ADVANCED PERISTENT THREATS

Tema genérico de Seguridad en las Tecnologías de la Información y las Comunicaciones: Ciberguerra, ciberespionaje, ciberdelito, redes sociales.
Responder
martijn
Mensajes: 6
Registrado: 30 May 2013 09:57

ADVANCED PERISTENT THREATS

Mensaje por martijn »

ADVANCED PERSISTENT THREATS. INTRUSION PERMANENTE AVANZADA SOBRE FSE Y ADM JUSTICIA.

Saludos,

Casualidad y tozudez de Tauro me ha llevado a observar un programa de APT con un modulo para escanear el ordenador en busca de ficheros que contengan ciertas palabras clave, expresiones y/o terminologia que los identifique como ordenadores personales pertenecientes a personal de las FSE y la administracion de justicia. Si la busqueda tiene un resultado positivo se inicia una conexion a un servidor de C&C determinado el cual facilita una serie de payloads especificos para ordenadores que contengan esos indicadores.

Los vectores y tecnologas de penetracion son sofisticadisimos, incluyendo contramedidas para asegurar la invisibilidad ante las utilidades de seguridad instaladas. Combina 0 days exploits de SO y de aplicaciones preinstaladas en el ordenador. Registra dominios como "trusted" eleva permisos, se apodera de ficheros, lanza servicios y/o procesos que han sido marcados como seguros (firmados digitalmente) para poder "zombificarlos" y ejecutarlos bajo su control en (casi) total invisibilidad.

Pero no he venido a escribir acerca de la parte tecnica del asunto, sino acerca de los indicadores que esta particular operacion presenta: porque FSE y administracion de justicia?

El primer pensamiento es que son targets de oportunidad: el nivel de conocimiento tecnologico de nuestros policias no es demasiado elevado exceptuando los que sirven en unidades tecnologicas y quizas fiscales. La FSE y la administracion de justicia les falta presupuestos y a veces funcionarios y magistrados compran ordenadores personales privados que utilizan para tareas profesionales. Estos ordenadores personales son maquinas extremadamente sencillas de comprometer si no han sido sometidas a un configuracion de seguridad seria por parte de un experto

Un usuario basico, sin conocimeintos reales de ICT probablemente no es capaz ni siquiera de comprender en su totalidad los mensajes de su antivirus, firewall o de errores en el sistema operativo. Menos aun de poder observar lo que son indicadores indeterminados, aislados o puntuales que le hagan entender que su sistema e informacion esta siendo objeto de un ataque.

Una campana de pesca de arrastre destinada a intentar detectar penetrar y monitorizar/controlar ordenadores de miembros de las FSE Adminsitracion de justicia promete dar frutos muy interesantes -casos, anotaciones, sospechosos en forma de personas fisicas o juridicas... ficheros, actas, sentencias, informadores, colaboradores- con una extremadamente baja probabilidad de deteccion.

Quien quiera que sea que tiene montada esta fiesta tiene capacidades de desarrollo muy avanzadas, gran organizacion logistica y operativa y la financiacion necesaria. Y estan interesados en este "sector" de la poblacion. Al menos tanto como para dedicarles servidores de C&C y payloads concretos.

La FSE son la primera vertebracion del estado. Representan la autoridad y legitimidad de un gobierno, ergo de un sistema de justicia y libertades. Las revoluciones sociales solo pueden triunfar cuando una parte de las FSE sienten que la legitimidad del gobierno existente se ha extinguido y no ejecutan la represion que se le ordena. Sabemos que existen simuladores y "herramientas de ayuda en las decisiones" que sirven para programar un escenario, unas variables y ver cual es la probabilidad de diferentes proyecciones.

La sofisticacion de estas herramientas es dificil de comprender para los no iniciados. Pero si para muestra un boton... El ordenador principal dedicado a la simulacion de wargames en el escenario europeo ha sido virtualizado bajo datos de poblacion reales, mapas geograficos y demograficos, consumo y produccion en energia, alimentos y produccion industrial, etc de todos los paises europeos, y a cada uno de esos habitantes virtuales se les esta dando capas de datos capturados de perfiles en las redes sociales, OSINT etc para poder observar al detalle las diferentes reacciones de subgrupos sociales comunidades reales/virtuales paises, desde crisis economicas, desastres naturales o escenarios belicos con uso de armas nuclleares tacticas, por citar unos ejemplos reales.

La temperatura social esta elevada. Y realmente es la posicion de la policia ante un movimiento social de masas la que lo disuelve o encumbra al poder. Tengo la impresion de que ademas de haber lanzado esta operacion para capturar, comparar, confirmar y/o eliminar informacion, los responsables estan muy interesados en medir el "feeling" que destilan las FSE/ADMJUS cuantificarlo y convertirlo en una variable de una simulacion social. Y me preocupa que existan "operadores" que esten haciendo zoom en las FSE y Adm de Justicia. Son un grupo social con un enorme poder real en la sociedad. Me parece un peligro para las instituciones, el estado y los ciudadanos que alguien este "cyber-ops" con los que tiene que protegernos.

Me parece escalofriante que la respuesta que tenemos ante estos actos de guerra/terrorismo cibernetico es enterrar la cabeza en la arena y reiniciar windows. Un ordenador y unas lineas de codigo pueden ser armas de disrrupupcion masiva y estamos demostrando que no tenemos la mas minima capacidad de defensa, aun peor, no sabemos ni distinguir ni entender cuando estamos bajo ataque.

Hay que nacionalizar y militarizar lo mejor de nuestras universidades en Tecnologias de la Informacion y Telecomunicaciones. Un servicio militar obligatorio dedicado a la cyber defensa y proteccion de infraestructuras. Tendriamos que asumir desde YA que las redes de datos e infraestructuras estrategicas ya han sido mapeadas, penetradas y/o sus operadores y equipos humanos estan comprometidos y pueden ser utilizados para ataques sin ellos darse cuenta. Es asi de claro y as dei incomodo. Pero si no lo asumimos, tarde o temprano nos pondran mirando a Cuenca y nosotros sin enterarnos hasta que sea demasiado tarde.

Personalmente... me da igual que sean hackers Chinos, Bulgaros, Rusos... servicios de inteligencias aliados o enemigos, los extraterrestres de Alfa Centauri o los Portugueses que siempre nos han tenido ganas... hay que identificar y desarticular este tipo de operaciones y ademas comprender los objetivos que persiguen y desarrollar contramedidas tecnologicas, operativas, sociales y de formacion.

Solo espero que esta vez, no empecemos a reaccionar cuando ya es demasiado tarde.
Avatar de Usuario
pcaspeq
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 998
Registrado: 20 May 2009 23:50

Re: ADVANCED PERISTENT THREATS

Mensaje por pcaspeq »

Espectacular!!

Superinteresante!!
Responder

Volver a “STIC”