Espiar a los espías

No es ningún secreto que los espías espían a los espías. 

Lote de 10 espía secreto superior del portátil  por FiveMooreCrafts
Los documentos proporcionados por el denunciante de la NSA, Edward Snowden, describen cómo la agencia y sus compañeros de espionaje inspeccionan rutinariamente las máquinas de las víctimas que hackearon para ver si hay otros hackers al acecho dentro.

 La NSA tiene una herramienta antivirus personalizada llamada ReplicantFarm que se despliega en sistemas que hackea para comprobar la presencia de otros actores conocidos. La agencia hace esto para asegurar que las herramientas de otros actores no interfieran con sus propias operaciones en la máquina y estudiar las herramientas y métodos de estos actores para informar tanto las operaciones ofensivas como su defensa de las redes del gobierno de los Estados Unidos. La NSA tomará estas herramientas y las invertirá en ingeniería, a veces copiando técnicas inteligentes para usarlas en sus propias operaciones.


Aunque las técnicas de copia son comunes para la NSA, dos antiguos hackers de la NSA le dicen a The Intercept que nunca vieron la agencia reutilizar código real durante su tiempo allí y dicen que dudan que la agencia llevaría a cabo una operación de bandera falsa.

"Cuando captemos instrumentos de actores extranjeros, robaremos las propias técnicas", dijo una de las fuentes a The Intercept. Pero "hay una serie de problemas cuando se atribuyen falsamente.  ...  Se podría empezar una guerra de esa manera. Probablemente es más frecuente en otros países, pero en los Estados Unidos ... el objetivo suele no atribuirse, no atribuirse falsamente ".

Dijo que si alguna entidad del gobierno estadounidense lleva a cabo operaciones de bandera falsa, probablemente sería la CIA.

Un ex funcionario de la CIA dijo a The Intercept que su antiguo empleador se involucra en una forma de operaciones cibernéticas de falsa bandera para ocultar su identidad, pero no para culpar a alguien más.

Guerrero-Saade cree que la NSA y sus países socios en la alianza "Cinco Ojos" de Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda probablemente no sean el problema cuando se trata de reutilizar código e infraestructura para operaciones de bandera falsa.

"Los Cinco Ojos en general están restringidos", dijo. "Pero todos sabemos que los grupos chinos, los grupos presumiblemente israelíes, incluso los grupos de habla rusa, están dispuestos a hacer lo que sea. Los grupos israelíes están ... al extremo.
Falso banderas en el salvaje

 Los investigadores de Kaspersky han visto varios ejemplos en la naturaleza donde la infraestructura de un actor de amenaza de estado-nación ha sido comprometida por otra. 
Un ejemplo incluía una puerta trasera que se había instalado en un servidor de estadificación y retransmisión (utilizado para transmitir datos robados) utilizado por un grupo de estado nacional, conocido como NetTraveler. Kaspersky no sabe quién instaló la puerta trasera, pero probablemente había sido instalada para supervisar el grupo o robar sus herramientas y los datos que NetTraveler había robado a las víctimas.

Otro caso involucró a un actor amenazador que secuestró la infraestructura de otro para lanzar en secreto sus propios ataques. DarkHotel - se cree que es una operación surcoreana - compromete habitualmente sitios web para lanzar ataques contra blancos chinos. Uno de estos sitios comprometidos resultó ser anfitrión de secuencias de comandos exploit aparentemente pertenecientes a otro grupo, que Kaspersky llama ScarCruft. Este grupo utilizó el sitio para lanzar sus propios ataques contra blancos rusos, chinos y surcoreanos.

En otro caso, los investigadores de Kaspersky encontraron una puerta trasera de Troya llamada Decafett que parecía estar atada a los grupos Lazarus y BlueNoroff, ambos creídos conectados a Corea del Norte, mientras que también usaban un proveedor de DNS dinámico oscuro e inusual que anteriormente sólo había sido usado por el grupo DarkHotel.

Y un misterioso grupo de hacking conocido como TigerMilk utilizó un certificado digital en los ataques contra las fuerzas armadas peruanas y las instituciones gubernamentales que habían sido utilizadas en el asalto Stuxnet al programa nuclear de Irán. 
Los autores de Stuxnet, que se cree que son la NSA y la inteligencia israelí, habían firmado su código malicioso con un certificado digital robado de una empresa en Taiwán para engañar a las máquinas de Irán para que pensaran que sus archivos maliciosos eran software legítimo de esta empresa.

TigerMilk usó el mismo certificado para firmar sus archivos maliciosos, pero lo hizo mucho tiempo después de que el certificado había ganado infamia en el ataque de Stuxnet y mucho después de que el certificado se había revocado y se había hecho inválido. Debido a que un certificado no válido es de poco uso para los atacantes para ayudarles a obtener código malicioso en una máquina, los investigadores de Kaspersky supusieron que la única razón por la que TigerMilk lo usó en sus ataques fue "engañar a los respondedores de incidentes ya los investigadores para echar la culpa al notorio Stuxnet equipo."

Podría parecer que toda atribución se vuelve sospechosa si los grupos de hackers roban y reutilizan las herramientas de los adversarios para lanzar sospechas sobre ellos. 
Pero los investigadores de Kaspersky dijeron que las operaciones verdaderas de bandera falsa son raras y difíciles de conseguir. Todos estos ejemplos que descubrieron implicaron intentos poco sofisticados de confundir a los investigadores. Para atacar con eficacia a otro jugador, un equipo de hackers tiene que convincentemente copiar o imitar todas las tácticas, técnicas y procedimientos del otro grupo , no sólo algunos de ellos. Cometer un error y la ilusión puede colapsar.

“En el fin de reclamar una increíble verdad ... la operación, de bandera falsa en la que realmente encarnado otra persona en todo lo posible, y ou tiene que saber cómo funcionan en todas las formas posibles ... cómo actúan cuando están en el las cajas de la víctima, [usted necesita utilizar] el código de fuente y las cargas útiles y la misma encripción, la misma infraestructura del comando-y-control - porque cualquier anomalías son las cosas que nos aferramos y decimos, AUTORIZACIÓN que no mira derecho, " dijo Guerrero-Saade

Guerrero-Saadeapuntó a un caso reciente en el que la comunidad investigadora estaba rastreando lo que parecía ser un grupo de estado-nación de habla rusa anteriormente desconocido.
 Durante seis a ocho meses, los investigadores observaron cuidadosamente al grupo y sospecharon que en realidad podría ser un conocido grupo de habla rusa llamado Turla, excepto que el código y la infraestructura que utilizaba el grupo eran muy diferentes a los de Turla. Los investigadores estaban casi listos para concluir que era de hecho un grupo completamente nuevo y diferente, hasta que los atacantes se deslizaron y utilizaron una de las viejas y conocidas herramientas de Turla. En lugar de un grupo de ataque de habla rusa totalmente nuevo, los investigadores concluyeron que era simplemente Turla usando un lote de nuevas herramientas en un intento de oscurecer su identidad y actividad.

Guerrero-Saade dijo que al hablar sobre la reutilización del código y las operaciones de bandera falsa, él y Raiu no están tratando de poner en duda todas las investigaciones que ocurren. Él piensa que las banderas falsas son raras y que la mayoría de la atribución que los investigadores de la amenaza hacen es exacta.
 Pero los investigadores necesitan repensar las limitaciones y los parámetros de lo que pueden saber con seguridad ", para que sepamos cuándo estamos vacilando y para saber cuándo estamos siendo engañados y así podemos admitir cuando no podemos saberlo. No son situaciones en las que no podemos saber “.

SetMicos

No hay comentarios:

Con la tecnología de Blogger.