Prof. Dr. Javier Areitio Bertolín, Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas.
En el presente artículo se exploran, identifican y analizan las ciberarmas (por naturaleza son anónimas e instantáneas utilizan bits y operan en el quinto dominio de guerra, es decir, el ciberespacio), cibercapacidades de ataque y defensa, armas digitales y cibermuniciones desde múltiples, dimensiones, direcciones y puntos de vista. Existe una correlación importante entre ciberarmas y amenazas malware avanzadas. Se exploran los principales componentes internos de las ciberarmas digitales, mostrando sus posibles fortalezas y debilidades.
Caracterización de elementos positivos y negativos en ciberseguridad
La ciberseguridad proporciona la capacidad para controlar el acceso a sistemas en red (WiFi, Bluetooth, LiFi, 5G, fibra, puertos USB, WiMax, etc.) y a la información que contienen, actúan (de diversas formas: previenen, detectan, recuperan, reaccionan, predicen, investigan, etc.) en entornos con diversidad de objetos (personas, seres vivos, procesos, tecnologías, máquinas, avatares, entidades de realidad virtual, aumentada o disminuida, sistemas de IA y robotizadas, asistentes personales (Siri/Apple, Alexa/Amazon, Google Assistant, Bixby/Sangsung, Mycroft de código abierto, Cortana de Microsoft, etc., funcionan con ASR/Automatic Speech Recognition y NLU/Natural Language Understanding), tutores myme, drones, etc.) con objetivos (muy diversos como confidencialidad integridad, disponibilidad, autenticación, no repudio, trazabilidad, autorización, frescura de datos, resiliencia, etc.).
La ciberguerra (es una ofensiva en el ciberespacio), por ejemplo, utilizando la APT Stuxnet ciber-arma guiada con precisión utilizada para dañar físicamente más de mil centrifugadoras en las instalaciones de enriquecimiento de Uranio de Natanz (Iran), no deja rastro del que atacó, se utilizó un pendrive/flash USB infectado con un gusano. Las ciberguerras presentan dos actividades principales: (i) ciberespionaje. Son intrusiones en redes y sistemas de computación diseñados para robar información sensible. (ii) ciberataques. Se diseñan para causar daño físico o electrónico a los sistemas de información y demás recursos. La ciberseguridad abarca personas (administrador, desarrollador, etc.), tecnologías (IAM, DLP, FW, AV, IPS, IPsec, cifrado, etc.) y procesos (políticas de acceso, backup-restore, gestión de eventos, evaluación del riesgo, etc.) diseñados para proteger personas, medio ambiente, computadores, redes y datos de accesos no autorizados, malware, amenazas, vulnerabilidades y ataques realizados vía Internet por ciber-atacantes.
La ciberseguridad es el ADN de las redes, datos, aplicaciones, ecosistemas y todo tipo de transformaciones (por ejemplo, la transformación digital), posibilita la protección en el ciberespacio y en los ciberdominios. Los estándares de ciberseguridad ofrecen a las organizaciones herramientas técnicas-organizativas para minimizar el número de incidentes y ataques de ciber-seguridad con éxito. Algunas técnicas utilizadas por las APTs son la ingeniería social, el aprovechamiento de vulnerabilidades: de una o varias 0-days no conocidas, uso de BDs de vulnerabilidades conocidas y desconocidas, etc. y de intrusiones con accesos no autorizados (botnets, troyanos, exploits, inyección de código como SQLI, efectos del software/hardware, etc.).
Clasificación de las ciberarmas
Una primera clasificación de las ciberarmas permite identificar las de tipo software/firmware (como malware APTs (Advanced Persistent Threats), ARTs (Advanced Ransomware Threats), etc.), las de tipo electrónico (tanto analógico, digital o cuántico, como los inhibidores de RF, los generadores masivos de interferencias y jamming, las bombas de neutrones, etc.), las de tipo hardware como los troyanos hardware (que se pueden activar por sensores, por comunicación inalámbrica, por algún tipo de condición o que actúan de forma continuada siempre) y las de tipo psíquico/parapsicológico o basados en bio-hacking del ADN para incrementar las capacidades paranormales de los seres vivos (caso del espionaje psíquico con la mente, la telequinesia, precognición, etc.). Desde otra óptica las ciber-armas pueden ser ofensivas, defensivas o duales. Desde otro punto de vista las ciber-armas pueden ser autónomas basadas en agentes inteligentes móviles o bien son guiadas por los atacantes vía C&C con asistentes basados en inteligencia artificial avanzada.
Existen tres grandes categorías de ciberarmas:
Ciberarmas sólo ofensivas. Se utilizan sólo para el propósito de ataque o para causar daño, es el caso de virus, gusanos, troyanos, bombas de correo electrónico, herramientas de denegación de servicios, scripts y programas exploit que se aprovechan de vulnerabilidades y debilidades en general (como buffer-overflow, deficiente configuración, débil autenticación, etc.) para obtener acceso, desplegar rootkits con utilities de sistema troyano, puertas traseras y sistemas limpiadores de logs para borrar la trazabilidad, craqueadores de contraseñas y copyright, etc.
Ciberarmas sólo defensivas. Se utilizan primariamente para proteger contra dichos ataques, es el caso del cifrado simétrico (AES256) y asimétrico (RSA4096), hash (SHA512), los MAC, las firmas digitales (convencionales y a ciegas), los controles de acceso (basados en roles, ACLs, listas de capacidades, matrices de autorización, etc.), DLP, firewalls (L2, L3, L4, L5), software anti-malware e IDSs/IPSs. Una ciber-arma defensiva tanto autónoma basada en agentes de inteligencia artificial como basada en C&C puede infectarse y volverse ofensiva y si es guiada por C&C puede tomar el control los atacantes y convertirse en ofensiva.
Ciberarmas de uso dual. Se utilizan para ambos propósitos defensivas y ofensivas, sería el caso de la tecnología Tempest, los war dialers, los escaneadores de puertos y vulnerabilidades, los craqueadores de contraseñas, los craqueadores de claves, los keyloggers, los sniffers de red y contraseñas, las herramientas de monitorización y gestión de red (por ejemplo, pcAnywhere de empresas convencionales y BackOrifice de la comunidad del hacking).
Ciberarmas con capacidades ofensivas y defensivas
Existen diferentes tipos de ciberarmas con capacidades ofensivas (que destruyen, degradan, interrumpen, trastornan, entorpecen, manipulan y deniegan):
Ciberexplotación o espionaje. Permite obtener información furtivamente de datos tanto almacenados, como transferidos, en ejecución, en cachés, etc.
Ciber-ataque. Degrada, trastorna, deniega información o sistemas/redes. Ataca a la integridad (las operaciones o datos se alteran, se incluye botnet, autodestrucción de computador, cambios en datos), la autenticidad (se falsifican datos, operaciones y dispositivos como cámaras de video-vigilancia, como contramedidas usar funciones hash como SHA512, funciones MAC, firmas digitales visibles o a ciegas, funciones PUF, etc.) y a la disponibilidad (los datos y operaciones se hacen inaccesibles, como contramedida backup, replicación de recursos). Las acciones hostiles implican penetración (permite acciones hostiles) y carga útil (especifica que acciones hostiles se realizan).
Para propósitos ofensivos se podría degradar las infraestructuras de enriquecimiento de Uranio ilegales, es el caso de la APT Stuxnet. Otro propósito ofensivo sería cifrar de forma no autorizada (carpetas, ficheros, unidades de disco, etc.), esto se utiliza para secuestrar datos y pedir rescate en forma de criptomonedas, caso del ART cryptolocker o ransomware Wannacry. Para propósito defensivo se podría realizar un ciberataque contra los controladores de una botnet ilegal (a veces con permiso de un juez). Para propósito defensivo se puede cifrar para posibilitar la confidencialidad de los datos y firma digital (a ciegas o convencional), hash, MAC, PUF para proporcionar integridad y autenticidad.
Correlación entre arquitecturas de ciberarmas software y malware. Clasificación de exploits
Algunos ciber-ataques se califican como ciber-armas de destrucción masiva (CWMD, Cyber Weapons of Mass Destruction). Todo el software malicioso e incluso una ciber-arma puede observarse como la combinación de diversos componentes bien diferenciados en su propósito pero que trabajan conjuntamente en equipo para crear el malware susodicho:
Métodos de propagación. Son los medios de transportar el código malicioso desde el origen al destino, objetivo o víctima del ciberataque. Esto puede ser tan sencillo como un correo electrónico masivo (usando links, adjuntos, etc.) para dispersar ataques de spear-phishing/mspam, la existencia de malware que infecta al acceder a sitios Web especialmente atrayentes o que hagan de cebo a empresas, un pendrive USB abandonado o de regalo o tan complejo como software ‘dropper’ (permite lanzar malware mediante la instalación) cuidadosamente fabricado (un documento Office con uno o más exploits 0-day). La infraestructura botnet se emplea como un método de propagación a la hora de distribuir ficheros adjuntos infectados asociados a correos electrónicos, por ejemplo, constan de cientos de miles de computadores infectados o zombies bajo el control de un pequeño grupo de entidades y es diferente de la carga útil distribuida: que es el código contenido en el fichero adjunto. El método de propagación distribuye la herramienta maliciosa mientras que la carga útil se encuentra escrita para crear algún efecto maligno en el sistema computador objetivo. Algunos métodos de propagación usuales son las técnicas de ingeniería social (utiliza el engaño basado bien en personas, computadores o móviles. El ‘spear-phishing’ suplanta a un administrador, usuario válido para confundir), BYOD/bring-your-own-device opera con móviles infectados, vulnerabilidades de la infraestructura como computadores, redes y/o de seguridad, efectos distractores como cortina de humo con DoS para evitar sospechas y ganar persistencia.
Exploits. Actúan para permitir el método de propagación y el funcionamiento de la carga útil, posibilitando que los atacantes tomen el control de un fragmento de software o de todo el sistema de computación (estación de trabajo, servidor, smartphone, tablet, smartTV, vehículos autónomos, drones, dispositivo IoT, etc.). El exploit implicado en ciberataques es un fragmento de software común sobre un navegador Web (Chrome, Internet Explorer, Firefox, Safari, etc.) puede ser un fragmento pequeño de código escrito para aprovecharse de una vulnerabilidad, bug o defectos en un navegador Web y abre la puerta para una carga útil pero no realiza nada malicioso por sí mismo. Sin uno o varios exploits nunca podría ejecutarse una carga útil en el computador objetivo o víctima del ciberataque. Estos exploits sirven para manipular el sistema objetivo dando acceso al código malicioso y privilegios de usuario para que funcione. Eternalblue es un exploit creado por la NSA y utilizado en ataques WannaCry (del tipo ransomware). Es necesario introducir en los sistemas víctimas una librería de vulnerabilidades en software y métodos para usarlas (exploits). Los exploits pueden clasificarse en tres grandes categorías: de acceso, de escalada de privilegios y de ejecución del código. Cada categoría funciona para dar soporte a un componente diferente. El exploit de acceso opera con el método de propagación, mientras que los exploits de escalada y de ejecución de código los emplea normalmente la carga útil. La forma más usual de diferenciar los exploits es determinar si son o no mono o multi 0-day que sacan partido de las vulnerabilidades actuales no conocidas. El CVSS (Common Vulnerability Scoring System) permite valorar las vulnerabilidades en una escala de uno a diez.
Cargas útiles. Son los operadores del núcleo de un ataque, este código malicioso se pretende que transporte las acciones deseadas contra el objetivo final, puede considerarse como la cabeza nuclear, arma química o metralla dentro del missile. La carga útil es el código escrito para realizar algún fin o misión maliciosa deseado como borrar o modificar datos, espiar, manipular un ICS (Industrial Control System), perturbar un vehículo conectado o autónomo, actuar sobre un autómata programable o PLC caso del APT Stuxnet, crear efectos destructivos, espiar información como keylogger o creepware, secuestrar (cifrando ficheros, carpetas, unidades de almacenamiento, etc.) y pedir rescate, caso de ransomware/cryptolocker como Wannacry, etc. Existen diversos tipos de cargas útiles: (i) Cargas útiles que recogen información. Buscan ficheros basados en nombre o contenido, analizan la red a la que esta conectada la máquina, utilizan el micrófono y la cámara Web del sistema, recoge datos del teclado y luego los visualiza. Estos datos pueden enviarse al controlador de la operación utilizando los canales disponibles C&C (Command and Control). Si la conectividad de red no esta disponible, los datos pueden adjuntarse a la propia ciber-arma y transportarse con el código de la ciber-arma como un virus. (ii) Cargas útiles de desinformación. Pueden utilizarse para warfare/guerra de información. Pueden tomar diferentes formas, pero probablemente se dirigen contra sistemas específicos como sistemas de monitorización ciber-físicos, centros para monitorizar recursos vitales o documentos de planificación. Las cargas útiles de este tipo tienen un gran potencial si pueden controlar la información que ven los jefes de la oposición. Las operaciones reales pueden ocultarse, crear falsas, direccionar incorrectamente a la logística, controlar incorrectamente los equipos, etc. (iii) Cargas útiles de sabotaje destructivo. Pueden borrar datos de bases de datos (estructuradas y no estructuradas) y ficheros y formatear discos duros. También pueden dirigirse a sistemas ciberfísicos, en este caso la ciber-arma o ciber-capacidad incluiría el conocimiento de potenciales sistemas objetivo y cómo controlarlos. Parte de la construcción de la ciber-arma puede incluir recogida automatizada de hardware de fuentes como eBay para análisis. Las cargas útiles para perturbar e interrumpir utilizan cargas útiles DoS para consumir recursos se pueden utilizar para atraer la atención y consumir recursos tanto de computación como humanos. La carga útil puede cifrarse y entregar posteriormente la clave de descifrado.
Módulo de movilidad. Si el sistema a penetrar esta protegido por un firewall, sin conexión directa a red o algún otro método para prevenir el acceso directo de los servidores C&C (Command and Control), se puede utilizar el código móvil auto-replicado haciendo la ciber-arma un gusano o virus. El código debe saber que copiar y donde en el nuevo sistema, cómo decidir donde ir, auto-identificarse para evitar conflictos consigo mismo. Sin embargo, la movilidad viral de la ciberarma la hace más probable que sea detectada y por tanto es una causa para dejar la movilidad, reduciendo la ciber-arma a un troyano.
Módulo de C&C (Command and Control) – Consolas de control. Ofrece a los atacantes un interfaz para guiar la trayectoria de la ciber-arma. Una ciberarma puede operar y moverse autónomamente o tener un control remoto fuerte, con mucha resiliencia o débil. Una ciber-arma autónoma debe tener su propia lógica programada para controlar su carga útil, actividades y movilidad, incluyendo la decisión de si dispara o no la carga útil. El poder controlar la ciber-arma aumenta las posibilidades del operador para reaccionar a lo que se encuentre, por ejemplo, pueden cargarse nuevos módulos a la ciberarma. Sin embargo, el canal de control añade el riesgo de su detección y puede no ser siempre técnicamente posible. Si la ciber-arma se despliega a un computador que tiene conectividad de red, puede comunicarse con el servidor C&C (Command and Control). Las capacidades de este canal de control dependen de las propiedades del camino. Los firewalls o los sistemas de prevención de intrusiones pueden limitar los protocolos o volumen disponible. Normalmente es deseable el ocultar la existencia (por ejemplo, con esteganografía) y tráfico de este canal. El canal puede enmascararse como un protocolo de juego de video o navegador Web. Las botnets consisten en un gran número de dispositivos de computación sincronizados que utilizan a menudo el IRC (Internet Relay Chat) como canal de control, lo que permite distribuir la información rápidamente a una gran cantidad de nodos. Si no esta disponible la conectividad directa de red, la ciber-arma puede utilizar otros métodos, por ejemplo, parte de la ciber-arma, puede estar en una red aislada y conectarse utilizando medios USB a otra parte en la red conectada a Internet. Así mismo, los componentes de audio de un computador pueden utilizarse para comunicarse con otro computador. Se utiliza un canal C&C (Command and Control) para gobernar la ciber-arma y para recibir datos de ella y también para proporcionar separación entre la ciber-arma y sus usuarios. Un sistema C&C adecuadamente construido incluye un número suficiente de mecanismos para que el propietario de la ciber-arma pueda denegarlo todo. Los ciberataques pueden controlarse desde computadores propios del atacante (lo cual puede conducir a su fácil detección) o más preferible desde computadores negables bien computadores de terceras partes capturados o hosts adquiridos ilegalmente. Un controlador adecuado sería un servidor en la nube o en la niebla (cloud/fog-edge-computing), fácilmente adquirido a bajo costo. Cualquier organización de inteligencia competente debería poder organizar un proceso adquiriendo un conjunto de servidores que no dejen rastro repartidos por diferentes lugares a nivel internacional. El código de la ciberarma debe transportar alguna dirección lo que permite localizar el servidor de control. Esto puede ser la dirección IP o el nombre DNS del servidor o algún método más complicado, como el nombre del canal IRC, la tabla hash Bittorrent o una URL Web (posiblemente en formato comprimido). Esto se encontrará cuando la ciber-arma sea hallada y diseccionada, de modo que necesitamos un servidor negable y elementos adicionales cuando conectemos con el servidor (por ejemplo, haciendo todas las conexiones sobre WLANs públicas). El C&C es un aspecto clave de cualquier actividad militar, con el desarrollo de malware autónomo y anti-malware autónomo el C&C de ciberarmas se esta convirtiendo en una parte importante de la ciber-defensa. Una de las aplicaciones del C&C o C2 son las botnets.
Droppers. Permiten entregar el software viral al sistema objetivo. Los droppers son los medios que permiten que un malware/virus comprometa y pueble un sistema de computación antes de que detone la carga útil real de modo que pueda ser más efectiva, puede considerarse como un missile. El dropper permite empaquetar el resto del software en un mensaje de correo electrónico, página Web, actualización de software, fichero autoejecutable en una unidad USB u otro vector de entrega inicial. Cuando se activa, el dropper instala el código viral en el sistema objetivo, donde se activa y comienza sus propias actividades, se aplica también a troyanos. El código real para el software puede estar incluido en el mismo package que el dropper o puede descargare desde otra parte. Como con la APT DUQU el dropper puede contener sus propios métodos de sigilo, como esperar un período de inactividad del teclado para iniciar sus operaciones. Para dar un ejemplo, uno de los métodos utilizados para inyectar el producto de vigilancia comercial FinFisher a las estaciones objetivo es enviar un mensaje de correo electrónico con el programa incluido. Para evitar que el receptor se de cuenta de que el fichero adjunto es un ejecutable, se pone como nombre gpj.1bajaR.exe con el carácter Unicote invisible ‘RTLO: Right-To-Left-Override’ como primer carácter, lo que causa que el nombre del fichero que aparece es exe.Rajab1.jpg.
Capacidades de sigilo. La baja probabilidad de detección es una característica deseable en las ciber-armas. Esta no es una propiedad de ningún componente individual concreto sino una propiedad que surge del diseño y funcionamiento global de la ciber-arma. La detección puede evitarse utilizando características como tasa de propagación lenta, pequeño tamaño, capacidad para ocultarse en el sistema operativo y bajo nivel de actividad cuando las personas son operadores. Una forma común para malware y agentes de intrusión para ocultarse en el sistema operativo es hacerse pasar por programas de utilidad, drivers de dispositivos, librerías software, etc. y modificar o reemplazar herramientas de análisis con versiones que no muestren los procesos y ficheros del malware o de los agentes de intrusión. El sigilo durante la instalación puede estar asistido por medio de adquirir certificados de instalación validos para la ciber-arma.
Componentes ocultos. Para evitar el análisis de partes del malware puede cifrarse sin incluir la clave de descifrado en el propio malware (protegiéndose contra ingeniería inversa). La clave para activar la porción de cifrado puede transmitirse desde el centro de operaciones o puede crearse (utilizando un hash criptográfico) a partir de parámetros de entorno, la ciberarma sólo se encontrará cuando alcance el sistema objetivo.
Eliminación de trazas. Para evitar la detección y análisis una ciberarma puede eliminar sus trazas de varias formas. Por ejemplo, eliminar cualquier componente como el dropper cuando no se necesite más. Si es posible, la ciberarma debería analizar el servicio de backup del sistema objetivo y tratar de evitar ser incluido en el backup.
Capacidad kill para dejarse matar. Por diferentes razones puede ser deseable que el funcionamiento de una ciberarma sea detenida. Para ciber-armas que pueden conectarse a Internet, esto puede ser un mensaje desde el servidor de control. Para proteger la ciber-arma este mensaje puede firmarse criptográficamente para verificar su autenticidad (utilizando cifrado asimétrico significa que la detección o clave de descifrado no importa). Un método de kill (matar) una ciberarma sería preparar una cadena de identificación e instrucciones de eliminación para el software anti-virus a ser publicado si es necesario.
Contramedidas después de una posible detección. Para evitar el análisis y ganar tiempo las futuras ciber-armas van incluyendo funcionalidades para defenderse contra la detección. No existe una forma trivial para identificar la detección, pero el acceso a los ficheros o procesos de la ciber-arma pueden indicar un intento para detectarlo, como utilizar herramientas del sistema. Si la ciber-arma estima que ha sido detectada o la detección es probable, puede activar contramedidas tales como difundirse rápidamente viralmente, auto-mutación para evitar el análisis o incluso producir una copia oculta de la ciberarma o una ciberarma diferente. El objetivo no es tanto evitar la detección sino ganar tiempo aumentando la carga de trabajo del defensor. La detección y análisis humano se mueve a la velocidad humana, mientras que el software se mueve a una escala de tiempo por debajo del segundo. Dependiendo de la misión, la ciber-arma puede ganar la misión con éxito incluso después de la detección inicial, evitando el análisis y manteniendo a los defensores ocupados.
Consideraciones finales
En ciberseguridad la peor alarma social es el desconocimiento que es fuente de desastres masivos. Los ciberataques basados en ciberarmas se han convertido en un problema sistémico ya que no son sólo casos aislados, sino que la extensión y penetración es a nivel mundial y consecuentemente debe ser una preocupación urgente global y significativa. En los últimos años han proliferado de manera exponencial los ‘business email compromise’ un tipo de ciber-ataques que consisten en enviar un correo electrónico suplantando la identidad de una persona para engañar a un empleado de la empresa con el fin de que realice una transferencia económica a una cuenta controlada por el atacante o fuguen información confidencial de la empresa o cambien el destino de facturas, etc. Según el informe ‘Verizon 2015 Data Breach Investigations Report’, los vectores de amenazas por industria son: punto de venta 28,5% en retail entertainment hospitality, ciberespionaje 18% en fabricación de información profesional, crimeware 18,8% en sector público educación y finanzas, aplicaciones Web 9,4% en información financiera, miscelania 14,7% en mining administración de salud.
Los controles de seguridad críticos que SANS ha definido son: el inventario de dispositivos autorizados y no autorizados, el inventario de software autorizado y no autorizado, las configuraciones seguras para software y hardware, valorar y poner remedios de forma continua a las vulnerabilidades, utilizar de forma controlada los privilegios de administrador, monitorización, mantenimiento y análisis de logs de auditoria, protección de navegadores Web y correo electrónico, defensas contra malware, limitación y control de puertos de red, capacidades de recuperación de datos, configuraciones seguras para dispositivos de red, defensas de las fronteras (vía firewall, NGFW, IPS), protección de datos, acceso controlado basado en algo que se necesita saber (por ejemplo un PIN o contraseña), control de acceso inalámbrico, control y monitorización de cuentas, a nivel de las personas valorar las habilidades en seguridad y la apropiada formación-concienciación para cubrir las deficiencias posibles, seguridad del software de aplicación, gestión y respuesta a incidentes, Pentest o test de penetración y ejercicios de hacking ético con Red Team para medir el nivel de seguridad ante intrusiones y auditorias de código estáticas y dinámicas para detectar vulnerabilidades en una organización. El CCN-CERT registro un total de 26.472 incidentes el pasado año, un 27% más que en el 2016.
