El martes 19 de febrero, la empresa
Mandiant publicó un reporte que liga actividades de espionaje industrial con el
gobierno chino. El documento gira en torno a un grupo de crackers chinos
bautizados con el identificador APT1. APT en inglés es Advanced Persistent Threat.
Para mí, no es un reporte más, sino
que adquiere relevancia ya que demuestra con bastantes y razonables evidencias
que hay un patrocinio o tolerancia gubernamental de China orientado a
actividades de robo de información que suponen una ventaja competitiva a
diversas industrias chinas.
Quedé impactado de la información que
se vierte en el reporte, el cual sugiero fuertemente leer y se encuentra en www.mandiant.com/apt1. A reserva de que
lo leas, quisiera comentar algunos puntos relevantes de este documento que
aclaro, son mis interpretaciones y
opiniones de la lectura que hice del reporte.
Pero primero. ¿Estuvo bien que esta empresa
Mandiant lo haya publicado? Hay voces
que dicen que no, que porque es pura publicidad para la empresa que lo sacó a
la luz y pone en alerta a los crackers quienes seguramente cambiarán sus técnicas.
En mi opinión, pienso que hicieron más bien que mal. Mandiant es una empresa de
EUA que tiene acceso a datos concretos de cómo están drenando dinero de
empresas de su propio país y sería triste que se quedaran de brazos cruzados. Claro,
pudieron haber alertado de los hackeos puntualmente a cada empresa, sin embargo
la solución será puntual también y el problema general en sí persistirá. Creo
que al publicarlo al menos moverán voluntades hasta ahora detenidas y puede
significar cambios importantes en la administración de la seguridad de aquel
país.
Dicho lo anterior, entremos en materia.
A lo largo del reporte se establecen
diversas ligas entre el grupo de crackers chinos y su gobierno. Se dan detalles
como por ejemplo que el Ejército Popular de Liberación tiene bajo su mando al
grupo llamado “Unit 61398”, encargado de realizar las penetraciones y que como
ya dije, es identificado por Mandiant como APT1. Inclusive se da la dirección física
desde donde ocurre el ciber- espoinaje (un edificio en Datong Road en
Gaoqiaozhen, Shanghai). Asimismo en el reporte se encuentran fotos del inmueble.
En mi opinión se ha establecido fuertemente el origen chino del grupo de
crackers auspiciado o al menos tolerado por el gobierno de ese país, cuestión
que siempre ha negado oficialmente. (Pág. 3 del reporte de Mandiant).
El documento de Mandiant habla de que
se estima que la Unidad 61398 emplea a cientos o tal vez miles de personas encargadas
de diversas tareas de ciber- espionaje. (Pág. 3). No sólo hay gente que se mete
a las computadoras, sino que hay otras más encargadas de analizar la
información, distribuirla a los interesados y recibir peticiones concretas de espionaje.
Curiosamente la Unidad 61398 contrata
a empleados de cierto perfil. En concreto, buscan gente de seguridad
informática y de redes; asimismo piden que hablen inglés. (Pág. 3).
Se registró el robo de cientos de
terabytes de información de 141 empresas alrededor del mundo. Y es de notar que
esta Unidad puede estar “adentro” de varias empresas de manera simultánea. Lo
anterior es relevante, ya que habla de sus capacidades: no sólo es entrar a una
infraestructura, sino una vez adentro empezar a analizar la información a
la que se tiene acceso para extraerla;
dicho análisis no es trivial. Es necesario comprometer un sistema, ver qué
tiene y seleccionar el siguiente objetivo dentro de la empresa víctima para de
nueva cuenta analizar la información que contiene y seleccionar aquella que es
de utilidad. Este proceso junto con mantener el acceso informático no
autorizado, evidentemente consume tiempo y recursos humanos/tecnológicos. (Pág.
3). El equipo de personas encargadas de estos análisis podría incluir lingüistas,
desarrolladores de software, creadores de malware, expertos analistas de
industrias, economistas; todos ellos orientados a penetrar empresas e
interpretar la información “recibida” (Pág. 5).
Una vez que los crackers de APT1
establecían acceso, periódicamente seguían visitando a las víctimas. No sólo
por unas semanas, sino por meses o años (de ahí su nombre de ataques
persistentes). Por el tipo de datos extraídos, básicamente estaban detrás de
información industrial y de defensa (planos, procesos, resultados de pruebas,
documentos con estrategias de precios, acuerdos comerciales, etc.). En mi
opinión, esto claramente significa que perseguían tres objetivos: 1) Robar
información que beneficie a empresas chinas ahorrándoles grandes cantidades de
inversión; 2) Tener a la mano
estrategias de mercado, precios de compra y venta así como acuerdos para
adelantarse a algún movimiento de la empresa víctima o negociar un mejor trato
para algunos sectores de la industria china y 3) Obtener información de defensa
de países extranjeros como tecnología militar o estrategias de seguridad; básicamente
datos que pudieran ser de utilidad en este ámbito. (Pág. 3).
De las 141 empresas víctimas, 87% se
encontraban en países cuyo lenguaje oficial es el inglés. Interesante dato. Me
pregunto. ¿Quiere decir que ese tipo de países son los que tienen información
realmente útil? ¿O que este grupo de crackers expuesto en el reporte se
dedicaba a este tipo de países pero que hay otros que se orientan a otras
regiones?
La Unidad de espoinaje se vio benficiada
por una conexión de fibra óptica contratada con China Telecom que es propiedad
del gobierno de aquel país. Si hicieran operaciones encubiertas dentro de su
propio país, lo más inteligente sería no pasar tráfico por una empresa
gubernamental (Pág. 19).
Si bien no hay nada divertido en el reporte, lo que
leí en la página 51 del reporte me hizo reír. Hasta antes de esta página me
preguntaba cómo habían logrado los analistas de Mandiant capturar toda esta
información. ¿Cómo le habían hecho para conocer tantos detalles y dar
direcciones, identidades, etc.? Respuesta: hackeando a los hackers. Resulta que
los atacantes tenían prácticas online inseguras. Por ejemplo, iniciaban sesión
a FaceBook o Twitter directamente desde las máquinas desde donde hackeaban. Aunque
el reporte no es muy explícito en todas las “prácticas inseguras” de los
atacantes, pues es un hecho que nunca pensaron que a ellos los iban a espiar y
de ahí sus descuidos. Supongo que pecaron del mismo pecado que explotaron:
sentirse seguros.
Lecciones
aprendidas.
Mi primera lección aprendida (de nueva cuenta) es que los antivirus
protegen de las amenazas conocidas y comunes. No harán lo mismo para malware especializado
y dirigido. En un pequeño ejercicio
con 1,000 muestras de virus usados por APT1, sólo se encontraron 22 “conocidos”.
Si bien se pudo usar VirusTotal con motores reales de antivirus y obtener
diferentes resultados (tal vez alguien ya lo haya hecho), el punto es que en mi
opinión la mayoría de los virus usados por APT1 de todas maneras no se hubiera
identificado. Si en tu empresa te tomas la seguridad seriamente, debes
complementar el antivirus con un producto de listas blancas.
Mi segunda lección es que las empresas siguen siendo muy laxas en su
seguridad. No hay nada perfecto, pero al menos se puede dificultar la labor de
los atacantes si se tienen ciertas prácticas de seguridad en marcha.
En el video publicado por Mandiant donde
se observan algunas de las técnicas usadas por APT1 se puede ver que no son estrategias
de ataque demasiado avanzadas (sin embargo, ver mi quinta lección).
En la página 27 del reporte de
Mandiant se ilustra y describe la estrategia de ataques spear phishing que
lleva a una liga maliciosa o que contiene un ZIP con malware dirigido. Es algo
que productos como Bit9 (whitelisting), FireEye o Mandiant podrían
mitigar, junto con una estrategia de monitoreo y respuesta a incidentes, sin
mencionar una gestión de parches y nuevas actualizaciones o seguir al menos
algunos de los 20 controles sugeridos del SANS.
Pero vaya, no quiero enlistar N protecciones. El punto es que con algunos cambios
en la gestión de la seguridad y una inversión no tan grande se podría mejorar
significativamente el nivel de seguridad de esas corporaciones que fueron y
serán víctimas de hackeos.
Mi tercera lección es respecto al spear phishing (del cual en la
página 28 se dice que es una de las técnicas favoritas para penetrar
organizaciones). En otros foros y blogs se habla una y otra vez que hay que
entrenar a los empleados para que identifiquen correos sospechosos que puedan
tratarse de spear phishing.
En la página 27 del reporte de Mandiant se describe
que la gran mayoría de ataques se concretaron por medio de spear phishing,
correos que eran cuidadosamente elaborados, diseñados y con mensajes coherentes.
Luego entonces me viene a la cabeza
que un mensaje spear phishing bien hecho y previamente analizado por el
atacante será muy difícil que sea identificado como tal por la víctima. Hasta para
los llamados “expertos de seguridad”. Si no hay nada sospechoso o raro en el
mensaje de correo, lo más natural será ir a la liga sugerida o abrir el PDF adjuntado.
¿Es culpa del empleado?
Yo opino que no del todo. Si yo fuera
usuario y un experto me viene a decir que no abra correos sospechosos, después
de preguntarle lo que significa “sospechoso” y que me conteste que “cosas raras
e inesperadas”, procederé a aventarle una maceta y le voy a decir que se ponga
a trabajar y que me provea de un ambiente seguro y un mecanismo que me permita
hacer mi trabajo que incluye leer correos de clientes y colegas sin que tenga
que estar adivinando si es o no “sospechoso”, porque aun así, habrá correos tan
bien hechos que haga lo que haga me engañarán.
Me da risa cuando ponemos tanto empeño
en decirles a los usuarios que no abran correos sospechosos ni ejecuten
archivos raros, cuando ese archivo es un PDF que explota una debilidad en Adobe
que los de Sistemas/Seguridad NO parcharon. ¿Culpa del usuario de todas
maneras?
Mi cuarta lección es que este tipo de ataques APT1 no tienen el
objetivo de dañar la reputación de la víctima, ni de hacerle una denegación de
servicio ni de publicar en Internet la información robada.
Se trata de lo que
por años se ha dicho: la información. Los chinos lo saben, los rusos lo saben,
todos lo saben: información es poder y da una ventaja competitiva, de otro modo
no se tomarían la molestia de gastar dinero y recursos para mantener a un grupo
de personas orientadas al robo y análisis de información.
A veces como que
siento que se le tiene más temor a ataques de reputación que a los de robo silencioso
de información. En fin.
Mi quinta lección es sobre la sofisticación de los ataques que hablé
párrafos atrás refiriéndome a que no eran muy avanzados. Sólo hago notar que el
hecho de que no hayan sido avanzados no se traduce de inmediato en que los
atacantes son unos idiotas Script Kiddies. ¿Si la infraestructura víctima no es
nada robusta, para qué utilizar ataques avanzados si con mecanismos básicos y
simples se puede conseguir lo deseado?
Mi séptima lección. Se ha dicho que lo mejor sería bloquear el tráfico
desde China hasta tu empresa (se toca este tema en la página 39) en caso de que
no tengas ningún negocio qué tratar con ellos. Simplemente bloqueas ese tráfico
y se acabó. Falso. Lo que tendrían que hacer los atacantes al ver que se topan
con una pared, es “saltar”: comprometen a un equipo en Canadá y de ahí inician
su ataque.
Comentarios
Aleatorios.
Primero:
el 19 de febrero de 2013, Time publicó una nota
llamada “U.S. Ready to Strike Back
Against China Cyberattacks”. Mi pregunta es por qué los EUA tuvieron que
esperar a un reporte de una empresa privada para declarar que están listos para
ver cómo arreglan el asunto.
¿Las agencias de inteligencia entonces no sabían
nada o no tenían suficientes elementos previos? Me pregunto si las agencias de
tres letras de EUA tienen mejores reportes y evidencias de los hackeos desde
China o algún otro país y cuentan con ellos desde hace años.
En mi opinión,
poco han hecho por su sector empresarial dejando que siga sangrando ese líquido
vital de información valiosa. Y si no lo sabían, pues sin comentarios.
Segundo:
si bien libros como Zero Day de Mark Russinovich o Deamon de Daniel Suárez
están bien como lectura y mezclan la realidad con ciencia ficción, el reporte
de Mandiant it’s the real shit. Eso
es lo que pasa en la realidad, no lo que podría pasar.
Tercero:
días después de la publicación del reporte de Mandiant, China niega
que auspicie o tolere actos de hackeo. Si llegan a leer u hojear el reporte,
verán detalles que les dejarán poca
duda. Lo anterior, aunado a sospechas de años atrás de que esto ha estado ocurriendo;
caray, pues es difícil de negar que sucede.
Cuarto:
hay opiniones
que estiman que los chicos malos de APT1 no son los más hábiles de China.
Podría haber otros equipos de aquel país con más capacidades técnicas que
persiguen otros objetivos más difíciles de penetrar. Es altamente probable que
sea así.