2019/07/22

Advanced Persistent Threat (II) - Atribución

Por el 2019/07/22 con 0 comentarios

Como ya adelantábamos en el primer artículo, los APT son grupos avanzados capaces de provocar el mayor impacto imaginable, incluyendo daños a la propia Seguridad Nacional de un país. Sin embargo, no hay mes en el que no escuchemos noticias sobre nuevas víctimas de alguno de estos grupos, incluyendo algunas de las empresas o estados más preparados del mundo. ¿Cómo puede ser que una amenaza tan extremadamente grave se materialice una y otra vez de forma indefinida en el tiempo sin una respuesta efectiva?

Como todo en esta vida, la respuesta a esta pregunta no es sencilla. Sin embargo, sí que existe un factor determinante que nos puede arrojar algo de luz en este sentido, y es el concepto de atribución. La atribución es la capacidad de rastrear e identificar al responsable de un ciberataque, generalmente, con el objetivo de poder acusarlo por los cauces pertinentes.

Como cualquier otro crimen, un ciberataque pueden tener consecuencias gravísimas, no sólo reputacionales, sino de tipo económicas o asociadas al cumplimiento normativo. Por este mismo motivo, después de cada incidente puede ser necesario iniciar una importante investigación con el objetivo de dilucidar qué ha sucedido, cómo ha sucedido, y quién es el responsable último del ataque.

Sin embargo, al contrario de lo que suele suceder en otro tipo de delitos, la propia naturaleza del espacio Cyber hace muy difícil perseguir al autor material de determinados hechos. La arquitectura pública y distribuida de Internet hace que los atacantes tengan innumerables mecanismos para ocultar sus actividades. Por ejemplo, un atacante de China interesado en una víctima de EEUU podría utilizar, sin mayor complicación, direccionamiento IP de EEUU que impida identificar el origen chino de la amenaza. Para ello podría redirigir las comunicaciones a través de proxies, usar la red Tor, utilizar ordenadores y servidores previamente comprometidos, o incluso contratar de forma anónima servidores alojados en EEUU. Además, redirigir las comunicaciones a través de servidores alojados en diferentes países es trivial, creando escenarios donde cualquier investigación va a requerir de un compromiso internacional en el que numerosas jurisdicciones entran en juego, generalmente impidiendo la recogida rápida de evidencias que puedan ser utilizadas en el caso.

Pero no sólo eso, y es que cuando el crimen proviene de un APT las situaciones pueden ser aún más difíciles.

Supongamos por un momento que Cyberistán ataca a Ambrosía, y que sin mucha preocupación utiliza la infraestructura de la empresa privada Bad Corp, afincada en Cyberistán, y con la que los servicios secretos de Cyberistán están asociados.

Aunque no traten de ocultar el origen de las comunicaciones, sin una investigación más detallada, en un principio desde Ambrosía como mucho podrán saber eso, que el origen de las comunicaciones está en Bad Corp, una empresa privada de Cyberistán.

Para empezar, que un ataque salga de Bad Corp. no quiere decir que detrás del ataque esté Cyberistán, ni que estos hayan promovido dicha actuación, aunque todas las sospechas estén detrás de ese estado enemigo. Por ejemplo, puede que un tercer estado, Borostyria, haya hackeado a Bad Corp. para lanzar el ataque desde esa infraestructura.

Pero no sólo eso, porque como además Cyberistán y Ambrosía son naciones no alineadas, y uno de los principales objetivos de Cyberistán es, digámoslo claro, tocarle las narices a Ambrosía, podrá hacer todo tipo de perrerías en una posible investigación si es que esta se llega a iniciar. Así a bote pronto podrá:

  • Avisar a Bad Corp. para que limpie todas las evidencias (por error, claro).
  • Como comentábamos, sea verdad o no, sugerir que Bad Corp. ha sido víctima de un ataque y que por tanto los malos son otros. 
Al final, puede que incluso los servicios secretos de Ambrosía tengan información conseguida de forma paralela que permita, casi con un 100% de probabilidad, atribuir el ataque a Cyberistán. Pero a efectos prácticos, no se acusará formalmente a nadie. ¿Por qué? Puede que se considere que es mejor no revelar la información que se ha obtenido a través de otros medios, quizás para ocultar exáctamente los medios o fuentes usadas, o incluso puede que se entienda que las consecuencias de esta acusación puedan ser, en realidad, peores para sus propios intereses.

Un ejemplo de esto último lo hemos podido ver reciéntemente, cuando algunos medios se hacían eco de una dura realidad: numerosas empresas de EEUU sabían que estaban siendo atacadas por China, pero aun así decidieron silenciarlo. Un secreto a voces ocultado, al parecer, durante décadas. ¿El motivo? Pues parece ser que para algunos directivos era mejor mirar para otro lado y así garantizar los números del trimestre, que proteger de forma efectiva a su propia compañía. Años mirando a otro lado, aunque esto suponga permitir que toda ventaja tecnológica y competitiva se desvanezca día a día debido al robo constante de información. Un claro ejemplo de pan para hoy, y hambre para mañana.

En resumen, tenemos pues que la atribución es difícil ya que:
  1. La arquitectura distribuida de Internet y los mecanismos de intercambio de información dificultan conocer el origen de un ataque.
  2. Los atacantes, además, pueden utilizar diversas técnicas para dificultar todavía más sus actividades.
  3. Aun suponiendo que llegas a conocer el origen de un ataque, normalmente es difícil asociar ese origen a un actor concreto.
  4. Y finalmente, aun identificando a un actor concreto, queda en el aire saber si el estado debe ser responsable de las acciones de ese grupo de personas.
Sin embargo, cada vez existen más técnicas y herramientas utilizadas por expertos en ciberseguridad con el objetivo de intentar atribuir una campaña maliciosa a un actor o grupo determinado. Grandes campañas, como las de los APT, suelen involucrar una infraestructura grande y compleja, con numerosas personas trabajando en ella y diferentes objetivos. Por este motivo, la posibilidad de cometer errores o de dejar suficientes trazas que permitan apuntar a un origen concreto van creciendo a lo largo del tiempo.

En próximos artículos seguiremos a vueltas con la atribución, y con algunos de los datos utilizados por los analistas para poder analizar una campaña de APT.

¡Saludos!
    email this       edit

0 comentarios:

Publicar un comentario