En el dominio ciberespacial podemos encontrar multitud de peligros, el Mando Conjunto del Ciberespacio ha hecho público un informe sobre las llamadas Amenazas Persistentes Avanzadas (APT), aquellas que destacan por el uso de un software muy sofisticado y la profesionalización que requieren.
Uno de los puntos más destacables de las APT está relacionado con aquellos que ejecutan y realizan estas acciones. Se caracterizan por ser grupos organizados, que normalmente están respaldados por organizaciones gubernamentales para conseguir objetivos políticos, económicos, estratégicos u operacionales a través del ciberespionaje o ciberataques.
Las formas de trabajar de estos grupos son difíciles de detectar debido a la complejidad de sus herramientas. A pesar del anonimato parcial que ofrece el ciberespacio, se busca activamente crear perfiles de estos grupos para catalogarlos y atribuirles acciones. El problema con la investigación de estos ataques es la llegada a un punto muerto en el momento de buscar a una persona en concreto, por lo que para crear una trazabilidad y un registro se estudia a través de las Tácticas, Técnicas y Procedimientos (TTP) utilizados por estos grupos hostiles, que ayudan a saber a qué nos enfrentamos y qué herramientas emplean cuando operan en el ciberespacio.
Las APT poseen una naturaleza diferente a la de otros tipos de atacantes, estos no se basan en un ataque de entrada y salida rápida ya que sus acciones se realizan para persistir ocultos en la red atacada, infectar el máximo de dispositivos posibles y realizar extracciones de datos de forma que sus actividades resulten indetectables. Por todo ello, los procedimientos ejecutados por las APT suelen constar de tres fases diferenciadas y escalables; fase de infiltración, fase de expansión y fase de extracción.
En la fase de infiltración estos grupos buscan la forma de encontrar backdoors (secuencias de código de programación que se ejecutan dentro de una consola infectada para otorgar permisos de administrador y de control de forma remota a un atacante) o puertas traseras a través de vulnerabilidades del sistema, tácticas de phishing (un tipo de ciberataque que utiliza métodos de ingeniería social para intentar engañar a los usuarios a través de correos o notificaciones fraudulentas que imitan sitios o mensajes reales para robar datos u otorgar permisos) avanzado o incluso a través del uso de dispositivos externos o extraíbles, también pueden darse infiltraciones de carácter físico.
La fase de expansión se caracteriza por funcionar como un gusano informático estos son virus auto replicantes que se expanden por las redes afectadas, pero de forma más compleja debido a la seguridad que suelen tener las redes contaminadas, aunque el objetivo es el mismo, expandirse en la red y auto replicarse en los sistemas de la misma.
En la fase de extracción se suele establecer previamente un almacenamiento de archivos de interés para estos grupos en algún dispositivo de la red infectada, se almacena contenido crítico y cuando se considera oportuno para los parámetros de la operación del infiltrador se envía a dispositivos propios de estos grupos. Para evitar que se detecten estas trasmisiones, suelen acompañarse de ataques de ruido blanco como ataques de denegación de servicios (DDoS) para permitir que la extracción pase desapercibida.
Al saber qué son y cómo funcionan, podríamos preguntarnos qué objetivos poseen los grupos APT. Como se ha mencionado anteriormente, los objetivos suelen ser administraciones gubernamentales, instituciones o empresas relacionadas con la defensa de un país e infraestructuras críticas. Las acciones que se llevan a cabo contra estos objetivos son normalmente ciberespionaje o ciberataques, pero también encontramos ciberdelincuencia económica a gran escala, en búsqueda de autofinanciación.
.jpg)
Quien está detrás de los ataques
Existen varios grupos dedicados a la realización de ataques ATP, entre los más conocidos destacan:
ATP28 (Fancy Bear): este grupo de carácter hostil está relacionado, presuntamente, con la unidad militar rusa del Centro Principal de Servicios Especiales de la Dirección Principal de Inteligencia. Este grupo ha realizado actividades enfocadas contra el bando ucraniano en el conflicto bélico entre la Federación Rusa y Ucrania con la finalidad de obtener información clave y así tratar de otorgar ventaja al bando ruso.
APT MustangPanda: Es un actor cibernético con base en China, sus operaciones están registradas en tres principales focos, Europa, Australia y Japón. Dentro de Europa, España ha sido objetivo de varios ataques realizados por este grupo, el CNI considera a este grupo como una de las grandes amenazas al ciberespacio nacional.
ATP34 (OILRIG): es un grupo iraní que lleva operando en el ámbito ciberespacial durante, al menos, ocho años. Están centrados en campañas de actividades relacionadas con los recursos energéticos, el petróleo, gas y recursos financieros contra rivales cercanos a Irán, como por ejemplo Oriente Medio e Israel. Su poder de influencia puede llegar a ser muy elevado debido a la importancia estratégica que tienen sus objetivos.
Por último, es importante mencionar el problema que suponen estos grupos no solo a nivel ciberespacial, sino también la dificultad que poseemos para otorgarles una identidad y una responsabilidad. La atribución también es complicada ya que los ciberataques pueden ser considerados un ataque directo internacionalmente. Esto sitúa al Estado que recibe un ataque de esta naturaleza en una situación compleja, debido a que un ataque de este tipo podría considerarse como una declaración de guerra (teniendo en cuenta la gravedad y repercusión). El dominio ciberespacial, en constante evolución, requiere de una legislación especial para poder tipificar correctamente las acciones que tienen lugar en su ámbito. Como en todo ámbito relacionado con la defensa, conocer al enemigo es imprescindible. (Fuente: Mando Conjunto del Ciberespacio)
1 comentarios