Estrategias de atribución y ocultamiento de ataques cibernéticos

La ciberseguridad ya no puede considerarse simplemente una cuestión técnica, sino que se ha extendido al ámbito geopolítico. En el entorno digital actual, nuestros datos y activos se almacenan cada vez más en redes y sistemas informáticos. Las amenazas ya no provienen solo de actores cercanos o estados vecinos: el entorno digital ha aplanado la geografía tal y como la entendemos.

A medida que crece nuestra dependencia de las herramientas digitales y los espacios en línea, también nos hemos vuelto más vulnerables a las actividades cibernéticas maliciosas y nos hemos expuesto a mayores riesgos de ciberdelincuencia y ciberseguridad.

Este artículo corresponde a un fragmento de uno de los módulos del “Curso de Geopolítica de la ciberseguridad“, impartido por Carlos Fernández Barbudo, Doctor en Ciencias Políticas y Relaciones Internacionales por la Universidad Complutense de Madrid (Premio Extraordinario de Doctorado).

Estrategias de atribución y ocultamiento de ataques cibernéticos

La atribución consiste en realizar las preguntas correctas y buscar las respuestas más coherentes. El proceso es similar al de un puzle: las diferentes piezas se van descubriendo de una manera desordenada pero deben organizarse de tal modo que, al final, surja a una imagen consistente. A continuación describiremos en términos generales este proceso. En este capítulo nos centraremos en cómo debe ser tenida en cuenta la dimensión sociopolítica. No te preocupes si el proceso te parece demasiado abstracto, en el siguiente capítulo veremos un ejemplo concreto.

Descripción general del proceso de atribución

La atribución cibernética consta de dos partes principales: investigación de ataques cibernéticos (parte I) y elaboración de perfiles de actores de amenazas cibernéticas (parte II). La atribución ocurre al hacer coincidir estas partes. Cada parte consta de indicadores técnicos y sociopolíticos. El objetivo principal de la investigación de un ataque cibernético es responder a las preguntas quién es la víctima y por qué, así como qué ha sucedido y cómo. El objetivo de la elaboración de perfiles de actores de amenazas cibernéticas es desarrollar perfiles basados ​​en ataques pasados ​​y encontrar el perfil que coincida con los hallazgos de la parte I. La elaboración de perfiles ayuda a encontrar respuestas a Quién podría ser el atacante, Qué infraestructura han utilizado para el ataque y Qué capacidades y la motivación que pudiera tener.

En ambas partes, los indicadores técnicos y sociopolíticos ayudan a comprender las evidencias y a reconocer correlaciones y posibles operaciones de falsa bandera. El primer paso suele ser analizar los hechos técnicos concretos mediante el análisis forense. En este paso, los especialistas en ciberseguridad se concentran en los hechos concretos de los ciberataques y en determinar el grado de confianza de las evidencias (comprobando la dificultad de manipular los indicadores técnicos recopilados).

Los indicadores sociopolíticos cubren el uso de herramientas empleadas para influir en la percepción, opinión y comportamiento de la víctima. Es decir, están orientados a sistematizar aquellos factores sociopolíticos que puedan influir en la percepción de quién fue el responsable del ataque y a comprender qué actores pudieran estar interesados tanto en atacar a esa organización como en llevar a cabo una operación de falsa bandera a través de ella. A este respecto conviene destacar que las operaciones de falsa bandera pueden tener como objetivo encubrir quién es el auténtico responsable de una acción o bien formar parte de un conflicto más amplio en el que el atacante busca aumentar el nivel de hostilidad entre dos o varias partes, a través de hacer creer a una de las partes que la otra ha escalado el nivel de enfrentamiento.

Investigación de ataques cibernéticos y perfiles de actores de amenazas cibernéticas

El análisis de los indicadores técnicos y de la infraestructura de la víctima nos ayudan a reconstruir las operaciones concretas que han tenido lugar durante el ataque, mientras que el análisis de los indicadores sociopolíticos ayuda a comprender los posibles motivos del ataque. A continuación, se pueden identificar mejor las capacidades y recursos que los atacantes deberían poseer para ejecutar las técnicas de ataque empleadas así como los mecanismos de ingeniería social de los que pudieran haberse servido. Al final de la investigación del ciberataque, los técnicos han recopilado toda la información sobre la víctima y todos los indicadores contextuales técnicos y sociopolíticos relevantes para los incidentes.

La atribución tiene lugar cuando los hallazgos de la investigación coinciden con el perfiles de uno de los posibles atacantes. De ahí que la elaboración de perfiles de los actores tenga como principal objetivo comparar los modus operandi y así poder determinar quién podría haber llevado a cabo el ataque concreto. Por ejemplo, ¿los atacantes tienen los conocimientos especiales necesarios para preparar el ataque contra componentes raros de la industria (por ejemplo, Stuxnet), tienen los recursos para desarrollar sus propios conjuntos de herramientas y exploits de día cero o utilizan componentes ya existentes?

En caso de que el resultado de la investigación del ataque y los perfiles de los posibles actores de amenazas no encajen, los analistas deben considerar posibles acciones de falsa bandera. Podemos distinguir dos tipos de banderas falsas, una aplicada al contexto técnico y otra al contexto sociopolítico. Existe una amplia gama de acciones que pueden desarrollarse para desviar la atención de la autoría, por lo que la atribución debe ser coherente con toda la información recopilada.

La dimensión técnica de la atribución

El marco MITRE Att&CK proporciona una descripción general de las evidencias técnicas que se pueden recopilar y qué pistas pueden proporcionar sobre la autoría. Además, se deben considerar otras fuentes de datos (en su mayoría de fuente pública) como las provenientes de la inteligencia de amenazas, las redes sociales y las noticias. Una vez que se hayan identificado las fuentes potencialmente relevantes, la investigación recopilará las evidencias disponibles, las agrupará en función de su fuente y la estructura de la red, y se procederá a plantear las preguntas claves para realizar la atribución.

A la hora de identificar, recopilar y agrupar las evidencias disponibles de cara a la atribución, conviene comprobar si los atacantes ya dejaron algún rastro previo al ataque en forma de comportamientos sospechosos. Esto puede incluir intentos de escaneo activos en la capa de red, actividades de minería de perfiles en redes sociales, phishing para recopilar información sobre la organización, visitas falsas como entrevistas de trabajo, ataques de fuerza bruta en servicios externos, etc. Algunos de los elementos típicos que deben comprobarse de cara al proceso de atribución son:

• Logs de monitoreo del perímetro de la red: los registros pueden revelar intentos de escaneo desde un cierto rango de IP y/o botnet que excedan significativamente la actividad habitual.
• Estadísticas de redes sociales: visitas repetidas desde ciertos perfiles de redes sociales (por ejemplo, en LinkedIn) a las cuentas de los empleados de la organización.
• Identidades: identificar si se han utilizado identidades falsas (y qué patrón se ha seguido para su generación) para contactar con empleados de la organización a través de redes sociales, como remitentes de correo electrónico de phishing, para realizar pagos electrónicos o en los certificados utilizados durante las posibles comunicaciones (S/MIME, SSL).
• Ortografía: errores ortográficos típicos o recurrentes en los correos electrónicos de phishing para la recopilación de información o pistas derivadas de la lengua materna del autor debido a errores lingüísticos.
• Dominios y DNS: nombres e información de registro de dominios a los que se hace referencia en correos electrónicos de phishing, especialmente en el caso de dominios reutilizados.

Cuando las evidencias han sido recopiladas y categorizadas, es importante llevar a cabo un análisis de confianza sobre las mismas. Definimos la confianza de una evidencia como indirectamente proporcional al grado en que esa evidencia pueda ser falsificada o manipulada. Si es fácil para un atacante manipular una evidencia, su uso en el proceso de atribución debe ser limitado. Algunas de las preguntas que deben responderse en este proceso serían: ¿Cuánto esfuerzo se requiere para que un atacante falsifique una evidencia o cree deliberadamente diferentes rastros? ¿Cuánto conocimiento especializado es necesario para modificar una evidencia? ¿Con qué facilidad ha sido encontrada una evidencia? ¿Qué grado de coherencia guardan entre sí las distintas evidencias recopiladas?

Preguntas claves para realizar la atribución

Una vez han sido recopiladas, categorizadas y evaluado el grado de confianza de las evidencias podemos proceder a “encajar” el puzle descrito al comienzo del capítulo. El objetivo es convertir las evidencias recopiladas en indicadores técnicos y sociopolíticos que nos permitan hacer coincidir la parte primera de la evaluación (investigación del ataque) con la segunda (perfiles de actores). A tal fin conviene recordar que para minimizar en lo posible las evidencias falsificadas y así poder detectar ataques de falsa bandera, el proceso de atribución debe ser coherente con toda la información recopilada. Este énfasis en la coherencia de la atribución es lo que nos permitirá lograr satisfactoriamente el encaje de las dos partes de la atribución. A tal fin se recomienda seguir una serie de preguntas-guía sobre las cuestiones más importantes que deben ser respondidas durante el proceso.

Estas preguntas se dividen en tres categorías: relacionadas con la infraestructura de la víctima, las capacidades del actor y la motivación que pudo tener para llevar a cabo el ataque investigado.

Preguntas clave sobre la infraestructura:

• ¿La víctima fue seleccionada específicamente o fue atacada por casualidad?
• ¿Fueron otras infraestructuras de la víctima atacadas en paralelo?
• ¿Se requería conocimiento interno para consumar el ataque?
• ¿Qué infraestructura externa se utilizó para llevar a cabo el ataque?

Preguntas clave sobre las capacidades del atacante:

• ¿Qué habilidades especializadas se requerían para consumar el ataque?
• ¿Cuán raras son estas habilidades y quién las tiene?
• ¿Qué recursos se necesitaron?
• ¿Quién tiene las instalaciones y el acceso a ciertos componentes para reconstruir el entorno de la víctima y probar distintas estrategias de ataque?
• ¿Dónde se encontraron descuidos en comparación con otros pasos del ataque?
• ¿El ataque tuvo éxito?

Preguntas clave sobre la motivación del atacante:

• ¿Quién obtiene un claro beneficio de atacar a la víctima?
• ¿Quiénes salieron más dañados del ataque considerando los efectos a largo plazo?
• ¿Se puede asociar el ataque con algún escenario actual de conflicto político?