Las siglas APT recogen unos tipos de ciberataques complejos y dirigidos a objetivos vitales para la economía, los ciudadanos y los gobiernos. Este artículo describe sus características y los requisitos para la investigación y su erradicación.
- “Soy un pirata porque tengo solo un barco,
si tuviese una flota sería un conquistador”.
Respondió el prisionero ante Alejandro Magno
Cambios estratégicos a escala mundial
El cielo de la ciudad china de Shenyang se rasga con la estela que deja el prototipo de avión de combate J-31 nacido de Shenyang Aircraft Corporation. Es un caza de combate de quinta generación, los denominados invisibles. Sorprendentemente es muy similar al F-35 Lightning II norteamericano. Hace unos años su fabricante, la empresa aeronáutica y armamentística Lockheed Martin sufrió varios ataques informáticos y considerable robo de información. Según el Washington Times, los robos se pudieron producir en el 2007 ("Top Gun takeover: Stolen F-35 secrets showing up in China’s stealth fighter" ). La balanza del nuevo equilibrio mundial se había inclinado hacia el brazo oriental de Rusia y China.
Así publicaban la noticia el periódico ABC y el Mundo a finales de mayo de 2011: "Ciberataque contra el mayor proveedor del Pentágono" y " El grupo de defensa Lockheed, primer contratista del Pentágono, sufre un ciberataque"
 |
| Shenyang J-31 (F60) at the 2014 Zhuhai Air Show (fuente Wikipedia: Shenyang_J-31) |
 |
| F-35 Lightning II, cortesía de U.S. Air Force photo by Master Sgt. Donald R. Allen (fuente Wikipedia Lockheed Martin F-35 Lightning_II) |
Las “Amenazas Persistentes Avanzadas”
La configuración de ataques bajo las siglas de APT están creciendo en los últimos años. Significa Amenaza Persistente Avanzada (Advanced Persistent Threats). Designa un tipo de ciberataque que se ha ido fraguando en los últimos años. Sus propias características y las diferencias con otros tipos de ataques lo resumiremos en los siguientes apartados.
La Information Systems Audit and Control Association, ISACA, publicó un estudio en 2013 con el título Responding to Targeted Cyberattacks en el cual ofrece una orientación para que las organizaciones y departamentos de TI se preparen para defenderse de estas nuevas amenazas, cómo investigar el ciberataque perpetrado y cómo erradicar la intrusión para tratar de recuperar la situación original. Al año siguiente ISACA publicó un informe sobre el avance de las APT titulado Advanced Persistent Threat Awareness, Study Results (existe traducción al castellano: Concienciación acerca de las amenazas persistentes avanzadas, resultados del estudio) donde aportaba datos sobre la percepción de las APT entre los profesionales de la seguridad. Los resultados de los estudios de los años posteriores muestran un incremento considerable en los daños producidos por este tipo de ataques.
El presente artículo sigue las pautas del primer documento porque es muy útil para comprender cómo son las APT y cómo las empresas deben prepararse para hacer frente a este tipo de amenaza.
Quedaron atrás los años donde aparecía periódicamente un virus creando cierta alarma social. Su presencia se anunciaba en los telediarios, aunque frecuentemente, la noticia era divulgada demasiado tarde. Actualmente la realidad ha cambiado. Los sistemas informáticos son más numerosos, complejos e interconectados. En la cotidianidad cada vez más tecnológica y con más información sensible expuesta en las redes se ha creado un ambiente oscuro de acoso, espionaje y ciberguerra permanente. Es en éste contexto temporal donde se desarrollan los ataques APT y es una de sus características propias: la amenaza constante.
 |
| Figura 1. Lista de APT destacados. Fuente INCIBE |
Las historias de APT
Muchos de estos ataques APT son conocidos por el público porque han saltado a las noticias de los medios no especializados. Podemos encontrar una lista de ataques APT (Figura 1) en el informe Detección de APT publicado por INTECO (actualmente Instituto Nacional de Ciberseguridad, INCIBE) en mayo de 2013. Este documento trata las APT desde la perspectiva técnica. Otro resumen muy breve lleva el título “The Most Famous Advanced Persistent Threats in History” (Figura 2). Si deseamos noticias periódicas con contenido, el Real Instituto Elcano publica la revista “CIBER elcano” donde aparecen algunas páginas dedicadas a ciberataques con interesantes descripciones (Figura 3).
 |
|
|
 |
| Figura 3. CIBER Elcano |
Características de las APT
Las APT se destacan por otros dos aspectos importantes que las diferencian de otros ataques típicos: estos son la forma y complejidad en que se realiza la intrusión en los sistemas y los objetivos finales.
Vectores de Ataque Adaptativos
El primero es la actuación a través de Vectores de Ataque Adaptativos. El Vector de Ataque es el camino que se utiliza para realizar la intrusión a la red privada de las organizaciones, puede ser desde la web, el correo electrónico, las diversas técnicas de suplantación, etc. Un Vector Adaptativo consiste en una estrategia de ataque hacia un objetivo final a través de otro objetivo intermedio. Un ataque representativo ocurrió en mayo de 2011. Fue el robo de credenciales de acceso en la compañía RSA Security pero cuyo propósito final era introducirse en la red de una segunda compañía, la víctima fue la Lockheed Martin y las consecuencias finales las mencionadas anteriormente.
En aquel año se percibió como un cambio en la estructura de ejecución de los ciberataques. “El malware ha evolucionado desde un molesto y habitual script kiddie, a un sindicato del crimen profesional, y ahora en una herramienta de precisión empresarial y gubernamental de espionaje” escribió Tony Bradley en un artículo de PC World. (Figura 4). La situación, que entonces resultaba un tanto premonitoria se ha convertido en habitual.
 |
| Figura 4. “Lockheed-Martin attack signals new era of cyber espionage” |
Espionaje y Ciberguerra
El segundo cambio tuvo su inicio el año anterior, en enero de 2010 cuando Google y otras compañías de correo fueron atacadas desde el Gobierno Chino en un intento de acceder ilícitamente a las cuentas de correo de los activistas chinos que luchaban por la defensa de los derechos humanos en aquel país. Tampoco hay que olvidar el caso de Estonia en 2007, con un ataque que masivo que paralizó las actividades públicas y privadas de todo el país. Las pistas señalaban a Rusia como origen. Las consecuencias de este hecho fue la movilización de nuevos recursos de la OTAN para apoyar y defender a un país miembro.
Con estos ejemplos podemos comprobar que los ataques “financiados” por gobiernos contra empresas tanto privadas como públicas de otros países son otra de las características de las APT (Figura 5).
 |
| Figura 5. “New approach to China” |
En resumen las APT consisten en ataques complejos, elaborados con tecnología que sólo puede ser soportada por entidades con suficientes recursos en tiempo y dinero para ejecutarlos contra objetivos muy concretos de tal modo que se pueda garantizar el éxito. Son ataques persistentes en el tiempo como hemos indicado anteriormente porque el desarrollo es lento y complejo y una vez iniciado siempre tratan de mantener la intrusión de un modo u otro para “rentabilizar” la inversión. Una de las estrategias es realizar lo que se conoce como “desplazamientos laterales” dentro de los sistemas.
La APT tiene un ciclo de vida complejo con un conjunto de tareas y actividades muy organizadas. Muchas de ellas minuciosamente estudiadas y ejecutadas. Las etapas del ciclo de vida se corresponden a cualquier tipo de ataque informático: exploración inicial, toma de control, escalado de privilegios, extracción de datos, recogida de información. Pero son las tareas internas en estas etapas lo que difiere de los ataques “tradicionales”.
Para comprender mejor la forma en que opera una APT, el estudio de ISACA muestra una tabla muy interesante. En la Tabla I (basada en la Figura 06 de Responding to Targeted Cyberattacks) se compara la práctica tradicional de la seguridad frente al modo de actuar de las APT. Cada recuadro merecería un detallado análisis y comentario que se escapa a los objetivos de este artículo pero invito al lector a reflexionar sobre ello así como buscar información adicional.
 |
| Tabla I. Cómo actúan las APT |
Hemos visto la magnitud de las APT. La complejidad y el riego hace necesario que las empresas compartan información de los ataques, para poder desarrollar y ejecutar todo un plan capaz remediar las consecuencias y erradicar al intruso dañino.
Planes de investigación y de erradicación de APT
Desarrollar los planes de investigación y erradicación de la intrusión será posible en grandes empresas, con recursos suficientes, aunque evidentemente, convencer a la alta dirección para que aporte la inversión necesaria exige que esté concienciada de la importancia práctica para el negocio, sabiendo que los ciberataques impactarán en el negocio de una forma u otra.
La investigación no está al alcance de cualquier empresa. Es necesario la colaboración con otras empresas especializadas, sobre todo en aquellos procesos fundamentales y críticos para el negocio.
Hay que destacar la importancia que tienen las relaciones dentro de la propia empresa como base primordial para la investigación. Es imprescindible que se conozcan los roles y las responsabilidades que se tienen que involucrar cuando se produce un ataque y aquellos que deberán tomar las decisiones oportunas para que la respuesta sea más eficaz. Como herramienta es necesario construir una matriz RACI (Responsible, Accountable, Consulted, Informed) dónde queden identificados los roles, las actividades y sus responsabilidades. Es necesario constituir un grupo de investigación distinto al grupo de administradores y técnicos que solventan los incidentes habituales de los sistemas TIC, incluyendo aquéllos de seguridad menos graves. El grupo de investigación debe tener suficiente autoridad, amparada por el CIO (Chief Information Officer), para que puedan dirigirse y actuar en los lugares y momentos cuando sea necesario. Esto incluye la capacidad de moverse por cualquier espacio del edificio (acceso a Centro de Procesamiento de Datos, archivos, etc) y accesos a los sistemas de acceso restringido.
Para hacer frente a un plan de investigación hay que establecer cual es la capacidad crítica necesaria para ello (denominadas CSIRC, Computer Security Incident Response Capability). La capacidad crítica es definida textualmente por ISACA como “un conjunto crucial de capacidades que se compone de personas debidamente capacitadas guiadas por procesos bien diseñados que permiten el uso efectivo de las tecnologías pertinentes” y el documento continua “el conjunto adecuado de las capacidades es fundamental para llevar a cabo una investigación a fondo y con éxito para erradicar a los adversarios profundamente arraigados y persistentes en el entorno”. Hay que destacar la importancia de los procesos como parte del conjunto de capacidades porque son los que ayudan a llevar a cabo la investigación y erradicación de una forma correcta.
La Tabla II (basada en la Figura 10 del documento) muestra un resumen de los requisitos que deben poseer las capacidades críticas.
 |
| Tabla II. Capacidades para abordar ciberaques APT |
Entre la Capacidades de la Tabla II, vamos a dedicar unas líneas a la Inteligencia de las Amenazas porque es un punto importante.
La Inteligencia de la Amenaza se centra en el estudio de los motivos y las acciones que ha utilizado el atacante. A través de ellas se logra comprender las técnicas y los procedimientos. La investigación de las APT no finaliza con la erradicación y la vuelta a la posible normalidad de las actividades del negocio después de un ataque. Como explicamos anteriormente, las APT tienen un ciclo de vida con unas etapas iniciales que son el punto de apoyo para realizar los ataques posteriores más complejos. Hay que destacar dos áreas de investigación relacionadas con estas etapas:
- Tratar de conocer las acciones de penetración e impedir que se creen soportes que permitan penetraciones más profundas en los sistemas.
- Continuar con el estudio de las causas y motivaciones por las cuales la organización se ha convertido en el blanco del ataque. Es importante conocer las situaciones similares en otras empresas del sector.
Una tarea importante consiste en leer los boletines de noticias y alertas de organizaciones donde se informa sobre nuevas amenazas, vulnerabilidades y otros riesgos.
La Investigación
La investigación de un APT es proporcionar suficiente información para realizar y ejecutar finalmente el plan de corrección y erradicación. La atención a las intrusiones graves debe realizarse por procedimientos específicos y no por los procedimientos estándar (Figura 6), estamos trabajando en esta línea de acción.
 |
| Figura 6. Procedimientos estándar y Procedimientos de incidentes graves. |
Los procedimientos de recopilación de las evidencias y su posterior análisis no es un proceso lineal. Cuando se extrae nueva información o se descartan suposiciones de los hechos, comienza una nueva etapa de recogida de otras evidencias y análisis. Básicamente se conocen cinco fases, aunque siendo unas consecuencia de las precedentes, los límites son difusos. Estas son: identificación, contención, erradicación, recuperación y seguimiento. Existen varios modelos de análisis de ciberataques de los cuales exceden el contenido de este artículo y todos ellos válidos para esta etapa. Comentaré otros puntos de interés.
Los departamentos TI de las empresas deben disponer de un grupo dedicado a la ciberseguridad capaz de distinguir un incidente grave para la empresa de otros menos graves. Es complicado seguir un incidente a la vez que se mantiene el proceso de TI de la empresa en su actividad diaria habitual. Pueden existir circunstancias en que sea necesario compartir recursos.
Un hecho interesante que comparten los ataques APT es que las empresas rara vez detectan estos tipos de ataque. Son informadas por terceros como servicios de seguridad, vigilancia de comunicaciones, policía especializada en ciberdelitos, etc.
Cuando se ha reconocido el ataque, son numerosas las preguntas a las que hay que encontrar respuesta. Las primeras: ¿Quién nos ha atacado? ¿Cuándo ocurrió el ataque? ¿Qué consiguieron los atacantes de nosotros? ¿Por qué lo hacen? Pero a continuación surgen otras muchas más. En el Apéndice A de Responding to Targeted Cyberattacks se encuentran más de medio centenar de preguntas que servirán para orientar la investigación.
La conservación de evidencias
La conservación de evidencias y la documentación durante la investigación de un ataque APT es una tarea compleja por la gran cantidad de información que se tiene que recopilar y almacenar cientos de ficheros "log", archivos, discos duros, etc. Es muy importante el correcto inventariado de este material, el seguimiento y la custodia del mismo. Hay que destacar también lo importante que es proteger todas las acciones y documentos de la fase de investigación.
La Erradicación
El objetivo del plan de erradicación es quitar los atacantes del entorno de negocio. No conviene olvidar que APT son métodos complejos y que la intrusión puede haber sido en nuestra propia corporación o en aquellas otras empresas con las cuales tengamos relación de negocio.
La empresa, resume el documento, debe centrar sus esfuerzos para enfrentarse a la APT en:
- Redactar un informe de investigación con suficiente calidad para que ayude a los esfuerzos posteriores de la fase de erradicación
- Una planificación y coordinación entre las fases de investigación y erradicación.
- Una metodología de gestión de proyectos aplicada con rigor.
Preparación de un plan de erradicación
La organización del plan comienza durante la fase de investigación. El plan de erradicación debe ir paralelo con el plan de investigación. Esta coordinación entre ambos permite que el esfuerzo sea más efectivo, se consigan alcanzar los objetivos marcados, y eficiente, la inversión para conseguirlo sea la adecuada.
Un equipo de personas y con sus roles definidos serán los seleccionados para ejecutar el plan. Una de las labores de este equipo es medir los resultados de las acciones que se realizan y estar atentos a la nueva actividad que pueda surgir durante la erradicación. Se ha comprobado que los atacantes quieren permanecer en la víctima. Otra de las características de las APT es la persistencia.
El equipo de erradicación necesita planificar sus escenarios de contingencia y estar preparados para adaptarse a las reacciones que pudiera tener el atacante a la acción de erradicación. Ésta será más efectiva si se logra aislar los sistemas afectados del resto.
Determinar las tareas necesarias para completar antes y después el evento de erradicación. Hay que establecer un nivel base de seguridad antes de comenzar. El equipo de erradicación, antes de ejecutar el plan de erradicación tiene que ser capaz de controlar todas las actividades que se identificaron y quedaron registradas en el informe de la investigación.
Comunicación del plan de erradicación
Diversas partes del proceso del negocio que pueden resultar afectadas por las acciones de la erradicación. Tienen que estar informados de cuáles pueden ser las consecuencias, por lo tanto se impone una comunicación clara y fluida entre estas partes y el grupo de seguridad. La creación de un “gabinete de crisis” (war room en terminología inglesa) como espacio para reunirse con los portavoces del incidente, responsables de departamentos, personas interesadas facilita esta comunicación. El avance de la investigación debe ser compartido y en el plan de erradicación se debe designar las personas que deben estar informadas. Como indicamos anteriormente, es posible que otras empresas tengan que formar parte y la información que se comunique debe ser tratada con cuidado. Es aconsejable realizar un ejercicio de simulación del plan previo a ejecución real del mismo. Esto ayuda a especificar correctamente el plan y aclarar dudas, así como manifestar situaciones imprevistas.
Ejecución del plan de erradicación
Después de unas líneas dedicadas a la preparación del plan, ahora comentaremos el plan. Uno de los principales problemas cuando se va a iniciar el plan de erradicación son las prisas por comenzar lo antes posible. Pero el inicio se debe contener evaluando cuando es el mejor momento.
La fase de erradicación debe realizarse en el momento en que el atacante esté menos activo, por ejemplo, aprovechando las diferencias horarias entre países o festividades. El atacante siempre tratará de mantener su posición a modo de “cabeza de playa” en el objetivo y puede andar cambiando de ubicación. Durante la fase de investigación se debe vigilar y observar el comportamiento de entender las tácticas del atacante e identificar mecanismos que le permitirán mantenerse. En esta fase se han tenido que descubrir los vectores de ataque, los puntos de presencia y las vulnerabilidades que le han facilitado la intrusión.
Entre las tareas de erradicación hay que prestar atención las password, frecuentemente robadas por los atacantes para conseguir privilegios de acceso. Aunque no es posible cambiar todas las password de los usuarios si es posible revisar aquellos roles importantes comenzando por los administradores y continuar con la asignación de privilegios según las necesidades de cada puesto.
Experiencias y conocimiento
Por último, hay que dedicar tiempo a la recolección de las experiencias tras la erradicación de una APT. Una vez que se ha conseguido restablecer funcionalidades afectadas por el ataque y al intruso se le ha expulsado de los sistemas de la empresa es posible que vuelva a acceder a la red para reconquistar el punto de acceso. Para prever esta respuesta tenemos que considerar qué interés puede tener el atacante por nuestra empresa y por lo tanto cuál es su perfil de riesgo, la fase de investigación nos debería haber dado estas respuestas.
También hay que considerar que el atacante, al verse descubierto y limitado en algunas acciones, se vuelva más agresivo, utilizando la fuerza bruta para romper contraseñas o violar nuevos segmentos de red. Estas acciones se reflejan en los registros internos de control y son fácilmente detectables. En estas circunstancias la respuesta debe ser rápida y contundente. El final de la fase de erradicación será una “lucha más violenta".
No conviene olvidar que estamos ante el fenómeno de las APT. Una de sus características es que dedica bastante tiempo en la preparación de los ataques; es decir, cabe esperar que vuelva a intentar un nuevo ataque transcurrido un largo periodo en “silencio” desconectado de la red. Para asegurar el éxito se necesita en enfoque proactivo y un seguimiento posterior porque el atacante puede deshacer todo el trabajo realizado.
El conocimiento de las APT
La experiencia adquirida en la resolución del ataque nos ofrece el conocimiento de cómo proteger nuestros sistemas. El intruso ha invertido largo tiempo en la preparación y hemos aprendido a detectar el tipo de ataque. Pero el atacante quiere volver a tener acceso a la red y las anteriores técnicas no funcionarán, han sido descubiertas; por lo tanto, hay cambiará las tácticas, las herramientas y los procesos. Se ha establecido una carrera entre los atacantes y el grupo de seguridad de la empresa.
Las preguntas finales de la resolución
La evolución de los planes de investigación y erradicación han sido documentados, expuestos, consultados, discutidos y acordados en las reuniones con las personas interesadas. Esto proporciona un cúmulo de experiencia y conocimiento que servirá para futuras acciones. En los documentos se tienen que encontrar las respuestas a las preguntas:
- ¿Qué salió bien?
- ¿Qué se podría mejorar? (Considerando las personas, procesos y tecnología relacionada con la seguridad.)
- ¿Podrían haberse evitado cualquier imprevisto? Si es así, ¿cómo?
- ¿Cuáles son las medidas inmediatas de seguimiento?
Nuevas amenazas
Ante las nuevas amenazas hay que cambiar algunas percepciones que se tienen de la ciberseguridad y conviene reconsiderar.
- La desconexión de internet (air gap) no implica que no se puedan recibir ciberataques.
- Hay otros sectores de negocio con mayor interés para los ciberataques que mi empresa
- La primera motivación es la destrucción y/o la Denegación de Servicio (DoS)
La primera es la más chocante, pero no olvidemos el antecedente que supuso ciberataque Stuxnet, la inyección del "malware" se produjo a través de un pendrive. Respecto a la segunda suposición, cualquiera puede ser el objetivo de un ciberataque. Podemos ser el puente de acceso a otras empresas, entre nuestros socios, clientes o proveedores. La mayoría de los ataques es el robo de datos y su uso posterior en otros delitos.
La Figura 7 muestra ataques en tiempo real regidos por sondas un día cualquiera para percibir la magnitud del problema. Existen otros recursos que muestran los ataques recogidos por sondas.
 |
|
Figura 7. Mapa de ataques recogidos por la
empresa de seguridad Norse. Norse Attack Map
|
Conclusión
Hemos dado un breve repaso a las características de las APT y a las necesidades de las empresas para hacer frente a este tipo de ataques. La actuación ante las consecuencias de los ataques APT debe ser rápida, así como la capacidad de eliminar complejos mecanismos de intrusión. Es necesario desarrollar metodologías y procedimientos rigurosos para este nuevo espacio de ciberguerra que es diferente a los que hemos conocido a lo largo de la corta historia de la red.
Referencias:
Responding to Targeted Cyberattacks. ISACA, 2013
Advanced Persistent Threat Awareness. ISACA, 2014.
2015 Advanced Persistent Threat Awareness-Third Annual. ISACA, 2015
Detección de APTs, INTECO, mayo 2013
Cole, Eric. Advanced Persistent Threat: Understanding the Danger and How to Protect Your Organization. Ed. Syngress Publishing © 2013 (309 pages)
NIST.SP.800-61 revision 2 “Computer Security Incident Handling Guide”. US Department of Commerce.
“Concienciación acerca de las amenazas persistentes avanzadas. Resultados del estudio” ISACA, 2013.
"Advanced Persistent Threat Awareness. Study Results" ISACA, 2013
Cibersecurity Fundamentals Glossary, ISACA
Luis Fernando Real Martín
Este artículo se publicó en la revista Antena nº 196. Marzo 2017, pág 20-28. Editada por el Colegio Oficial de Ingenieros Técnicos de Telecomunicaciones
No hay comentarios:
Publicar un comentario