Guerra de espías, gol a Kaspersky
Acusan a Kaspersky de ser el responsable tecnológico de la infiltración para robar y atacar a la agencia de inteligencia USA. Sin embargo, la empresa lo niega categóricamente y responde que puede ser que los verdaderos culpables se hayan valido de vulnerabilidades en su software, sin su conocimiento. Lo que es verdad, dicen investigadores de este fabricante ruso de seguridad informática, es que agentes de amenazas avanzados están hackeando de manera activa a otros grupos de ataque para robar datos de las víctimas, tomar prestadas herramientas y técnicas, y reutilizar, entre ellos, su infraestructura, dificultando a los investigadores de seguridad la obtención de inteligencia para combatir estas amenazas, de acuerdo a sus últimas investigaciones.
“Obtener inteligencia acertada contra las amenazas se basa en la identificación de patrones y herramientas que señalan a un agente de amenazas particular. Dichos conocimientos permiten a los investigadores asignar mejor las metas, los objetivos y los comportamientos de los diferentes atacantes, así como ayudar a las organizaciones a determinar su nivel de riesgo. Cuando los agentes de amenazas comienzan a hackearse entre ellos y a apropiarse de las herramientas, la infraestructura en este modelo se derrumba rápidamente”, comenta la compañía de seguridad informática en un boletín de prensa.
Sus especialistas creen que tales ataques posiblemente sean implementados principalmente por grupos respaldados por estados-nación, y dirigidos a agentes extranjeros o menos competentes.
Por su parte, el Wall Street Journal publicó que los piratas informáticos que trabajan para el gobierno ruso robaron detalles de cómo los Estados Unidos penetran en las redes de computadoras extranjeras y se “defienden” contra ataques cibernéticos luego de que un contratista de la Agencia de Seguridad Nacional retiró el material altamente clasificado y lo puso en la computadora de su casa, según afirmaron varias personas con conocimiento del asunto.
Los hackers parecen haber apuntado al contratista después de identificar los archivos a través del uso del antivirus Kaspersky, dijeron estas mismas personas. El robo incluye información sobre la penetración de las redes de computadoras extranjeras y la protección contra los ataques cibernéticos y es probable que sea visto como una de las violaciones de seguridad más importantes hasta la fecha.Por su parte, The Washington Post afirmó que el empleado había trabajado en la unidad de operaciones de acceso a medida de la NSA para hackers de élite antes de que fuera despedido en 2015.
Si se confirma, este hackeo marcaría la última de una serie de infracciones de datos clasificados de la secreta agencia de inteligencia, incluyendo las fugas de datos de 2013 sobre los programas de vigilancia clasificados de los Estados Unidos por el contratista Edward Snowden.
Otro contratista, Harold Martin está a la espera de ser juzgado por cargos de haber llevado material de la NSA a su domicilio. El Washington Post informó que Martin no estuvo involucrado en el caso recientemente revelado.
Las tensiones ya son altas en Washington sobre las acusaciones estadounidenses de un aumento en la piratería de objetivos estadounidenses por parte de los rusos, incluyendo la selección de agencias electorales estatales y la piratería de computadoras del Partido Demócrata, en un intento de influir en el resultado de las elecciones presidenciales de 2016 a favor de republicanos Donald Trump.
Citando fuentes no identificadas, ambos diarios también informaron que el contratista utilizó el antivirus de Kaspersky, compañía cuyos productos fueron prohibidos en las redes del gobierno estadounidense el mes pasado por sospechas de que ayudan al Kremlin a realizar espionaje (el 13 de septiembre, el Departamento de Seguridad Nacional prohibió los productos de Kaspersky en redes federales, y el Senado de Estados Unidos aprobó un proyecto de ley para prohibir su uso por el gobierno federal, citando las preocupaciones de que la compañía puede ser un peón del Kremlin y plantea un riesgo de seguridad nacional). De hecho, las agencias de inteligencia consideran a los productos de Kaspersky como una fuente de riesgo durante años.
Por su parte, la empresa rusa niega firmemente esas acusaciones. Ellos argumentan que es probable que funcionarios del gobierno ruso podrían haber usado fallas en su software para hackear la máquina en cuestión. También podrían haber interceptado el tráfico de la máquina a las computadoras de Kaspersky.
La empresa afirma en un comunicado que se encuentra atrapada en medio de una lucha geopolítica: “Kaspersky Lab no ha recibido ninguna evidencia que acredite la participación de la compañía en el presunto incidente reportado por el Wall Street Journal. Es lamentable que la cobertura noticiosa de las reclamaciones no probadas continúe perpetuando acusaciones sobre la compañía”.
La empresa rusa hace una llamada de atención a que los investigadores de seguridad de TI aprendan a detectar e interpretar los signos de estos ataques, para que puedan presentar su inteligencia en su contexto.
En una revisión detallada de las oportunidades de estos ataques, los investigadores de la empresa especialista en seguridad informática identificaron dos estrategias principales: uno pasivo y otro activo. Los ataques pasivos implican interceptar los datos en tránsito de otros grupos, por ejemplo, cuando se mueven entre las víctimas y los servidores de mando y control, estos son casi imposibles de detectar. El enfoque activo implica infiltrarse en la infraestructura maliciosa de otro agente de amenazas.
Existe un mayor riesgo de detección en la estrategia activo, pero también ofrece más beneficios, ya que permite al atacante extraer información de manera regular, controlar su objetivo y sus víctimas, e incluso inyectar sus propios implantes o montar ataques en nombre de su víctima. El éxito de los ataques activos depende en gran medida de que el objetivo cometa errores en la seguridad operacional.
El equipo de expertos encontró una serie de artefactos extraños e inesperados al investigar a agentes de amenaza específicos que sugieren que estos ataques activos ya están ocurriendo públicamente.
Los ejemplos incluyen:
• Backdoors instaladas en la infraestructura de control y mando (C&C) de otra entidad. La instalación de un backdoor o puerta trasera en una red hackeada permite a los atacantes permanecer dentro de las operaciones de otro grupo. Los investigadores han encontrado lo que parecen ser dos ejemplos de estas puertas traseras.
Uno de ellos se localizó en 2013, cuando se analizaba un servidor utilizado por NetTraveler, una campaña en idioma chino dirigida a activistas y organizaciones en Asia. La segunda se halló en 2014, cuando se investigaba un sitio web hackeado y usado por Crouching Yeti (también conocido como Energetic Bear), un agente de amenazas en idioma ruso que ataca al sector industrial desde 2010.
Los investigadores notaron que, durante un breve período de tiempo, el panel de administración de la red C&C fue modificado con una etiqueta que apuntaba a una dirección IP remota en China (probablemente una señal falsa). Los investigadores creen que esto también era una puerta trasera perteneciente a otro grupo, aunque no hay indicadores de quién podría ser.
• Compartir sitios web hackeados. En 2016, los investigadores de Kaspersky descubrieron que un sitio web infectado por el DarkHotel, de idioma coreano, también alojó secuencias de mandos de ataques para otro atacante objetivo, al que el equipo llamó ScarCruft, un grupo dirigido principalmente a organizaciones rusas, chinas y coreanas. La operación DarkHotel se remonta desde abril de 2016, mientras que los ataques ScarCruft se implementaron un mes después, lo que sugiere que ScarCruft pudo haber observado los ataques DarkHotel antes de lanzar el suyo.
• Objetivo por proxy. La infiltración de un grupo con un interés particular en determinada región o sector de la industria permite al atacante reducir los costos y afinar el objetivo, beneficiándose así de la experiencia especializada de su víctima.
Algunos agentes de amenazas, más que robarlas, comparten víctimas. Éste es un enfoque arriesgado si uno de los grupos es menos avanzado y lo descubren, ya que el inevitable análisis forense que sigue también revelará a los otros intrusos.
En noviembre de 2014, Kaspersky informó que un servidor perteneciente a una institución de investigación en Medio Oriente, conocido como el Magnet of Threats, alojó simultáneamente implantes para los agentes de amenazas altamente avanzados Regin y Equation Group (de idioma inglés), Turla e ItaDuke (en ruso), así como Animal Farm (en francés) y Careto (en español). De hecho, este servidor fue el punto de partida para el descubrimiento del Equation Group.
“En el mejor de los casos, atribuir es difícil, ya que las pistas son poco comunes y fáciles de manipular, y ahora también tenemos que tener en cuenta el impacto de los agentes de amenazas que se están hackeando entre ellos. A medida que más grupos se aprovechan de las herramientas, víctimas e infraestructura de otros, insertan sus propios implantes o adoptan la identidad de su víctima para montar nuevos ataques, ¿dónde deja eso a los cazadores de amenazas que intentan construir un panorama claro y preciso? Nuestros ejemplos indican que algo de esto ya está ocurriendo y los investigadores de inteligencia contra amenazas necesitarán hacer una pausa y adaptar su manera de pensar en lo que respecta a analizar el trabajo de los agentes de amenaza avanzados”, opina Juan Andrés Guerrero-Saade, investigador de seguridad del equipo de Kaspersky.