El arte de encontrar esqueletos de ciber-dinosaurios

“La investigación de APTs es como la paleontología…”

Nuestro informe sobre la operación cibernética gubernamental Regin despertó dudas sobre si las compañías antivirus retienen información – y detecciones – de forma deliberada cuando los gobiernos y sus clientes se lo piden. Bruce Schneier inició una discusión similar en 2013.

Primero aclaremos lo más importante: Ningún cliente o gobierno nos ha pedido jamás que agreguemos a nuestras listas blancas o dejemos de detectar ningún ejemplar específico de malware. Nunca lo haríamos, sin importar quién lo pida.

No va a pasar. Algunas veces, las investigaciones de ataques dirigidos avanzados incluyen acuerdos de confidencialidad con los clientes, pero esto no evita que agreguemos la detección de los programas maliciosos que descubramos para proteger toda nuestra base de datos contra las nuevas amenazas.

Entonces, ¿por qué nos tomó dos años publicar un informe sobre Regin? Si ignoramos el contexto, se puede llegar a pensar que los investigadores escondieron algo muy importante por la gran cantidad de tiempo que pasó. Sin embargo, las investigaciones de seguridad –como las de las autoridades legales– necesitan pasar por un análisis meticuloso y, en muchos casos, es importante ver cómo se desarrolla un crimen en tiempo real para construir un caso sólido.

Como nuestros recursos son limitados y estamos siguiendo varios actores de Amenazas Persistentes Avanzadas (APTs) a la vez (Careto/Mask, EpicTurla, Darkhotel, Miniduke/Cosmicduke, entre otras), el proceso de llegar a comprender una operación cibercriminal por completo puede llegar a tomar meses y hasta años.

Sean Sullivan, de F-Secure, hizo una descripción perfecta de las investigaciones de APTs, comparándolas con el trabajo de los paleontólogos para encontrar huesos de dinosaurio. Todos pueden tener un hueso, pero nadie el esqueleto completo.

En el caso de Regin, lo que descubrimos en 2012 era un hueso dañado de una parte desconocida de un monstruo que vivía en un lago misterioso de las montañas.

(cortesía de southampton.ac.uk)

Cuando una persona común encuentra un hueso lo más probable es que lo descarte y siga su viaje, pero quienes estamos en la industria del análisis de seguridad los recolectamos. Agregamos el hueso a nuestra colección en el garaje. Tenemos varios huesos fracturados que podrían ser de monstruos desconocidos o criaturas inofensivas. A veces escuchamos que otras personas descubren fragmentos de huesos y revisamos nuestra colección, pero en las primeras etapas no hay suficiente evidencia para llegar a conclusiones significativas. No vale la pena hacer públicos nuestros descubrimientos hasta que confirmemos que los monstruos son reales, grandes y peligrosos.

Seguimos desarrollando medios para recolectar diferentes artefactos que nos puedan ayudar a combinar algunas de las piezas de nuestra colección. A veces trabajamos con otros “paleontólogos” y compartimos nuestros descubrimientos. Cuando conseguimos suficientes huesos para comprobar que estamos ante la presencia de un monstruo y tenemos una idea de su tamaño, peligro y posible hábitat, pasamos a la siguiente fase: una investigación activa en el mundo real para llegar al misterioso lago de la montaña.

Un intenso proyecto de investigación de APTs consiste en varias etapas:

  1. Agregar la detección para los módulos conocidos
  2. Recolectar de ejemplares
  3. Revertir las muestras
  4. Descifrar los cifrados y compresiones complejas
  5. Comprender el movimiento lateral de la amenaza
  6. Definir las múltiples etapas de ataque en el orden correcto
  7. Mapear la infraestructura C&C
  8. Instalar drenajes (sinkholes)
  9. Analizar el tráfico recolectado y protocolos de comunicación
  10. Arrastrarse hacia otros anfitriones que comprenden el mismo protocolo
  11. Cerrar y conseguir imágenes de los servidores C&C
  12. Identificar a las víctimas, notificarles de la situación e informar a las CERTs
  13. Hacer análisis forenses y extraer registros, archivos robados y otros componentes
  14. Recolectar y analizar datos de KSN, servidores C&C, víctimas que quieran ayudarnos, drenajes, arañas web, etc.
  15. Escribir un informe completo

Si tenemos suerte y encontramos al monstruo en su hábitat, esa es la mejor fuente para hacer el estudio. En la mayoría de los casos, entre ellos Regin, observamos y aprendemos del comportamiento del monstruo vivo. Registramos cada uno de sus pasos y acciones.

También podemos atraparlo y estudiarlo en un laboratorio, como zoólogos. Pero, en muchas investigaciones, sólo conseguimos su esqueleto. Debemos unir todas las piezas y reconstruir la forma en la que se movía para develar sus hábitos, las especies que atacaba y cómo coordinaba estos ataques. En pocas palabras: se necesita tiempo y paciencia.

Además, cuando analizamos las características de una criatura, comprendemos que la evolución sigue su curso y que hay otras especies como la que estamos estudiando, vivas y felices en algún lugar aunque no podamos verlas.

Aunque detectamos algunos de los ejemplares de Regin hace tiempo y seguimos encontrando muestras y artefactos a lo largo de la investigación, estamos convencidos de que existen otros que todavía no han sido descubiertos. Se sabía poco sobre su vida y existencia en el pasado, pero sabemos que están presentes gracias a los pequeños rastros que encontramos con el tiempo. Y debemos volver a hacer el paralelismo con la paleontología, porque a gran escala sólo hemos descubierto una pequeña parte de la bestia, pero tenemos suficiente material como para publicar una alerta pública

Como pasó con Regin, a veces descubrimos que hemos estado detectando fragmentos de un programa malicioso por muchos años antes de darnos cuenta de que forman parte de una operación global de ciberespionaje. Un buen ejemplo de ello es la historia de RedOctober. Habíamos estado detectando componentes de RedOctober mucho antes de que descubriésemos que se estaba usando en ataques dirigidos contra organizaciones diplomáticas, gubernamentales y de investigación científica.

En Kaspersky Lab procesamos cientos de miles de ejemplares al día. El arte de diferenciar los más significativos y, además, los que pertenecen a una APT expandida, equivale a encontrar una aguja en un pajar y descubrir a qué costurero pertenece. A pesar de las dificultades, nos alegra encontrar cada una de las agujas, porque nos permite hacer de éste un mundo un poco más seguro.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *