Download los nuevos virus informáticos: amenazas avanzadas persistentes

LOS NUEVOS VIRUS INFORMÁTICOS: AMENAZAS
AVANZADAS PERSISTENTES
Daniel Fírvida Pereira
Técnico de Seguridad de INTECO
Los virus informáticos y las actividades de los cibercriminales siguen
con el paso del tiempo un proceso de cambio y mejora propio, algo
parecido a lo que ocurre en la teoría de la evolución de las especies
de Darwin, sólo “sobreviven” los mejores, los más avanzados y los
que incorporan novedades más inteligentes en sus mecanismos de
funcionamiento.
En la actual generación de ciberamenazas existen todavía bastantes
1
virus de tipo troyano y muchísimos que además integran a los usuarios en una botnet . Los
especialistas dedicamos muchos esfuerzos a luchar contra estas amenazas, pero cada día nos
preocupan más lo que denominamos APT’s, Advanced Persistent Threat o Amenaza Avanzada
Persistente.
Las APTs son las amenazas emergentes que empiezan a destacar en el mundo cibercriminal cada
vez con más fuerza y marcan lo que probablemente será el futuro de los retos en materia de
seguridad informática, ciberterrorismo o ciberguerra.
Las características que tienen estas amenazas y que determinan su evolución con respecto a otras,
vienen muy determinadas por la expansión de dos de las siglas de su acrónimo que forman un
binomio muy potente: Avanzada y Persistente.
Las APTs tienen de alguna forma estas dos características, si bien alguna APT no es tan avanzada
técnicamente, sí que tiene una persistencia en sus ataques más elaborada que otras APTs, que
“garantizan” su éxito gracias a la técnica, sin necesitar una especial persistencia.
Para resultar avanzadas, muchas APTs incorporan en sus métodos de propagación la utilización de
2
vulnerabilidades conocidas como 0day o de tipo dia-0 para navegadores, sus plugins o las
herramientas ofimáticas más utilizadas. Esto garantiza el éxito en la infección de los sistemas,
manteniendo características de amenazas anteriores, como las botnets, que pasan inadvertidas en
3
los sistemas, utilizando para ello las técnicas de los rootkits .
Pero si esto además no fuera suficiente, disponen de la característica de ser persistentes. Esta
característica es la que resulta más evolucionada con respecto a ciberamenazas anteriores (algunas
ya se aprovechaban de vulnerabilidades de dia-0), pero ninguna utilizaba las técnicas de engaño,
4
investigación previa de objetivos y ataques dirigidos como lo hacen las APTs.
Esto es lo que las vuelve más peligrosas a las APTs, ya que dedican un enorme esfuerzo a adaptarse
al objetivo concreto que persiguen, llegando a obtener información de usos, costumbres o formas de
actuación de colectivos o personas a las que pretenden engañar para conseguir su infección. Esta
información se traduce muchas veces en infecciones provocadas a través de correos electrónicos con
ofertas de trabajo u otro tipo, o a través de infecciones previas en proveedores o colaboradores.
1
http://www.inteco.es/Formacion/Amenazas/botnets/
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/mercado_legal_vulnerabilidades_0day
3
http://www.inteco.es/Seguridad/Observatorio/Articulos/Amenazas_silenciosas_en_la_Red_rootkits_y_botne_11
4
http://www.inteco.es/guias/guia_information_gathering
2
Los nuevos virus informáticos: Amenazas Avanzadas Persistentes
1
Analizando estas características enseguida se comprende que las amenazas de las APTs no están al
alcance de cualquiera. Por ejemplo, los 0day muchas veces deben de adquirirse en el mercado negro
o pagar grandes sumas de dinero a empresas especializadas, las investigaciones de los objetivos
requieren mucha dedicación en inversión, etc. Esto hace que muchas de estas amenazas estén
relacionadas con la actividad “alegal o clandestina” que realizan los servicios de inteligencia de
algunos estados o de las organizaciones criminales más potentes convirtiéndose así en armas que se
utilizan para la ciberguerra o el ciberterrorismo.
Resulta complicado decir cuándo surgieron las APTs o cuál fue la primera., pero entre los incidentes
de seguridad más relacionados y que podemos considerar como una amenaza persistente destacada
5
estaría la que se denominó como “Operación Aurora” en 2009. Este incidente consistió en un ataque
coordinado a casi 30 multinacionales, entre ellas Google, Adobe, Yahoo o Morgan Stanley, a las que
se les robó información confidencial de sus compañías por medio de una vulnerabilidad 0day en
Internet Explorer. Google fue la primera que señaló como origen de esta amenaza a China.
Sin duda, la APT más destacada o que más comentarios ha suscitado a los especialistas del sector
6
es la que se descubrió en 2010 y que fue bautizada como Stuxnet . Esta APT básicamente era un
virus que infectaba sistemas Windows que ejecutaban el software de control de sistemas industriales
WinCC/PCS 7 de la compañía Siemens. Por lo que se conoce de este virus, aunque infectó muchos
sistemas en todo el mundo, y afectó especialmente a Irán, tan sólo se conocen consecuencias en el
caso de la infección de los sistemas de Complejo Nuclear Iraní de Natanz, donde las centrifugadoras
para enriquecimiento de uranio estaban controladas por
este software de control industrial. Mucho se ha hablado
sobre que diseñar una APT de este tipo, tan efectiva y
enfocada a un objetivo tan específico, requiere de
capacidades que podrían sólo estar al alcance de un
7
gobierno. En este caso el New York Times llegó a
publicar con confirmación de fuente oficial que se trataba
de un virus desarrollado y financiado conjuntamente por
Israel y Estados Unidos.
Algo más recientes son otras APTs como Red October,
descubierta en enero de 2013 y sobre la que hemos
8
trabajado en INTECO , consistía en una botnet diseñada
exclusivamente para robar información de tipo
gubernamental a través de infecciones en embajadas u
otros organismos internacionales de todo el mundo, pero
especialmente en países de Europa del Este. Una de las
características que convertían a esta botnet en una APT,
además de la sofisticación en sus mecanismos de robo de
información o de ocultación en el sistema, era que en muchos casos la infección se producía a través
de un mensaje de correo electrónico a personal de las embajadas u organismos con ofertas de venta
de coches diplomáticos como gancho.
La última amenaza considerada como APT ha sido el descubrimiento de una unidad militar del
ejército chino, la 61398, y bautizada por la empresa norteamericana Mandiant como APT1 en el
9
informe sobre la misma que publicaron en Febrero de 2013 . Dedicada en exclusiva a realizar
5
http://en.wikipedia.org/wiki/Operation_Aurora
http://es.wikipedia.org/wiki/Stuxnet
7
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=0
8
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/octubre_rojo
9
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/china_eeuu_apt_informe_Mandiant
6
Los nuevos virus informáticos: Amenazas Avanzadas Persistentes
2
ciberataques, dicho informe aporta evidencias de los mismos a través de casos concretos como el
realizado contra el periódico New York Times.
Las APTs son amenazas cibernéticas que han venido para quedarse y que día a día suponen un gran
reto para especialistas, administradores de sistemas o responsables de seguridad. Como tal,
requieren de todos un nivel de preparación y de medidas técnicas a la altura de la inteligencia y
sofisticación que traen consigo. Como muestra de ello, destacar que desde INTECO-CERT y CSIRT10 11
,
CV hemos realizado y publicado un estudio sobre medidas técnicas para la detección de APTs
recomendando a profesionales de seguridad una serie de acciones a llevar a cabo de cara a detectar
si estamos siendo víctimas de un ataque dirigido.
10
11
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Deteccion_APTs
http://www.csirtcv.gva.es/es/noticias/csirt-cv-e-inteco-cert-publican-el-informe-detecci%C3%B3n-de-apts.html
Los nuevos virus informáticos: Amenazas Avanzadas Persistentes
3