Actores de amenazas del estado nación: los servicios de inteligencia al frente de la próxima guerra

(Para Carlo mauceli)
17/01/22

La OTAN ha reiterado repetidamente que "un ataque cibernético dirigido a una nación es una agresión a todos los países miembros". El artículo 5 de la Alianza Atlántica, que establece el derecho a la defensa colectiva, entraría en vigencia de manera inmediata a partir de La OTAN considera el ciberespacio una nueva dimensión de los enfrentamientos armados a la altura de la tierra, el cielo, el aire y el espacio.

El incipit esta mas actual que nunca y me dio la inspiracion, junto con la lectura del libro muy interesante "Guerra cibernética, la próxima guerra de Ventura" de Aldo Giannuli y Alessandro Curioni, dedicado a la guerra cibernética, para hacer un balance de lo que estamos viviendo en este "tiempo digital".

En nuestros días, la guerra abierta sólo es posible en escenarios periféricos ya condición de que los ejércitos de las grandes potencias no se enfrenten directamente sobre el terreno. La historia reciente muestra que las acciones bélicas sólo pueden realizarse como guerra indirecta a través del enfrentamiento entre sujetos menores, cada uno protegido por una gran potencia, o en forma de guerra encubierta o, mejor aún, catalítica, donde un sujeto desencadena una guerra entre dos. sus competidores, permaneciendo en las sombras.

El uso de formas encubiertas de guerra debe ir acompañado de otras formas más o menos encubiertas de guerra no militar, como, por ejemplo, la desestabilización política, la guerra económica, el sabotaje, las sanciones, etc. y debe tener cierta flexibilidad, para modularse según las necesidades, momento a momento.

Es en este contexto que la guerra cibernética asume un papel central y estratégico, subvirtiendo, sin embargo, de alguna manera, las jerarquías tradicionales de poder.

Estamos ante lo definido Poder agudo, poder de corte, que, según Giannuli, representa el desarrollo lógico de ese El poder blando basado en las prácticas de seducción e influencia cultural teorizadas por el estadounidense Joseph Nye en la década de XNUMX. El Poder agudo se caracteriza por ser un sistema, no exclusivamente pacífico, dirigido a:

  • influir en la opinión pública a través de la propaganda y la manipulación de la información;

  • penetrar en la economía del país actuando sobre el sistema de importación/exportación y sobre los principales nodos logísticos comerciales;

  • afectar las opciones políticas del estado en cuestión al no dudar en recurrir a prácticas de chantaje.

Liderando este sistema de conflicto sólo pueden ser los servicios de inteligencia de los distintos países.

Mientras que la inteligencia de la segunda mitad del siglo XX fue, en su mayor parte, ideológica, la actual se mueve en una perspectiva geopolítica y geoeconómica. Mientras que las estrategias anteriores tenían en el centro el objetivo del control territorial, la actual piensa en términos de redes de conexión.

La ingente recolección de datos requiere técnicas de integración, verificación, procesamiento y análisis para lo cual los servicios están equipados con sofisticados sistemas basados ​​en algoritmos y, en ocasiones, los resultados son revendidos a empresas industriales y financieras. Es una recaída de esa guerra sin límites que ya ha comenzado y que planteará problemas dramáticos sobre todo a los sistemas democráticos. Gran parte de la batalla tendrá lugar justo en el campo de guerra cibernética.

El 11 de mayo de 2017, al parecer por círculos vinculados al gobierno de Corea del Norte, se desata WannaCry, un virus que ha adquirido las características de un gusano, es decir, un el malware capaz de autopropagarse, que puede desactivarse mediante una especie de código de emergencia, como un misil lanzado por error. Casi un mes después, hace su aparición NotPetya; en este caso el ataque habría sido lanzado por un grupo cercano a círculos rusos que en el pasado han golpeado con otros el malware la red eléctrica de Ucrania.

Es difícil decir si los ataques provocados por WannaCry y NotPetya pueden considerarse conflictos reales. El hecho es que, en ambos casos, hemos tenido que lidiar con organizaciones "patrocinadas por el estado" que han recurrido a las armas cibernéticas de producción militar. Si el primer caso es difícil de atribuir, en el segundo están involucrados dos países, Rusia y Ucrania, en un estado de hostilidad, lo que sugiere que se pueden vislumbrar las características de un nuevo tipo de operación bélica con el ciberespacio que se suma a los dominios de conflicto tradicionales: tierra, agua, aire y espacio.

2017 también marca la frontera entre el antiguo modelo de negocio de el malware que tenía como objetivo el dispositivo único y el nuevo modelo que ofrece el malware que atacan a toda la organización empresarial.

(Figura 1 - Ransomware del modelo de evolución)

Sé que me he extendido mucho, pero era necesario brindarles un marco introductorio y definir el contexto de referencia, de lo contrario, parece que estamos hablando de ciencia ficción. Ahora que tiene una imagen clara del escenario en el que nos movemos, podemos profundizar en el tema relacionado con las organizaciones “patrocinadas por el estado” y sus actividades.

El espionaje siempre ha existido, pero lo que ha cambiado drásticamente es la tecnología avanzada que brinda a casi todas las organizaciones capacidades de inteligencia innovadoras. Con una dependencia cada vez mayor de la tecnología, el espionaje cibernético causa estragos y obstaculiza el desarrollo comercial al explotar el ciberespacio para obtener en secreto información confidencial que pertenece a un gobierno, organización o individuos específicos.

El objetivo es producir ganancias netas, aunque se trata de prácticas claramente ilegales. Las tecnologías utilizadas para las intrusiones informáticas secretas son avanzadas pero, muy a menudo, ya se utilizan en el pasado porque están consolidadas.

¿Quiénes son estas organizaciones? ¿De quién estamos hablando? ¿Por quién son patrocinados?

Una organización patrocinada por el estado es un grupo patrocinado por el gobierno que ataca por la fuerza y ​​obtiene acceso ilícito a redes de otros gobiernos o grupos industriales para robar, dañar o modificar información..

Lo que observamos es una variedad de patrones de comportamiento que a menudo, pero no siempre, son indicativos del tipo de atacante y el país de origen. No pudiendo desarrollar un ensayo sobre el tema, tratemos de resumir las características de algunos de los principales actores para luego destacar las actividades desarrolladas en el último año.

El robo de propiedad intelectual parece ser el foco principal de la Partido comunista chino.

Il grulla rusa está más concentrado en aspectos relacionados con la política exterior y las campañas de desinformación.

El ciberejército iraní ha estado particularmente involucrado en actividades de defensa contra ataques dirigidos a prevenir el desarrollo y uso de armas nucleares, pero también, desde hace algún tiempo, ha desarrollado técnicas ofensivas tanto que ha sido considerado responsable de algunos de los ataques cibernéticos más dañinos contra varios empresas en los últimos años.

Los ciberataques de la Corea del Norte parecen estar motivados tanto por razones financieras como por los caprichos de Kim Jong-un. Se dirigieron a las instituciones financieras para robar fondos a través de su infame grupo. Lázaro, que, no lo olvidemos, supuestamente fue el responsable del ataque de ransomware Wannacry y otros eventos de TI conocidos.

El ciberejército sirio recientemente se ha centrado en piratear las comunicaciones móviles, tratando de detener y suprimir la oposición al régimen dictatorial.

Como puede ver, existen múltiples razones para las actividades cibernéticas de estos grupos. Lo que es seguro, sin embargo, es que la escalada continúa sin cesar y con fuerza creciente.

Buscando en la web informes relacionados con los tipos de grupos patrocinados por el estado y los intentos de atribuirlos a los distintos estados, encontré el mapa de atribución de Microsoft particularmente interesante, que identifica las actividades de los estados en función de los nombres de los elementos químicos. La siguiente tabla muestra solo algunos, junto con los países de origen desde los que operan las organizaciones, destacando aquellos que han sido más activos en el último año y que han hecho un uso más efectivo de las tácticas descritas.

(Cuadro 1. Actores del Estado Nación y sus actividades)

RUSIA

Durante el año pasado, los grupos con sede en Rusia han consolidado su posición como "amenaza para el ecosistema digital global”Demostrando adaptabilidad, persistencia, importantes habilidades técnicas y una estructura que aprovecha al máximo la anonimización así como el uso de herramientas que los hacen cada vez más difíciles de detectar.

(Tabla 2 - Análisis Rusia: Actividad y motivaciones)

Nobelio demostró cuán insidiosos y devastadores pueden ser los ataques a la cadena de suministro al comprometer el código de actualización del software, como en el caso de SolarWinds Orion. Aunque el grupo ha limitado la explotación de seguimiento a unas 100 organizaciones, el código malicioso ha llegado a unas 18.000 XNUMX entidades en todo el mundo, dejando a los clientes afectados vulnerables a nuevos ataques.

Las técnicas operativas de NOBELIUM son muy diferentes a la simple instalación de una puerta trasera maliciosa y van desde la difusión de contraseñas y el phishing hasta comprometer a proveedores externos para crear las condiciones para ataques posteriores.

En mayo, la organización comprometió una cuenta de una agencia del gobierno de EE. UU. con un mecanismo de suplantación de identidad y suplantación de identidad y luego envió un correo electrónico de suplantación de identidad a más de 150 organizaciones diplomáticas, de desarrollo internacional y no internacionales, principalmente en los Estados Unidos y en toda Europa, presentándose como la departamento de marketing de la misma agencia.

Finalmente, una alarma conjunta reciente de la inteligencia y las fuerzas del orden de EE. UU. y Gran Bretaña descubrió una serie de ataques de fuerza bruta que han afectado a varios proveedores de VPN; ataques atribuidos a APT28, Aka Oso de lujo.

Los actores rusos demostraron capacidades de adaptación y un profundo conocimiento de la seguridad que les permitió evadir la atribución por un lado y superar cualquier defensa por el otro.

NOBELIUM mostró un profundo conocimiento de las herramientas de software más comunes, sistemas de seguridad de redes y tecnologías en la nube, así como de las soluciones utilizadas por los equipos de Respuesta a Incidentes, logrando penetrar en sus procesos operativos para garantizar la persistencia. Un modus operandi muy similar al utilizado por otro grupo de extracción rusa: ITRIO.

IRÁN

Para el ojo ignorante, Irán puede parecer un jugador pequeño, especialmente cuando se compara con Rusia y China. Es cierto que Irán no ha estado en escena durante mucho tiempo; sin embargo, pudo demostrar una amplia experiencia y una enorme pericia en el compromiso de aplicaciones, ingeniería social, exfiltración y destrucción de datos.

Sus objetivos habituales se encuentran en Oriente Medio. En particular, Israel, Arabia Saudita y los Emiratos Árabes Unidos representan los principales objetivos. El objetivo es, sobre todo, romper la hegemonía sunita. No se perdió su presencia, sin embargo, también en Europa y América del Norte.

Este tipo de conflicto asimétrico proporciona un método conveniente y de bajo costo para librar guerras frías con los adversarios políticos e ideológicos de Irán.

Es muy probable que un grupo vinculado a Irán y conocido como RUBIDIO lideró las campañas de ransomware Pay2Key y N3tw0rm dirigidas a Israel a fines de 2020 y principios de 2021. El objetivo de las campañas de ransomware de RUBIDIUM fue el sector de las empresas israelíes que operan en el sector de la logística de envío. Estos objetivos indican un vínculo con la estrategia de Teherán de vengarse de la presión israelí.

A finales de 2020, el grupo FÓSFORO llevó a cabo una campaña de phishing contra políticos mediante la publicación de enlaces a artículos de temática nuclear que dirigían a las víctimas a un sitio de acreditación. Este ataque está muy ligado a las relaciones entre Irán y EE.UU. en torno al acuerdo de 2015 sobre la energía nuclear iraní del que Trump salió en 2018, volviendo así a imponer nuevas sanciones a la República Islámica con el objetivo de debilitarla y empujarla a caer de nuevo. a los pactos con los países occidentales.

No es una coincidencia que PHOSPHORUS refinó sus objetivos y escaló los ataques cuando se reanudaron las conversaciones nucleares en Viena el pasado abril.

(Tabla 3 - Análisis de Irán: Actividad y motivaciones)

(Figura 2 - Irán: Flujo de un compromiso típico de PHOSPHORUS de spear phish)

CHINA

Con tantos actores de amenazas a su disposición, dados los objetivos geopolíticos y estratégicos anunciados recientemente, sería una tontería suponer que China no está aumentando y evolucionando sus operaciones. Como hemos visto en los ataques de 2020, China ha utilizado técnicas establecidas pero también una novedad en el uso de ransomware, inyectado explotando el hardware de los sistemas.

En el último año, las amenazas realizadas por actores chinos se han dirigido a Estados Unidos para obtener información sobre la política, afectando particularmente a aquellas entidades gubernamentales que implementan políticas exteriores en Europa y en los países de América Latina. Para cumplir su misión, explotaron una serie de vulnerabilidades no identificadas previamente para varios componentes y servicios de red.

Entre los grupos más conocidos, menciono dos:

  • HAFNIO, el grupo responsable de la filtración de datos de Microsoft Exchange Server de 2021. El ataque al sistema de correo electrónico data de marzo y es uno de los más devastadores de los últimos años, tan grave que en Estados Unidos el presidente Biden lo ha afectado directamente. Fue uno de los ataques más sofisticados ya que se realizó de forma remota, sin necesidad de credenciales, haciendo que los datos privados fueran utilizables por cualquier persona, con la posibilidad de estar expuestos a ataques de ransomware;

  • APT27, Aka Panda emisario, un grupo responsable de los ataques a las empresas de juegos que utilizan ransomware y tienen como objetivo la extorsión financiera. No era la primera vez que este actor operaba de esta manera, tanto es así que varias otras empresas, en el mismo período, habían realizado actividades de criptominería.

(Cuadro 4 - Análisis de China: Actividad y motivaciones)

COREA DEL NORTE

Otro estado extremadamente activo, si tenemos en cuenta el tamaño y los recursos del país en comparación con otros estados, es Corea del Norte.

La gran mayoría de los objetivos de Corea del Norte se dirigieron a personal específico, y la selección de estos objetivos probablemente se hizo sobre la base de la probabilidad de que pudieran ayudar a Corea del Norte a obtener información diplomática o geopolítica que no está disponible públicamente.

Los principales grupos norcoreanos, Talio, ZINC, OSMIO e CERIO se centraron en funcionarios diplomáticos, académicos y miembros de grupos de expertos de todo el mundo.

La mayoría de los objetivos eran de tres países: Corea del Sur, Estados Unidos y Japón. Sin embargo, los actores norcoreanos también han apuntado a académicos y funcionarios de grupos de expertos en Europa e incluso en China y Rusia, países generalmente considerados amigos de Corea del Norte. 

El foco en la inteligencia diplomática o geopolítica probablemente ha sido impulsado por el afán de Pyongyang por tener información relacionada con la situación internacional. El objetivo diplomático se persiguió particularmente tanto durante como inmediatamente después de las elecciones estadounidenses. El gran interés de Corea del Norte en recopilar información probablemente también se debió a la necesidad de tener respuestas a las siguientes preguntas:

  • ¿Continuará la comunidad internacional aplicando rigurosamente las sanciones contra Corea del Norte?

  • ¿Cómo cambia el covid-19 la dinámica internacional?

  • ¿Cuál será la política de la nueva administración de EE. UU. hacia Corea del Norte y cómo seguirá esa política la asociación tripartita EE. UU., Corea del Sur y Japón?

COVID-19 también estuvo en el centro de varias campañas de ataque que grupos con sede en Corea han llevado a cabo contra compañías farmacéuticas. En noviembre de 2020, ZINC y CERIUM se dirigieron a compañías farmacéuticas e investigadores de vacunas en varios países que probablemente obtengan una ventaja en la investigación de vacunas o para obtener información sobre el estado de la investigación de vacunas en el resto del mundo. 

Finalmente, Corea del Norte también ha utilizado métodos extremadamente sofisticados de ingeniería social nunca antes vistos. En enero del año pasado, ZINC apuntó a los investigadores de seguridad con una campaña para crear perfiles falsos que parecían pertenecer a empresas e investigadores de seguridad reales, mediante la generación de sitios web falsos.

(Tabla 5 - Análisis de Corea del Norte: Actividad y motivaciones)

La situación en el oeste

La guerra, sea convencional o no, se hace en dos y por lo que se desprende, sin embargo, parece que no es así. De hecho es así y las razones son, básicamente, dos:

  1. Durante la última década, EE. UU. ha sido el objetivo principal de ciberataques cada vez más sofisticados y peligrosos. La razón de esto se remonta instintivamente a las características de los EE. UU. a los ojos de los grupos de piratas informáticos de todo el mundo. Para estos sujetos EE.UU. representa una superficie muy grande para atacar y, al mismo tiempo, una perspectiva no indiferente de ganancia, económica y de información/inteligencia. Baste decir que en 2020 EE. UU. fue blanco de ciberataques un 23,6 % más que cualquier otra nación del mundo. Podemos decir que lo dicho se puede ver en los efectos del ataque a los servidores de correo electrónico Exchange de Microsoft en la primavera de 2020. El ataque de hackers en cuestión instantáneamente hizo vulnerables a unas 250 mil empresas que usaban el servicio de Microsoft, en las instalaciones y fuera de ellas. nube, para correos electrónicos. La extensión y complejidad del ataque hizo necesaria la activación de todo el aparato de ciberdefensa estadounidense. Un sistema que sin duda constituye una vanguardia en el sector frente a muchos otros países pero que también presenta importantes puntos críticos. Si bien en la guerra cibernética EE.UU. tiene un "poder de fuego" ofensivo y defensivo particularmente desarrollado, esta fuerza no garantiza la supremacía del ciberespacio ni el control del "ciberpoder" y, en consecuencia, no existe un ciberpoder hegemónico. No obstante, no hay duda de que Estados Unidos representa una potencia en la conducción del ciberconflicto.

  2. La aprobación de la nueva Política de Ciberdefensa, definida como “Integral”, se presentó como una necesidad, ante la escalada de ransomware y otros ataques que han tenido como objetivo infraestructuras críticas e instituciones democráticas. Ya en la anterior cumbre de la OTAN, celebrada también en la capital belga en 2018, se decidió que “los aliados individuales pueden considerar, cuando corresponda, la atribución de actividad cibernética maliciosa y responder de manera coordinada, reconociendo que la atribución es una prerrogativa nacional soberana". La redacción anterior, además de no mencionar la categoría particular de "ataque armado", dejaba a los Estados miembros la mera facultad de evaluar de forma independiente la atribución de cualquier ataque y reaccionar en consecuencia. Sin embargo, las conocidas dificultades para conocer los perfiles de responsabilidad en el caso de operaciones cibernéticas, especialmente si se sospecha de origen estatal, han dificultado la aplicación de esta posibilidad. Aunque la nueva política no está disponible, el contenido del comunicado de prensa final es claro la voluntad de mantener intacta la naturaleza defensiva de la Alianza: si bien brinda la oportunidad de responder por cualquier medio a cualquier ciberamenaza, no impulsa el desarrollo y uso de capacidades ciberofensivas. Todo esto se debe a que los ciberataques pueden tener impactos impredecibles que no se limitan a objetivos individuales, y porque su uso, además de poder provocar una escalada, haría conocer las vulnerabilidades explotadas y, por tanto, imposibilitaría su reutilización. métodos empleados

Los ataques nunca paran

El 2021 fue otro año terrible desde el punto de vista de los ciberataques y es en este escenario, como hemos visto, donde se desarrolla la ciberguerra que cada vez más va dirigida a inhabilitar los sitios web y redes de los organismos gubernamentales o, lo que es más peligroso, puede interrumpir o deshabilitar servicios esenciales, dañar infraestructuras y sus redes, robar o modificar datos confidenciales, deshabilitar sistemas financieros e incluso decidir el resultado de una elección presidencial de superpotencia.

En los últimos años, la guerra cibernética se ha convertido en una de las formas de guerra más efectivas, utilizada con la intención de infligir daño a quienes presiden gobiernos y economías consideradas dañinas; este tipo de guerras no implican grandes costos como aquellas en las que se adoptan las armas convencionales.

La naturaleza secreta de la guerra cibernética nos retrotrae a la era del espionaje durante la guerra fría. Las superpotencias, y no solo ellas, están subiendo la apuesta mientras la gente común se sienta y reflexiona sobre la suerte que tienen de vivir en tiempos relativamente pacíficos, especialmente en Occidente.

Las armas cibernéticas tienen una capacidad destructiva devastadora. Y el problema es que no es nada fácil ni rápido identificarlos y contrarrestarlos.

El mundo moderno gira en torno a la tecnología de la información, a la que ha confiado y de la que depende totalmente su existencia: quien logre alterarla ganará las ciberguerras del futuro, pero ¿a qué precio para las poblaciones y gobiernos afectados?

Son preguntas que no sé cómo responder. Lo que sé y espero es que todos den un paso atrás para salvaguardar ese mundo que nos fue dado para poder vivir en paz y que todos sean capaces de entender que la tecnología es realmente, como dice el Papa, un regalo. de Dios.

Referencias

https://www.nato.int/cps/fr/natohq/official_texts_17120.htm?selectedLocale=it

https://aldogiannuli.it/tag/guerra-coperta/

(PDF) Soft power: los orígenes y el progreso político de un concepto (researchgate.net)

¿Conoces la historia de WannaCry? Para saber qué hay detrás del malware más famoso. - Youtube

La historia de NotPetya, el ciberataque más devastador de la historia (hitechglitz.com)

Grupo Lazarus, COBRA OCULTA, Guardianes de la Paz, ZINC, NICKEL ACADEMY, Grupo G0032 | INGLETE ATT & CK®

Informe de defensa digital de Microsoft OCTUBRE 2021

La caza de NOBELIUM, el ataque a un estado-nación más sofisticado de la historia - Blog de seguridad de Microsoft

Oso elegante - Wikipedia

APT29, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, Group G0016 | INGLETE ATT & CK®

Grupo de amenazas RUBIDIUM - Revisión de seguridad cibernética (cybersecurity-review.com)

El ransomware N3TW0RM surge en una ola de ciberataques en Israel (bleepingcomputer.com)

Los piratas informáticos del estado iraní recurren al ransomware - Securityinfo.it

DearCry Ransomware y los ataques HAFNIUM: lo que necesita saber (cybereason.com)

APT27 - Revisión de seguridad cibernética (cybersecurity-review.com)

Kimsuky APT continúa apuntando al gobierno de Corea del Sur | 2021-06-09 | Revista de seguridad

Ataques ZINC contra investigadores de seguridad - Blog de seguridad de Microsoft

Presentación de PowerPoint (hhs.gov)

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia