Mis opiniones del reporte de Mandiant (APT1)

El martes 19 de febrero, la empresa Mandiant publicó un reporte que liga actividades de espionaje industrial con el gobierno chino. El documento gira en torno a un grupo de crackers chinos bautizados con el identificador APT1. APT en inglés es Advanced Persistent Threat.

Para mí, no es un reporte más, sino que adquiere relevancia ya que demuestra con bastantes y razonables evidencias que hay un patrocinio o tolerancia gubernamental de China orientado a actividades de robo de información que suponen una ventaja competitiva a diversas industrias chinas.

Quedé impactado de la información que se vierte en el reporte, el cual sugiero fuertemente leer y se encuentra en www.mandiant.com/apt1. A reserva de que lo leas, quisiera comentar algunos puntos relevantes de este documento que aclaro, son mis interpretaciones y opiniones de la lectura que hice del reporte.

Pero primero. ¿Estuvo bien que esta empresa Mandiant lo haya publicado? Hay voces que dicen que no, que porque es pura publicidad para la empresa que lo sacó a la luz y pone en alerta a los crackers quienes seguramente cambiarán sus técnicas. En mi opinión, pienso que hicieron más bien que mal. Mandiant es una empresa de EUA que tiene acceso a datos concretos de cómo están drenando dinero de empresas de su propio país y sería triste que se quedaran de brazos cruzados. Claro, pudieron haber alertado de los hackeos puntualmente a cada empresa, sin embargo la solución será puntual también y el problema general en sí persistirá. Creo que al publicarlo al menos moverán voluntades hasta ahora detenidas y puede significar cambios importantes en la administración de la seguridad de aquel país.

Dicho lo anterior, entremos en materia.

A lo largo del reporte se establecen diversas ligas entre el grupo de crackers chinos y su gobierno. Se dan detalles como por ejemplo que el Ejército Popular de Liberación tiene bajo su mando al grupo llamado “Unit 61398”, encargado de realizar las penetraciones y que como ya dije, es identificado por Mandiant como APT1. Inclusive se da la dirección física desde donde ocurre el ciber- espoinaje (un edificio en Datong Road en Gaoqiaozhen, Shanghai). Asimismo en el reporte se encuentran fotos del inmueble. En mi opinión se ha establecido fuertemente el origen chino del grupo de crackers auspiciado o al menos tolerado por el gobierno de ese país, cuestión que siempre ha negado oficialmente. (Pág. 3 del reporte de Mandiant).

El documento de Mandiant habla de que se estima que la Unidad 61398 emplea a cientos o tal vez miles de personas encargadas de diversas tareas de ciber- espionaje. (Pág. 3). No sólo hay gente que se mete a las computadoras, sino que hay otras más encargadas de analizar la información, distribuirla a los interesados y recibir peticiones concretas de espionaje.

 Curiosamente la Unidad 61398 contrata a empleados de cierto perfil. En concreto, buscan gente de seguridad informática y de redes; asimismo piden que hablen inglés. (Pág. 3).

Se registró el robo de cientos de terabytes de información de 141 empresas alrededor del mundo. Y es de notar que esta Unidad puede estar “adentro” de varias empresas de manera simultánea. Lo anterior es relevante, ya que habla de sus capacidades: no sólo es entrar a una infraestructura, sino una vez adentro empezar a analizar la información a la  que se tiene acceso para extraerla; dicho análisis no es trivial. Es necesario comprometer un sistema, ver qué tiene y seleccionar el siguiente objetivo dentro de la empresa víctima para de nueva cuenta analizar la información que contiene y seleccionar aquella que es de utilidad. Este proceso junto con mantener el acceso informático no autorizado, evidentemente consume tiempo y recursos humanos/tecnológicos. (Pág. 3). El equipo de personas encargadas de estos análisis podría incluir lingüistas, desarrolladores de software, creadores de malware, expertos analistas de industrias, economistas; todos ellos orientados a penetrar empresas e interpretar la información “recibida” (Pág. 5).

Una vez que los crackers de APT1 establecían acceso, periódicamente seguían visitando a las víctimas. No sólo por unas semanas, sino por meses o años (de ahí su nombre de ataques persistentes). Por el tipo de datos extraídos, básicamente estaban detrás de información industrial y de defensa (planos, procesos, resultados de pruebas, documentos con estrategias de precios, acuerdos comerciales, etc.). En mi opinión, esto claramente significa que perseguían tres objetivos: 1) Robar información que beneficie a empresas chinas ahorrándoles grandes cantidades de inversión;  2) Tener a la mano estrategias de mercado, precios de compra y venta así como acuerdos para adelantarse a algún movimiento de la empresa víctima o negociar un mejor trato para algunos sectores de la industria china y 3) Obtener información de defensa de países extranjeros como tecnología militar o estrategias de seguridad; básicamente datos que pudieran ser de utilidad en este ámbito. (Pág. 3).

De las 141 empresas víctimas, 87% se encontraban en países cuyo lenguaje oficial es el inglés. Interesante dato. Me pregunto. ¿Quiere decir que ese tipo de países son los que tienen información realmente útil? ¿O que este grupo de crackers expuesto en el reporte se dedicaba a este tipo de países pero que hay otros que se orientan a otras regiones?

La Unidad de espoinaje se vio benficiada por una conexión de fibra óptica contratada con China Telecom que es propiedad del gobierno de aquel país. Si hicieran operaciones encubiertas dentro de su propio país, lo más inteligente sería no pasar tráfico por una empresa gubernamental (Pág. 19).

Si bien no hay nada divertido en el reporte, lo que leí en la página 51 del reporte me hizo reír. Hasta antes de esta página me preguntaba cómo habían logrado los analistas de Mandiant capturar toda esta información. ¿Cómo le habían hecho para conocer tantos detalles y dar direcciones, identidades, etc.? Respuesta: hackeando a los hackers. Resulta que los atacantes tenían prácticas online inseguras. Por ejemplo, iniciaban sesión a FaceBook o Twitter directamente desde las máquinas desde donde hackeaban. Aunque el reporte no es muy explícito en todas las “prácticas inseguras” de los atacantes, pues es un hecho que nunca pensaron que a ellos los iban a espiar y de ahí sus descuidos. Supongo que pecaron del mismo pecado que explotaron: sentirse seguros.

 Lecciones aprendidas.

Mi primera lección aprendida (de nueva cuenta) es que los antivirus protegen de las amenazas conocidas y comunes. No harán lo mismo para malware especializado y dirigido. En un pequeño ejercicio con 1,000 muestras de virus usados por APT1, sólo se encontraron 22 “conocidos”.

 

Si bien se pudo usar VirusTotal con motores reales de antivirus y obtener diferentes resultados (tal vez alguien ya lo haya hecho), el punto es que en mi opinión la mayoría de los virus usados por APT1 de todas maneras no se hubiera identificado. Si en tu empresa te tomas la seguridad seriamente, debes complementar el antivirus con un producto de listas blancas.

Mi segunda lección es que las empresas siguen siendo muy laxas en su seguridad. No hay nada perfecto, pero al menos se puede dificultar la labor de los atacantes si se tienen ciertas prácticas de seguridad en marcha.

 

En el video publicado por Mandiant donde se observan algunas de las técnicas usadas por APT1 se puede ver que no son estrategias de ataque demasiado avanzadas (sin embargo, ver mi quinta lección).

En la página 27 del reporte de Mandiant se ilustra y describe la estrategia de ataques spear phishing que lleva a una liga maliciosa o que contiene un ZIP con malware dirigido. Es algo que productos como Bit9 (whitelisting), FireEye o Mandiant podrían mitigar, junto con una estrategia de monitoreo y respuesta a incidentes, sin mencionar una gestión de parches y nuevas actualizaciones o seguir al menos algunos de los 20 controles sugeridos del SANS.

 

Pero vaya, no quiero enlistar N protecciones. El punto es que con algunos cambios en la gestión de la seguridad y una inversión no tan grande se podría mejorar significativamente el nivel de seguridad de esas corporaciones que fueron y serán víctimas de hackeos.

Mi tercera lección es respecto al spear phishing (del cual en la página 28 se dice que es una de las técnicas favoritas para penetrar organizaciones). En otros foros y blogs se habla una y otra vez que hay que entrenar a los empleados para que identifiquen correos sospechosos que puedan tratarse de spear phishing.

 

En la página 27 del reporte de Mandiant se describe que la gran mayoría de ataques se concretaron por medio de spear phishing, correos que eran cuidadosamente elaborados, diseñados y con mensajes coherentes.

Luego entonces me viene a la cabeza que un mensaje spear phishing bien hecho y previamente analizado por el atacante será muy difícil que sea identificado como tal por la víctima. Hasta para los llamados “expertos de seguridad”. Si no hay nada sospechoso o raro en el mensaje de correo, lo más natural será ir a la liga sugerida o abrir el PDF adjuntado. ¿Es culpa del empleado?

Yo opino que no del todo. Si yo fuera usuario y un experto me viene a decir que no abra correos sospechosos, después de preguntarle lo que significa “sospechoso” y que me conteste que “cosas raras e inesperadas”, procederé a aventarle una maceta y le voy a decir que se ponga a trabajar y que me provea de un ambiente seguro y un mecanismo que me permita hacer mi trabajo que incluye leer correos de clientes y colegas sin que tenga que estar adivinando si es o no “sospechoso”, porque aun así, habrá correos tan bien hechos que haga lo que haga me engañarán.

Me da risa cuando ponemos tanto empeño en decirles a los usuarios que no abran correos sospechosos ni ejecuten archivos raros, cuando ese archivo es un PDF que explota una debilidad en Adobe que los de Sistemas/Seguridad NO parcharon. ¿Culpa del usuario de todas maneras?

 Mi cuarta lección es que este tipo de ataques APT1 no tienen el objetivo de dañar la reputación de la víctima, ni de hacerle una denegación de servicio ni de publicar en Internet la información robada.

 

Se trata de lo que por años se ha dicho: la información. Los chinos lo saben, los rusos lo saben, todos lo saben: información es poder y da una ventaja competitiva, de otro modo no se tomarían la molestia de gastar dinero y recursos para mantener a un grupo de personas orientadas al robo y análisis de información.

 

A veces como que siento que se le tiene más temor a ataques de reputación que a los de robo silencioso de información. En fin.

Mi quinta lección es sobre la sofisticación de los ataques que hablé párrafos atrás refiriéndome a que no eran muy avanzados. Sólo hago notar que el hecho de que no hayan sido avanzados no se traduce de inmediato en que los atacantes son unos idiotas Script Kiddies. ¿Si la infraestructura víctima no es nada robusta, para qué utilizar ataques avanzados si con mecanismos básicos y simples se puede conseguir lo deseado?

Mi séptima lección. Se ha dicho que lo mejor sería bloquear el tráfico desde China hasta tu empresa (se toca este tema en la página 39) en caso de que no tengas ningún negocio qué tratar con ellos. Simplemente bloqueas ese tráfico y se acabó. Falso. Lo que tendrían que hacer los atacantes al ver que se topan con una pared, es “saltar”: comprometen a un equipo en Canadá y de ahí inician su ataque.

 

Comentarios Aleatorios.

Primero: el 19 de febrero de 2013, Time publicó una nota llamada “U.S. Ready to Strike Back Against China Cyberattacks”. Mi pregunta es por qué los EUA tuvieron que esperar a un reporte de una empresa privada para declarar que están listos para ver cómo arreglan el asunto.

 

¿Las agencias de inteligencia entonces no sabían nada o no tenían suficientes elementos previos? Me pregunto si las agencias de tres letras de EUA tienen mejores reportes y evidencias de los hackeos desde China o algún otro país y cuentan con ellos desde hace años.

 

En mi opinión, poco han hecho por su sector empresarial dejando que siga sangrando ese líquido vital de información valiosa. Y si no lo sabían, pues sin comentarios.

 

Segundo: si bien libros como Zero Day de Mark Russinovich o Deamon de Daniel Suárez están bien como lectura y mezclan la realidad con ciencia ficción, el reporte de Mandiant it’s the real shit. Eso es lo que pasa en la realidad, no lo que podría pasar.

 

Tercero: días después de la publicación del reporte de Mandiant, China niega que auspicie o tolere actos de hackeo. Si llegan a leer u hojear el reporte, verán detalles que  les dejarán poca duda. Lo anterior, aunado a sospechas de años atrás de que esto ha estado ocurriendo; caray, pues es difícil de negar que sucede.

Cuarto: hay opiniones que estiman que los chicos malos de APT1 no son los más hábiles de China. Podría haber otros equipos de aquel país con más capacidades técnicas que persiguen otros objetivos más difíciles de penetrar. Es altamente probable que sea así.