Vivimos en tiempos realmente interesantes: hace exactamente diez años, el Departamento de Defensa de EE. UU. Definió el dominio cibernético como quinto dominio de la guerra, pero fue hace sólo unos años que las peculiaridades de esta catalogación surgieron en todas sus evidencias.
Las técnicas de guerra digital estratégica, operativa y táctica se han combinado con características únicas de este dominio, como la asimetría entre atacante y defensor o la velocidad de propagación; contaminándose con otras esferas económicas y criminales, hasta el punto de representar hoy un unicum que premia esta catalogación elevándola casi a una singularidad tecnológica.
Este es el pensamiento que me estimuló una noticia sobre un actor de amenazas particular, llamado Lázaro.
"Actor de amenazas" es un nombre específico, normalmente reservado para los actores organizados que, a veces patrocinados por los estados, han surgido mediante el uso de estrategias, procedimientos y técnicas de ataque bien definidos y particulares. Lázaroen concreto, es un grupo patrocinado por el estado norcoreano y activo desde 2009; según otras clasificaciones, este grupo puede ser conocido por las siglas APT38, Hidden Cobra, ZINC (leer articulo).
La noticia hablaba de una campaña de ataque bastante sofisticada, basada en una versión del software IDA Pro armado con un malware troyano, destinado a comprometer a los investigadores en ciberseguridad.
A primera vista, noticias no demasiado llamativas sobre otro ataque organizado contra un objetivo específico, como muchos están escuchando en este período.
Sin embargo, al profundizar el contexto, surgen algunas connotaciones importantes.
IDA Pro es un potente software que permite a los analistas de seguridad desensamblar cualquier ejecutable, por ejemplo para comprender cómo es posible infectar sistemas a través de un el malware.
Esta operación se llama ingeniería inversa.
La razón por la que IDA Pro se ha vuelto popular entre los investigadores de seguridad se debe al poder de la solución, que existe en una versión gratuita con una funcionalidad decididamente de primer nivel.
Sin embargo, para aprovechar el poder de la versión completa, debe comprar la versión Profesional, que tiene un costo significativo. Esto llevó a varios investigadores a buscar versiones pirateadas o no oficiales de la solución, creando el público objetivo del ataque. Grupo Lázaro.
Reflexionando sobre este aspecto, la opción de buscar una versión descifrada de un software para ingeniería inversa por parte de quienes deberían conocer mucho mejor que otros los riesgos a los que se enfrentan: de hecho, es más seguro que probable que una versión de software pirateado esté infectada con formas de el malware ocultando más o menos sutilmente, pero a menudo con efectos devastadores.
No es que el movimiento de Grupo Lázaro no es de ninguna manera justificable, pero la elección del objetivo por parte del atacante puede no ser aleatoria en absoluto.
Desde un punto de vista estratégico, de hecho, un investigador de ciberseguridad ocupa un lugar extremadamente importante en la "cadena de valor": de hecho, podría ser un consultor infectado que tendría acceso a más clientes; o golpear a un analista desprevenido podría ayudar a violar el sancta santorum de la ciberseguridad de una organización, la parte más especializada de la cadena de defensa.
Es por ello que esta noticia debe llevarnos a reflexionar sobre este extraño conflicto entre dos frentes que son solo aparentemente opuestos, pero que en realidad representan, aunque por diferentes motivos, elementos nocivos para las empresas y para la seguridad en general.
Para obtener más información:
