Ataque a FireEye, así terminamos el año 2020

 

 

Este año se presenta con esperanza e incertidumbre, tal vez a partes iguales, tal vez no. Si la amenaza biológica no es suficiente, se sigue sumando la tecnológica que también golpea los cimientos económicos de la sociedad.

El caso de FireEye

Hace unas semanas saltaban las alarmas. La empresa FireEye anunciaba públicamente que habías sido víctima de un robo de herramientas de ciberseguridad de carácter ofensivo; es decir, aquellas que permiten realizar ataques informáticos.

Kevin Mandia, CEO de FireEye, anunció el 8 de diciembre el descubrimiento y robo de herramientas de ciberseguridad muy especializadas. Estás son desarrolladas internamente para ser utilizadas por el Equipo Rojo.
(FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community)
 

 

Equipo Rojo contra Equipo Azul

En ciberseguridad, el Equipo Rojo (Red Team) es un conjunto recursos, personas y herramientas, que realizan un ataque a empresas objetivo. La finalidad es comprobar la viabilidad de los vectores de entrada, los desplazamientos transversales en el interior de la red, el acceso a la información y la facilidad de su extracción.

En el otro lado se encuentra el Equipo Azul (Blue Team). Su misión es detectar y evitar los ataques del equipo contrario. Evaluar las herramientas de defensa implantadas en el cliente, reconfigurar o desplegar aquellas que puedan cubrir las brechas de seguridad descubiertas.

Estas acciones están enmarcadas en contratos de servicios de seguridad muy concretos entre la empresa de seguridad, donde forma parte el Equipo Rojo (en este caso es FireEye) y la empresa cliente. Una vez concluido el servicio, el equipo redactará los oportunos informes técnicos donde se exponen las acciones realizadas y las debilidades descubiertas. Se complementará con recomendaciones de mejora o la propuesta de medidas correctoras para reforzar la seguridad.

Herramientas ofensivas de FireEye: CommandVM

Las herramientas comprometidas, según un comunicado de Kevin Mandia, son bastante comunes en el ámbito de ciberseguridad; es decir, no son nada excepcional.

Entre las mencionadas, destaca la máquina virtual Commando VM que aglutina todas las herramientas de ataque propias del Equipo Rojo. Esta máquina se puede descargar desde GitHub. (Commando VM,)

(Para más información de Commando VM  Commando VM 2.0: Customization, Containers, and Kali, Oh My!)

Encontrar las herramientas robadas

No obstante, como la función de estas herramientas es ejecutar ataques e intrusiones, la compañía ha puesto a disposición de otras empresas del sector, las reglas para la detección de estas herramientas y prevenir sus acciones. Estos descubrimientos servirán para rastrear desde dónde se originan y quién las posee.

En el sector, esta respuesta de la compañía constituye un ejemplo de colaboración para combatir, dentro de lo posible, los ataques. Este es el camino a seguir por instituciones y compañías del sector.
(Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team)

FireEye ha puesto en la plataforma GitHub las reglas basadas en firmas: Snort, YARA, ClamAV, HXIOC
(Unauthorized Access of FireEye Red Team Tools, FireEye Red Team Tool Countermeasures )

Repasamos brevemente.

Reglas YARA. YARA es un lenguaje de programación de código abierto utilizado para la identificación de malware basada en firmas.
Es multiplataforma y se puede utilizar tanto desde su interfaz de línea de comandos como a través de sus propios scripts de Python.
La biblioteca de reglas es el repositorio Github YaraRules. Este es un conjunto de reglas bajo la licencia GNU-GPLv2 mantenido por un gran grupo de expertos en seguridad, dividido por categorías y actualizado con frecuencia.

Reglas Snort. Las reglas de Snort son agrupadas, por lo general, en conjuntos de   firmas que categorizan los incidentes. Así, encontraremos conjuntos de reglas  asociadas a la detección de troyanos, a la detección de ataques de tipo buffer overflows, etcétera. Snort posee una sintaxis propia que permite especificar hasta  el  más  mínimo detalle las condiciones que han de cumplirse para que un paquete sea asociado a las acciones indicadas por cada una de la reglas.

Reglas HXIOC. Las reglas HXIOC se basan en el formato OpenIOC creado originalmente por Mandiant. Es una codificación extensible en XML ya preparada para ser tratada por sistemas de información como, por ejemplo, sistemas de detección de intrusiones y cortafuegos avanzados (capaces de filtrar la capa de aplicación). Mandiant estandarizó OpenIOC y lo puso a disposición de la comunidad haciéndolo código abierto (“open source”) en 2011.

Reglas ClamAV. ClamAV® es un motor antivirus de código abierto (GPL) que se utiliza en una variedad de situaciones que incluyen escaneo de correo electrónico, escaneo web y seguridad de punto final. Proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y una herramienta avanzada para actualizaciones automáticas de bases de datos.

Ataque selectivo y organizado

Tal como ha comunicado FireEye, el ataque fue “altamente sofisticado, cuya disciplina, seguridad operativa y técnicas nos llevan a creer que fue un ataque patrocinado por un estado”... “el atacante apuntó y accedió a ciertas herramientas de evaluación del Equipo Rojo que usamos para probar la seguridad de nuestros clientes. Estas herramientas imitan el comportamiento de muchos actores de amenazas cibernéticas”. Es posible deducir, que del conocimiento de las herramientas robadas, se crearían nuevos métodos de defensa más específicos y por otro; crear o rediseñar estas mismas herramientas o similares para perpretar ataques diferentes más complejos y ocultando las actuaciones. En resumen, conociendo cómo es la arma de ataque, es más fácil preparar la defensa.

La misma compañía, como hemos visto en los párrafos anteriores, ha preparado contramedidas para que bloquen el uso de las herramientas del Equipo Rojo robadas. Una respuesta que tranquiliza, si es que este concepto existe en ciberseguridad, tanto a los clientes de FireEye como a otras compañías.

Las sospechas de Rusia

El New York Times, publicaba el día 8 de diciembre que los ataques podrían tener un origen ruso. La División Cibernética del FBI está explorando esta línea de investigación. En el artículo del periódico se recogen los pasos que se están dando a otros niveles como la intervención de agencias gubernamentales, no podía faltar la NSA y otras empresas como Microsoft.
(FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State) 


No nos queda más que esperar si las contramedidas publicadas por FireEye tienen efecto y detectan e impiden los ataques. También es posible que apareceran modificaciones que realicen ofensas más contundentes. En definitiva, estaremos atentos, durmiendo con un ojo abierto, aunque no sea de fuego.

 L. F. Real

 

Excursión al Mundo Hacker

Aquel día, el refrán "en abril aguas mil" cumplia su pronóstico. Fue un dia muy lluvioso y el resguardo para el día estavo en el centro de ocio y cines Kinépolis, donde se celebró Mundo Hacker.

Por hacer un resumen como recordatorio, estas fueron las intervenciones.

Bienvenida a los asistentes. Desirée Rodriguez & Víctor Aznar

KEYNOTE: Power Nap y vamonos!. Antonio Ramos

De Verano a primavera en los servicios de Red Team. Mildrey Carbonell Castro, Head of Audit Department S21sec

Lo que Europa está dispuesta a hacer por la ciberseguridad. ¿Y tu?. Juan Zafra,
Director Análisis, Inteligencia y Comunicación. Consultoría estratégica

KEYNOTE: Utilizando metodología de Password Cracking para algoritmos rápidos como NTLM y MD5. Pedro Alexander Garcia.

APTs en la cadena de suministro: cuando la logística se te vuelve en contra. Dani Creus
Senior Security Researcher (GReAT – Kaspersky Lab)

Democracia hackeada: Ciberseguridad, redes sociales y manipulación de procesos electorales en la nueva era digital
Ofelia Tejerina, Abogada. Premio LegalTech 2019 – Confilegal. Secretaria General Asociación Internautas
Borja Adsuara, Abogado Experto en Derecho Digital
Antonio Vargas, Public Policy Manager en Google
Carlos Loureiro, Hacker y Criminólogo
Modera: Daniel de Blas, periodista GlobbTV

Enlace a Mundo Hacker Day
Y no hay que perderse el canal GlobbTV Globbsecurity

L. F. R.

"Supervirus" para el futuro

Repasando los informes sobre ciberseguridad del año pasado me ha llamado la atención el crecimiento y la expansión de los “supervirus”. Un rimbombante nombre que trata de sostener cierta analogía con las superbacterias que, gracias a mutaciones selectivas, consiguen ser resistentes a los antibióticos.

Estos “supersoftware” maliciosos no son nuevos. Cuando he leído más sobre ellos, he encontrado documentos escritos hace unos pocos años que los describen y analizan.

Para explicar en qué consisten vamos a partir de la siguiente pregunta.¿Cómo puedo eludir el análisis y la acción de los programas antivirus?. La respuesta se antoja inmediata. Sabiendo que los programas antivirus analizan sobre los soporte de datos como los discos duros, podría esquivar el antivirus si fuese capaz de colocar el malware en un lugar donde éste no busque ni analice. Para demostrar la certeza de tal afirmación tenemos los nuevos tipos virus informáticos capaces de hacerlo.

Fileless Malware. Este es un tipo de programa malicioso que se instala en la memoria RAM de los ordenadores. Su eliminación es sencilla, se apaga el equipo y los datos de la memoria se borran, entre ellos, este programa. El problema surge cuando los ordenadores y servidores infectados no se pueden apagar de una forma tan simple ni tampoco en cualquier momento. Esto ocurre con los centros de datos o servidores que funcionan 24x7 todos los días del año.

Apagar los sistemas requiere una preparación más allá de apretar un botón o teclear “shutdown”. El procedimiento debe ser tal que minimice el impacto en los servicios. Si queremos que éste se mantenga el proceso de apagar servidores debe contar con la presencia de otros servidores redundantes adicionales que entren en funcionamiento en lugar de los principales. Además, tiene que continuar con los procesos de arranque y restablecimiento hasta alcanzar la actividad normal.

En estas situaciones de emergencia, el foco se pone en la eliminación del malware descuidándose otras tareas y acciones importantes. Cada una tiene sus propios riesgos que hay que tener encuenta para ser gestionados adecuadamente. Si los ciberdelincuentes han sido hábiles en la creación, el malware se podrá propagar de unos servidores a otros, con lo cual el problema crece exponencialmente en complejidad

 

Bootkit. Este malware se instala entre el firmware almacenado en los circuitos integrados de arranque de los ordenadores y servidores. Los antivirus no analizan este tipo de programas. Pero la infección tampoco es sencilla. El acceso a estos circuitos y la instalación del firmware requiere ciertos conocimientos técnicos.

Es una buena herramienta para el espionaje industrial. Empresas dedicadas al mantenimiento de los sistemas microinformáticos de otras compañías pueden manipular este tipo de circuitos para obtener información relevante.

No es la primera vez que se manipula firmware de dispositivos. Sólo hay que hacer una sencilla búsqueda en internet sobre el caso de manipulación de routers Cisco por la NSA; o los productos importados de China con su carga maliciosa oculta.


Para conocer mejor estos “supervirus” dejo las siguientes referencias.




“El Fileless malware se erige como la mayor amenaza para tu ordenador en 2019” David Hernández, 9 -12-2018. Computer Hoy en Facebook

“VENI, VIDI, VICI: Malware sin fichero” Publicado el 02-02-2017, por Asier Martínez (INCIBE)

“Bootkits: Atacando el arranque” Publicado el 07-07-2015, por Antonio López (INCIBE)

“¿Rootkit o Bootkit? Aclarando la duda de forma definitiva” Ilya Lopes 19 Aug 2014, (Welivesecurity)

“LoJax: primer rootkit de UEFI en uso que se descubre, cortesía del grupo Sednit” ESET Research 27 Sep 2018

Whitepaper:
“LOJAX: First UEFI rootkit found in the wild, courtesy of the Sednit group”

L. F. Real

Kevin Mitnick y los hackers del “El arte de la Intrusión”

El Arte de la Intrusión, Kevin Mitnick y William L. Simon

Estoy leyendo el libro de Kevin Mitnick y William Simon “El Arte de la Intrusión”. Llego a él con retraso. La edición tiene unos años; pero se sigue vendiendo. Lo he podido comprobar la semana pasada en la Feria del Libro de Madrid.
Los libros de ciencia y tecnología, sobre todo estos últimos, rápidamente se quedan anticuados. Por lo tanto debemos afrontar su lectura como la historia reciente del “hackerismo”, amena y didáctica.

Como indica el propio autor, recopilar hechos reales de la actividad hacker es difícil. Las empresas ocultan los incidentes. Las técnicas utilizadas no se divulgan. Mencionar los nombres verdaderos de las personas, cuando son conocidos, no es posible porque han participado en hechos ilegales. Los sucesos, únicamente narrados por boca de los propios hackers, pueden ser exagerados, desfigurados y por qué no, inventados. No obstante, Mitnick nos ofrece su compañía como asesor crítico velando por la verosimilitud de las hazañas recopiladas en el libro.

Las historias son muy variadas. Ofrecen una amplia muestra de casos: recopilan diferentes técnicas, indagan en la mentalidad de los hackers, sus artimañas, motivaciones y objetivos.

La detención del hacker demediado: Marcus Hutchins y Wannacry

El Vizconde Demediado. Italo Calvino

El título de esta entrada hace referencia a la novela de Italo Calvino, “El vizconde demediado”. En ella se narra la aventura del vizconde Medardo de Torralba cuyo cuerpo es dividido longitudinalmente en dos mitades como consecuencia de un cañonazo durante la guerra contra los turcos. Las habilidades de los cirujanos del ejército permiten recuperar la mitad derecha que logra sobrevivir. Después de un periodo de convalecencia regresa a su palacio.
El vizconde tiene dos medios cuerpos, en uno se ha quedado toda la maldad del vizconde y en el otro toda su bondad.
La maldad reconcentrada actúa cruelmente en sus propiedades. Ejecuta, incendia y tortura indiscriminadamente. Justifica una y otra vez sus acciones con estas palabras que dirige a su sobrino, el joven narrador de la historia.

La parte buena también fue recompuesta por los hábiles cirujanos. Meses más tarde regresa a su palacio y a sus propiedades, gobernadas por su dañina mitad. La convivencia de ambas partes y las relaciones con sus súbditos, familiares, sirvientes o amigos es insoportable. Finalmente todos concluyen sobre la necesidad de reconstruir al vizconde en único cuerpo y regresar a la persona anterior al accidente. La maldad y la bondad deben ser reunidas en una persona.

Marcus Hutchins, el héroe demediado de Wannacry

El hacker partido en dos es Marcus Hutchins. Su posible mitad malvada fue detenida en Las Vegas por el FBI.

Keren Elazari: “Hack the future” en CyberCamp 2015

Después de las conferencias TED y DEFCON en 2014, Elazari es invitada a dar un conferencia en Madrid, dentro del calendario de activides de Cybercamp 2015. Se celebró en BarclayCard Center (siempre conocido como Palacio de los Deportes, ahora WiZink Center) de la Comunidad de Madrid, el 27 al 29 noviembre 2015.

El mensaje es continuación de su tesis...

Keren Elazari: "Empowering Hackers to Create a Positive Impact"

DEFCON 22

En el Hotel y Casino Rio de Las Vegas, estado de Nevada, durante el 4 al 7 de agosto de 2014 tuvo lugar el congreso hacker más famoso: DEFCON, ese año fué la edición número 22.

Entre las intervenciones destaca la conferencia de Keren Elazari donde expone su tesis sobre el rol que los hackers deben cumplir en la sociedad del futuro.

Está es su conferencia:

Keren Elazari: “Hackers, the internet’s immune system” en TED

Keren Elazari se ha convertido en una destacable comunicadora en temas de ciberseguridad. Es de origen israelí y una experta en análisis estratégico y ciberseguridad. Desarrolla su labor en diversas entidades de su país (biografía em Linkedin). Muy conocida gracias a su intervención en las conferencias TED en marzo de 2014. El título de su presentación es muy sugerente, “Hackers, the internet’s immune system”. En ella argumenta y promueve el cambio de percepción que la sociedad debe tener sobre los hackers, sobre su papel real y su verdadera influencia con una trascendencia más allá de lo tecnológico.

Cómo “Sobrevivir en la ciberguerra” artículo de Keren Elazari

El número 465 de junio de 2015 la revista Investigación y Ciencia trae la traducción del artículo titulado “Sobrevivir en la ciberguerra” con el inquietante subtítulo “Primera regla: deja de pensar que otros te van a proteger”. La edición americana corresponde al mes de abril.