Mayo 9, 2019
SAS-2019: Noticias de ciberseguridad desde el lado oscuro
¡Hola a todos!
Hoy os traigo una nueva actualización de noticias de ciberseguridad desde el lado oscuro, esta vez dedicada a las presentaciones de nuestra Security Analyst Summit anual del mes pasado en Singapur.
Una de las características principales de todas las SAS son las presentaciones de los expertos. A diferencia de otras conferencias geopolíticamente correctas, los analistas comparten sus descubrimientos sobre cualquier ciberamenaza, sin importar de dónde proceda, ya que siguen sus principios. Después de todo, el malware sigue siendo malware y los usuarios tienen que estar protegidos de las amenazas, independientemente de las intenciones de sus creadores. ¿Recuerdas el efecto bumerán?
Y si algún medio de comunicación decide mentir abiertamente sobre nuestros principios, que así sea. Pero que sepan que no solo van en contra de nuestros principios, nos gusta predicar con el ejemplo y esto demuestra nuestro liderazgo en la resolución de operaciones de ciberespionaje. Además, deben saber que no tenemos pensado cambiar nuestra posición en perjuicio de los usuarios.
Dicho esto, aquí os dejo las charlas más interesantes, increíbles y aterradoras que han tenido lugar en la SAS.
1. TajMahal
El año pasado destapamos un ataque a una organización diplomática de Asia Central. Evidentemente, que una organización como esta interese a los ciberdelincuentes no debería sorprender a nadie. Los sistemas de información de embajadas, consulados y misiones diplomáticas siempre han atraído el interés de otros estados y sus agencias de espionaje o de cualquiera con los conocimientos y recursos financieros necesarios. Sí, todos leemos novelas de espías, pero seguro que esto no lo has leído en ningún libro. Los atacantes construyeron un auténtico “TajMahal”, una plataforma APT con un gran número de complementos utilizados (nunca habíamos visto el uso de tantos complementos en una sola plataforma APT hasta la fecha) para todos los escenarios de ataque utilizando varias herramientas.
La plataforma consiste en dos partes: Tokyo, la puerta trasera principal, que también completa la función de envío del último programa malicioso, y Yokohama, que tiene distintas funcionalidades, como robar cookies, interceptar documentos de la cola de impresión, registrar llamadas VoIP (incluidas las de WhatsApp y FaceTime), realizar capturas de pantalla y mucho más. La operación TajMahal ha estado activa al menos 5 años y su complejidad podría sugerir que se ha desarrollado con más de un objetivo en mente; para descubrir el resto, tuvimos que indagar un poco más.
Puedes encontrar toda la información sobre esta APT aquí.
2. Gaza Cybergang
La primera vez que escribimos sobre Gaza Cybergang fue en el 2015, aunque este grupo árabe con motivaciones políticas lleva en activo desde el 2012. Principalmente opera en Oriente Medio y Asia Central y la mayoría de los ataques se han producido en Palestina, aunque también ha habido muchos intentos de infección en Jordania, Israel y Líbano. Su interés está más que claro: fisgonear a políticos, diplomáticos, periodistas y activistas políticos.
Este grupo se podría describir como un “compuesto”, ya que está formado por al menos tres subgrupos. Cada uno de estos grupos cuentan con diferentes técnicas de espionaje, por ello fue complicado detectar de primeras que se trataba de un trabajo en conjunto. Ya hemos hablado de los dos grupos con las mejores habilidades técnicas en nuestro blog. El tercer subgrupo, MoleRATs, se anunció por primera vez en la SAS-2019 y ha participado en la operación SneakyPastes (llamada así por el uso activo de pastebin.com).
Estos ataques de múltiples etapas comienzan con un correo electrónico de phishing sobre un tema político actual que parece contener algún tipo de protocolo de negociación o un mensaje de una organización de renombre. Un empleado con una formación inadecuada podría caer perfectamente y abrir el archivo adjunto que, aunque parezca inofensivo, puede contener malware y desencadenar una serie de infecciones. Una vez dentro del sistema, los ciberdelincuentes ocultan la presencia del malware a los programas antivirus y continúan con las siguientes etapas de ataque.
Por último, se instala un RAT en el dispositivo de la víctima que puede descargar y cargar archivos, lanzar aplicaciones, buscar documentos y cifrar datos. Encuentra todos los archivos .pdf, .doc, .docx, .xlsx en el sistema, los almacena en carpetas de archivos temporales, los clasifica, los archiva, los cifra y los envía mediante una serie de dominios al servidor de mando y control. ¡Y así es cómo funciona el espionaje en el 2019!
¿Quieres más información? Echa un vistazo aquí.
3. El fraude financiero y los clones digitales
Si crees que todas nuestras investigaciones solo se centran en ataques que parecen sacados de una novela de ciencia ficción, espías o detectives, estás equivocado. El tercer caso del que quiero hablaros es un ciberdelito muy sencillo que afecta a muchos usuarios y que se ha hecho tan común que los medios ni siquiera hablan ya sobre él, ¡aunque deberían! Sí, estoy hablando del fraude financiero. Según una fuente de confianza, en el 2018 se perdieron 24 mil millones de dólares a causa del fraude de tarjetas de crédito. Si comparamos la cifra, el presupuesto anual de la NASA es de 21,5 mil millones de dólares y las Olimpiadas de Tokio costaron 25 mil millones.
Ha surgido un nuevo término para referirse al fraude de tarjetas de crédito: carding. Este delito sigue creciendo año tras año y, aunque los bancos y los sistemas de pago prestan especial atención a la seguridad, los estafadores siguen desarrollando nuevas herramientas para robar dinero a través de las tarjetas bancarias.
Sergey Lozhkin anunció en las SAS-2019 otro tipo de delito financiero. Descubrió todo un mercado llamado Genesis en la darknet donde se compraban y vendían huellas digitales robadas. Se trata básicamente de paquetes de datos sobre el comportamiento de un usuario en la red y su huella digital: historial de sitios visitados, información sobre su sistema operativo, el navegador y demás. ¿Y qué uso puede tener toda esta información? Estos son los datos que utilizan muchos sistemas online de protección contra el fraude para identificar a los usuarios. Por lo que, si una huella digital coincide con la utilizada anteriormente, la solución de seguridad “reconoce” al usuario y aprueba la transacción. Por ejemplo, una compra en una tienda de Internet o una transferencia a través de la banca online. El precio de estas huellas digitales oscila entre 5 y 200 dólares, según el volumen de datos.
¿Cómo se recopilan estas huellas digitales? Utilizando varios programas maliciosos, el malware puede alojarse en tu ordenador y recopilar poco a poco y en oculto todos los datos que pueda.
Los ciberdelincuentes han dado con otro método para eludir los sistemas de protección completa: parecer un usuario nuevo en el sistema. Para ello, necesitan la ayuda de un servicio especial llamado Sphere que restaura la identidad digital y todos sus parámetros, de esta forma, el delincuente parece estar “limpio”.
¿Qué podemos hacer ante esto? Los bancos necesitan estar al tanto de las ultimas estrategias de fraude y utilizar una autentificación de doble factor. Creo que pronto tendrán que añadir datos biométricos, huellas digitales, reconocimiento de iris, etc. De momento, sé precavido con tus datos, contraseñas y numeraciones de la tarjeta y lleva cuidado con los ordenadores en sitios públicos y las conexiones de red abiertas. Y, por supuesto, utiliza una buena solución de seguridad que pueda reconocer toda actividad maliciosa que vaya contra tu identidad digital.
4. El poder secreto de YARA
Hacia el final de la SAS de este año, Vitaly Kamluk nos deleitó con una presentación al estilo PechaKucha (20 diapositivas mostradas durante 20 segundos cada una) sobre las habilidades de YARA, un tipo de motor de búsqueda para identificar las características de los archivos ejecutables, una ayuda más que valiosa para el análisis de malware.
En su presentación, titulada “El secreto del poder de YARA”, aplicó sus poderes especiales de Jedi a su herramienta y emitió un vídeo en tiempo real en arte ASCII. El público quedó atónito, pero todavía había más, ya que añadió un poco más de magia y ¡comenzó a jugar al DOOM con el mismo régimen en ASCII! La audiencia no se lo podía creer.
5. Y si…
En la última presentación, el director de nuestro GReAT, Costin Raiu, dejó a la audiencia muchas cosas en las que pensar sobre cómo puede penetrar el malware en un sistema a nivel de hardware y también los métodos posibles de ocultación en las profundidades de este. ¿Qué podemos hacer si estas hipótesis se cumplen? ¿Cómo puede responder la industria de la ciberseguridad? La presentación de Costin básicamente fue como una guía de iniciación en su campo.
Bien, este ha sido un resumen con los éxitos de la SAS-2019, esperamos que la SAS-2020 sea aún mejor.
P.D.: En la SAS-2019 hubo un total de 70 presentaciones y estas representan únicamente a los finalistas que consiguieron pasar todos los procesos de selección. No puedo hablar sobre todos, pero espero que pronto esté el vídeo con la conferencia al completo en nuestro canal de YouTube.