Kaspersky sostuvo la semana pasada su Summit de Analistas de Seguridad en Cartagena. Aunque Dmitry Bestushev, director del equipo de análisis de malware en América Latina, tuvo la amabilidad de invitarme, tristemente tuve que declinar la invitación por conflictos de agenda y disculparme. Sin embargo he seguido con mucho interés la información relacionada con Machete, el malware que el equipo de Dmitry identificó como Latin-made y dirigido contra actores de gobierno y militares en algunos países de nuestra región.
Porque mi orientación es hacia todo lo que tenga que ver con el Sistema de Nombres de Dominio (DNS), tengo que hacer la mención de que Machete, como prácticamente todas las formas actuales de abuso en línea, abusa de recursos del DNS. Según informó Kaspersky públicamente, el malware usa al menos 8 nombres de dominio tanto para distribución e infección como para comando y control.
8 dominios es una infraestructura de comando y control e infección no resiliente. Dos de estos dominios fueron sinkholed por Kaspersky. Pero no entremos en los detalles de esto por ahora, probablemente volveremos sobre esto más adelante.
En resumidas cuentas, Machete no es el malware más avanzado del mundo, pero sí es el primero que, según Kaspersky, es probablemente patrocinado por un gobierno hispanoparlante de la región que está siendo activamente usado para espiar a otros gobiernos y fuerzas militares en nuestros países. Kaspersky clasificó esta forma de malware como un APT (Advanced Persistent Threat), lo que me generó algunas preguntas – esta categoría ha sido frecuentemente abusada por quienes creen que todas las amenazas con APTs.
Simplificando un poco, un APT real debe cumplir algunas condiciones fundamentales:
– Debe ser dirigido contra gobiernos o fuerzas del orden o sus contratistas.
– El ataque debe ser realizado por profesionales usando código escrito por pros, no por script-kiddies. Debe ser realmente novedoso y representar una forma de ataque de un nivel avanzado (de acá la A de APT).
– El ataque debe ser realizado de forma clandestina hasta el punto de ser muy efectivo evitando su detección y consiguiendo su auto-replicación, auto-propagación, re-infección y evitando técnicas de ingeniería inversa.
Stuxnet, por supuesto, es uno de los mejores ejemplos de APT. Código novedoso por definición, supremamente sofisticado, supremamente específico en la clase de ataque. Machete, por su parte, sin ser sofisticado ni ser particularmente novedoso, parece merecer efectivamente la categorización de APT.
Dejemos que sea Dmitry mismo el que nos cuente el punto de vista de Kaspersky:
Carlos: Ustedes encontraron esta nueva forma de malware pero, ¿es en realidad una nueva forma de malware o una versión reciclada – o una nueva versión – de una forma ya existente de malware?
Dmitry: El código de Machete incluye tanto un desarrollo in-house propio como herramientas ya disponibles en Internet. Esto es normal y es frecuente, los atacantes solamente adoptan aquello que funciona y que está disponible en Internet. Sin embargo, este ataque en sí sigue siendo único ya que es el primero que es producido en América Latina para atacar a las víctimas de la región en el que no se busca un lucro sino exfiltración de documentos sumamente confidenciales de carácter de seguridad de estado.
Carlos: ¿Por qué consideraron ustedes que Machete es un APT como tal y no una simple forma de virus, no necesariamente la más sofisticada?
Dmitry: APT es un término demasiado comercial que ha sido utilizado por todos, incluyendo a aquellos que no entienden bien de qué es un APT. En el caso de Machete podemos decir que es un ataque dirigido que pertenece a una campaña de espionaje. Esta definición no es especulativa y describe claramente lo que es el ataque, su naturaleza y sus objetivos.
Carlos: ¿Tienen ustedes alguna idea de qué clase de actor puede estar detrás de Machete?
Dmitry: Por el tipo de información que buscaban los atacantes, a saber información de inteligencia militar, información de carácter gubernamental y diplomático, se puede concluir que el actor detrás es un gobierno. Porque si fuera un criminal cibernético buscaría dinero, si fuera un hacktivista buscaría reconocimiento en la prensa por medio de las revelaciones y publicación en la prensa. Sin embargo, aquí se trata de documentos demasiado específicos que nunca llegaron a publicarse y lo que es más, por haber operado desde el 2010, los atacantes iban ajustando los blancos de acuerdo al desarrollo político del escenario regional.
Carlos: ¿Qué otras clases de amenazas ven ustedes en la región, de esas que pueden llegar a ser consideradas como potenciales preocupaciones?
Dmitry: Sin lugar a dudas, Machete pertenece al grupo de amenazas que son demasiado peligrosas porque, por un lado, roba información que representa integridad. Y, por otro lado, compromete la seguridad de los países y la confianza entre ellos. El resultado son las relaciones internacionales degradadas y el comienzo de una carrera de armamento cibernético impulsado.
A parte de las amenazas de espionaje, entre las otras amenazas figura el malware bancario. Este se produce de forma masiva y exitosa atacando las cuentas de los usuarios en casi todos los países. Los principales actores en la producción de malware bancario residen en Perú y Brasil, que introducen nuevas técnicas de ataque al mercado latinoamericano.
Finalmente, una amenaza preocupante es que los atacantes en búsqueda de sus ganancias ilícitas, hackean servidores públicos e instalan bitcoin miners. Ya que esos servidores por el tipo de trabajo nunca se apagan, los criminales día y noche siguen generando bitcoins abusando del CPU al máximo. El servidor pasa saturado pero por tratarse de hardware costoso, los administradores no lo pueden renovar inmediatamente sino en unos meses o hasta años. Así los atacantes generan muchos bitcoins y pasan ocultos todo el tiempo.
Carlos: ¿Qué países son los que más trabajo generan para ustedes en términos tanto de mayores cantidades de infecciones, como de infecciones de nuevas formas de malware (nuevas como tales o nuevas simplemente en la región)?
Dmitry: Perú y Brasil son los que generan la mayor parte de código malicioso pero a la vez hay criminales de todos otros países que ya compran el código malicioso listo para usar. Estos criminales deciden si compran las tecnologías maliciosas desarrolladas en la región o hacen incluso pedidos directamente a los criminales cibernéticos ruso-hablantes que viven en la Europa del Este.
Colombia es uno de los países con una tasa elevada en la cantidad de ataques cibernéticos. La cantidad de estos ataques depende de la situación de la economía y la penetración de Internet. Mayores estos números, la cantidad de los ataques es mayor también.
Carlos: ¿Qué crees tú que falta en la región para que la pelea contra las diversas formas de cíber crimen sea efectiva? Obviamente estos países tienen una falta generalizada de recursos pero, en general, teniendo en cuenta esa falta de recursos, qué podría marcar una diferencia, o un antes y un después, para que las policías cyber puedan hacer mejor su trabajo?
Dmitry: Se debe garantizar que haya un sharing transparente de evidencias entre los investigadores locales e internaciones. Por ejemplo, que se pueda recibir las imágenes de la memoria y de los discos duros de las máquinas de las víctimas y también de los servidores de comando y control que usen los criminales. Cuando se pueda brindar el acceso a dichos recursos, las investigaciones no se van a quedar inconclusas. Con la recopilación completa de las evidencias se podrá proceder con los arrestos de los criminales. Esta es la forma más simple, más lógica y más eficaz de luchar contra el crimen cibernético.
____________________
La historia de Machete no ha terminado. Más adelante con seguridad se sabrá más.
Saludos desde California,
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Nota: la primera versión de este artículo fue publicada por techtarget.com acá.