de los ataques que le sean lanzados; así, la mejor recomendación para prevenir esta debilidad es que capacite a sus compañeros y usuarios.


Sin embargo, más allá de una charla catedrática, con terminología súper técnica y densa (como lastimosamente he presenciado en numerosas ocasiones), las capacitaciones deben ser inmersivas, que involucren al auditorio poniendo los riesgos en contexto, para que también entiendan y sean conscientes de que las restricciones que algunas veces debe implementar el equipo de TI, son también para su seguridad; sin olvidarse nunca de realizar la correspondiente evaluación, correcciones y seguimiento ¿Quién garantiza que el empleado aprendió si no se le evalúa? y ¿Cómo contar con un nuevo elemento preparado para su trabajo si la ciberseguridad no está en el plan de inducción?


También, es importante que la dirección y el departamento de recursos humanos cuenten con excelentes filtros de selección y propendan por una cultura que fomente verdaderamente el compromiso organizacional (bien reza el refrán, y lo confirman las investigaciones, que 'se atrapan más moscas con miel que con hiel'), pues aunque la mayoría de cómplices son involuntarios, no me imagino que suponga una decisión moralmente complicada para una encargada de servicios generales que se siente maltratada e infravalorada en su trabajo, el conectar un pendrive a la oficina del gerente la próxima vez que realice la limpieza, si por ello el delincuente le ofrece una buena suma de dinero; aunque la empresa contara con los sistemas de vigilancia adecuados para inculparla, el daño a la ciberseguridad ya está hecho y las consecuencias pueden ser irreparables.


Fase 4: Reconocimiento.

Si los ciberdelincuentes logran entrar a los dispositivos organizacionales o a la red, comienza la etapa de reconocimiento, en la cual el software malicioso o los hackers 'miran al rededor' para saber si la información contenida es valiosa o comprometedora para su objetivo; si no encuentran nada, sencillamente saltarán a otra carpeta o dispositivo, hasta reconocer el equipo o los archivos que le interesan.


El virus hace un reconocimiento de su terreno antes de lanzar el ataque final.


Si bien, el mejor momento para detener el ataque se presenta en la fase 3, aun quedan herramientas que se pueden utilizar para proteger la información, que, aunque no son infalibles, si representan una capa adicional para la seguridad, haciendo más duro el trabajo a los criminales; la encriptación de archivos (para que solo puedan ser leídos bajo ciertas condiciones, como en la ubicación X, o por el dispositivo Y, o con la dirección IP Z), los permisos restringidos para usuarios de la red, el monitoreo de la misma para identificación de incidentes sospechosos, incluso la utilización de técnicas de blockchain, pueden ser algunas de estas tácticas a implementar.


Sin embargo, si los ciberdelincuentes hicieron bien su trabajo en la fase 2, su malware ya tendrá en cuenta estas medidas de seguridad adicionales y sabrá burlarlas adecuadamente.


Fase 5: Ataque.

Una vez el atacante ha reconocido los dispositivos y archivos de su interés los modificará, encriptará, destruirá, filtrará o hará con ellos lo que sea necesario para causar el mayor daño a su objetivo.


En el caso de Sednit y grupos delincuenciales sofisticados, al ser capaces de desarrollar exploids 0-day, pueden permanecer durante meses en el sistema de la organización sin ser detectados, monitoreando y recopilando toda la información sensible que pase por la red, hasta llegar al punto en que acumulan suficiente como para lanzar un duro golpe (generalmente por medio de filtraciones).


Si bien, los datos alterados o eliminados se pueden recuperar si la compañía ha puesto en marcha un adecuado plan de back-ups periódicos, y, quizás, un muy buen pool de abogados pueda reducir al máximo los costos por implicaciones legales (vea, cuanto puede costarle a su empresa un violación de datos personales), la credibilidad de los medios, inversionistas y clientes en la organización y su personal es algo mucho más costoso de recuperar.


Lo ideal es nunca permitir que un ataque dirigido llegue a esta etapa crítica, atrapar a un virus personalizado o a un ciberdelincuente, una vez que ha perpetrado el sistema, es una tarea titánica, por eso vale la pena contar con todas las recomendaciones que hemos expuesto anteriormente. Seguramente recordará que la Agencia de Seguridad Nacional (NSA) pasó desapercibida durante mucho tiempo, hasta que Edward Snowden, uno de sus exempleados, filtró, a través de varios periódicos con alto renombre, documentos que demostraría sus métodos de espionaje éticamente cuestionables; desde entonces la NSA se ha convertido en objetivo de los medios y de los hackers, quienes siguen filtrando información y exploids en el mercado negro (como los que dieron origen a WannaCry y Petya).


Snowden Navidad

Snowden posa con su novia, desde su asilo en Rusia, durante la pasada navidad. | Fuente: Instagram

Fase 5+: Borrar las huellas.

No en todos los ciberataques son expertos en esto, de hecho los datos que hemos presentado sobre Sednit los tenemos gracias a pequeñas brechas que ellos también han dejado en sus ataques, después de todo los ciberdelincuentes también son humanos; sin embargo, aunque estos datos nos permiten aprender de su modus operandi y presumir que son un grupo financiado por algún Estado que trabaja sobre la franja horaria del GMT+3, ninguno de sus miembros ha sido identificado o aprehendido.


Adicionalmente, existen ciertos virus programados con la capacidad de autodestruirse cuando perciben que han sido identificados, por lo que capturar una cepa para su estudio se convierte en un problema mucho mayor. Por eso, si detecta que está siendo víctima de un ataque de esta magnitud, contacte a los organismos estatales expertos en manejarlos (como el ColCERT o la Policía Nacional), estos no solo le instruirán en la mejor manera para proceder, sino que pondrán en alerta a las organizaciones antimalware y a la comunidad, para evitar que su caso se repita en otras organizaciones.


Cabe mencionar, que para poder aprovechar el apoyo del Estado en estas situaciones críticas, es necesario atender a nuestra primera recomendación, haber obrado siempre éticamente, así no habrá nada que ocultar a las autoridades, pudiendo operar conjuntamente para dar captura a los delincuentes.


Bitcoin

Los atacantes de WannaCry no han sido capturados, pero las Bitcoin recolectadas les fueron bloqueadas.


Esperamos que este post le haya servido, no solo para ponerle sobre aviso, sino también para que usted mismo pueda identificar las brechas de se encuentran en su organización haciendo uso de nuestras recomendaciones. No olvide compartir este post con sus compañeros de TI y sus colegas, así, juntos, hacemos del mundo un lugar más seguro; también puede contactarnos sí su organización requiere ayuda para implementar alguna de las medidas de seguridad que hemos mencionado, siempre le atenderemos gustosamente.



Etiquetas:

RSS Feed
Publicaciones Relacionadas
Publicaciones recientes
Archivo
Búsqueda por etiquetas
Otros canales
  • Facebook
  • LinkedIn
  • Twitter
Seguir leyendo
bottom of page