Hackeando a los hackers! Cuando caer en el lienzo (ciber) es la araña misma ...

(Para Ciro Metuarata)
06/11/19

En artículos anteriores, el ciberespacio se ha representado a menudo como el lejano oeste en el que se ambientan las películas clásicas del oeste, es decir, como una realidad totalmente desprovista de reglas, en la que bandidos despiadados y sin escrúpulos cosechan víctimas que son completamente incapaces de defenderse. En particular, grupos de ciberdelincuentes, más o menos patrocinados por estados soberanos, se enfurecen en la dimensión cibernética en detrimento de los ciudadanos comunes, así como de los gobiernos u organizaciones e industrias privadas, enriqueciéndose también con un botín alucinante.

Este panorama cibernético del tipo "todos contra todos" no escapa a la ley muy "real" del más fuerte, que también se aplica a los grupos de ciberdelincuentes antes mencionados, como se muestra en la siguiente historia. Una historia probablemente no inédita, aunque emblemática del momento en que vivimos, ya que muestra hasta dónde podemos impulsar la lucha por el dominio del espacio cibernético y, sobre todo, la lucha por la publicación de la información más valiosa que contiene. Una lucha, como veremos, sin cuarto y sin reglas ...

El 21 de octubre, el Centro Nacional Británico de Seguridad Cibernética (NCSC), en colaboración con la Agencia de Seguridad Nacional de Estados Unidos (NSA), emitió un boletín de seguridad en el que dos grupos de piratas informáticos especializados en Amenaza Persistente Avanzada (APT: ataques cibernéticos muy sofisticados, prolongados en el tiempo y destinados a recopilar información) que se cree que están vinculados a dos naciones.

Específicamente, teniendo en cuenta lo que se destacó en los artículos anteriores sobre la capacidad de atribuir el origen de los ciberataques, es el grupo conocido como Turla (o WhiteBear / WaterBug / Venomous Bear), que de alguna manera serviría al gobierno ruso y al grupo APT 34 (también conocido como Plataforma petrolera Crambus) que, en cambio, estaría a cargo de la República Islámica del Irán. Para ambos grupos existe evidencia suficiente para sugerir que tienen acceso a recursos materiales e intelectuales que generalmente están disponibles exclusivamente para estados soberanos y operan a nivel mundial, incluso si APT 34 está más orientado a llevar a cabo operaciones en el Medio Oriente.

Solo en esta región, en los últimos días, el NCSC ha detectado una ola de ciberataques muy particulares. En resumen, Turla presuntamente tomó el control de una infraestructura informática creada por APT 34 para realizar sus actividades ilícitas, principalmente inteligencia, en detrimento de organizaciones militares y gubernamentales, industrias y bancos, que operan en la región antes mencionada y de particular interés para Irán. Según la evidencia recabada, al acceder a los servidores utilizados por el grupo iraní, Turla APT 34 habría podido controlar toda la red de computadoras, teléfonos inteligentes y quién sabe qué más, compromisos en los meses anteriores.

Esto implicaba al menos cuatro consecuencias directas:
PrimeroTurla habría obtenido con un solo movimiento el acceso a todos los datos de inteligencia recopilados por APT 34, o a un patrimonio invaluable, obtenido de Irán gracias a una transacción que duró meses, si no años, y que ciertamente requirió inversiones no insignificante. Buen tiro!
segundoTurla habría utilizado la infraestructura de mando y control construida por APT 34 para lanzar más ataques y comprometer otros dispositivos, utilizando sus propias técnicas y software. Al parecer, los ataques habrían tenido éxito y habrían afectado a unas treinta y cinco naciones, la mayoría ubicadas en el Medio Oriente. Otro gran resultado.
Terza. "El rey está desnudo", es decir, las técnicas y vulnerabilidades informáticas explotadas por APT 34 ya no tendrían secretos para Turla y para su principal y posterior podrían emplearse adaptándolos a los fines del grupo ruso y estos podrían defenderse de cualquier represalia por parte de APT 34. Felicidades nuevamente.
Miércoles. Caos. Se sabe que, especialmente en el último período, Oriente Medio, afectado por este asunto, es también una encrucijada de crisis internacionales, tanto regionales como potencialmente globales. En este delicado contexto, después de la publicación del boletín NCSC, la prensa occidental se apresuró a señalar con el dedo al gobierno ruso que, a su vez, negando categóricamente cualquier participación, acusó a Occidente de haber tramado un astuto plan de acción. engaño, con el fin de socavar las excelentes relaciones de colaboración establecidas entre la Federación de Rusia e Irán, para la resolución de las crisis actualmente en curso en la región mencionada.

En resumen, un buen rompecabezas, que demuestra una vez más cómo las capacidades cibernéticas, como otras capacidades militares "tradicionales", pueden ser utilizadas por los gobiernos para imponer sus respectivas agendas de política exterior.

Más allá de las técnicas utilizadas por Turla e informado en el boletín de NCSC y en investigaciones posteriores sobre el tema, ciertamente muy interesante para los expertos (¡y trabajar allí!), esta historia debería hacernos reflexionar, una vez más, sobre la realidad que estamos experimentando y sobre Cómo lidiar con eso.

Teniendo en cuenta que el lejano oeste cibernético seguirá siéndolo durante mucho tiempo, dado que ninguna organización supranacional pretende o puede imponer una regulación seria, debemos preguntarnos: ¿Deberíamos continuar limitándonos a convertir las leyes en leyes de "costo cero" y jugar a la defensiva o, más bien, deberíamos equiparnos con habilidades concretas nacionales de ciber ofensiva, como para actuar como un elemento disuasorio?

En un mundo donde incluso la araña más hábil puede terminar en su red y sucumbir, ¿cómo puede sobrevivir un indefenso "mosquito"?

La supervivencia de nuestra nación está en juego, al menos como la conocemos hoy, pero la impresión es que en nuestro querido país todavía hay muchos que no han entendido el peligro que corremos y, de hecho, consideran que estos discursos son demasiado alarmantes. Esperamos que tengan razón. Con suerte.

Fuentes principales:
https://www.2-spyware.com/iranian-hacking-tools-hijacked-by-turla-group-...
https://attack.mitre.org/groups/G0010/
https://www.fireeye.com/current-threats/apt-groups.html#apt34
https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-cov...
https://nationalcybersecurity.com/hacking-russia-dismisses-hacking-repor...