Actualidad
La Seguridad Informática es, en la actualidad, una de las mayores preocupaciones de las Organizaciones. Conozca las novedades más relevantes del mundo de la Seguridad IT.
 
Inicio > Actualidad
 
Manténgase informado de las nuevas herramientas de ataque que se desarrollan día a día, a fin de preparar una estrategia completa de seguridad para prevenir las fugas y fallas en los sistemas.
 
Límites difusos entre criminales y atacantes de APT: ahora intercambian estrategias

Luego un año de trabajo rastreando atacantes rusos, el equipo de investigación de Mandiant descubrió áreas grises que complicaban diferenciar a las mafias criminales de los actores nacionales. Si las herramientas empleadas por estos grupos se vuelven más difíciles de distinguir, entonces, analizar las intenciones de los actores se convierte en un aspecto esencial para medir su impacto potencial.

Algunos de los grupos de atacantes financiados que fueron investigados por Mandiant, presentaron rasgos que se asemejan más a actividad APT patrocinada por el Estado, que a la del típico ciber delincuente oportunista. Por ejemplo, algunas de las tácticas rastreadas durante 2014 que se solapan entre grupos desconocidos de APT y casos del ciber crimen incluyen: ingeniería social, malware y herramientas personalizadas, persistencia, así como en crimeware (por ejemplo, herramientas de acceso remoto) y en el alcance del robo de datos.

Complicado: evaluar intención frente a la incertidumbre.
Dados estos solapamientos, Mandiant recomienda que los analistas mantengan la mente abierta cuando se aproximan a sus investigaciones o evalúan las motivaciones de los actores. No basta con considerar una técnica o una herramienta de forma aislada para discernir intenciones. Por ejemplo, en octubre de 2014 detallaron las actividades de APT28, un grupo que presumiblemente roba información sensible de inteligencia militar y política, para el gobierno ruso. Por años, APT28 ha tenido como objetivo a firmas militares y cuerpos gubernamentales, militares e intergubernamentales.

Otras investigaciones han expuesto a un grupo distinto de atacantes con base en Rusia, que al igual que APT28, también parece espiar para el gobierno ruso. Este segundo grupo es conocido como “Sandworm Team”, “Quedagh” y “BE2 APT”. Este grupo aparenta atacar al mismo tipo de víctimas que APT28 pero con algunas diferencias clave: usan exploits de Día Cero y además, podrían haber elegido como objetivo infraestructura crítica de los Estados Unidos.

Basados en el análisis del malware y la infraestructura empleada en los ataques, el “Sandworm Team” usó la herramienta BlackEnergy para poner en la mira a víctimas de Ukrania durante la tensiones entre Ukrania y Rusia. También se ha dicho que desplegaron la misma herramienta en el sistema SCADA (control supervisado de equipos y adquisición de datos) que es ampliamente usado en industria y en configuración de la infraestructura crítica.

Este grupo apuntó a los sistemas de producción que son usados por una amplia variedad de industrias, no a prototipos en manos de su fabricante ni en redes donde se tiene o se transmite información sensible financiera o de propiedad intelectual. La naturaleza de esos ataques sugiere que los actores estuvieron buscando alguna debilidad en los sistemas objetivos para un ataque disruptivo. Usar herramientas criminales como BlackEnergy en estos esfuerzos, pueden proporcionarle al atacante cierto grado de anonimato y una negación plausible.

¿Importan estas diferencias?
En el ámbito de la seguridad esta pregunta siempre está en debate. De acuerdo con Mandiant, hay quienes argumentan que si la red está comprometida, lo importante es detener y limpiar el ataque; en lugar de conocer quién es el responsable. Al mismo tiempo, las líneas cada vez más borrosas entre las herramientas y tácticas de los criminales cibernéticos y los APT enturbian las preguntas respecto a las intenciones del actor y las potenciales consecuencias. ¿Quién es culpable? ¿La negación del atacante, el engaño, los lazos entre agentes de gobiernos corruptos y el submundo criminal..?

Identificar si el malware alojado en su red es un posible factor de infección perteneciente a un ataque mayor patrocinado por un gobierno; en lugar de un daño colateral de un ataque corriente, indudablemente cambiará su manera de pensar y de reaccionar. De la misma manera, la información personal robada cuando cae en las manos de los criminales cibernéticos tiene un impacto inmediato y puede requerir una respuesta diferente, a las acciones que se tomarían cuando cae en manos de grupos de gobierno que amenazan a otro Estado.

Lo que hay que recordar:
Como las herramientas, las técnicas y los procedimientos criminales, y los atacantes APT se unen, de la misma manera usted debe examinar las intenciones y motivaciones de los actores. Sólo entonces puede evaluar apropiadamente el impacto potencial de un incidente de seguridad, responder de manera conveniente y crear una estrategia de seguridad adecuada para las amenazas que enfrentan.

Consulte el artículo completo Blurred Lines—Criminal And Apt Actors Take A Page From Each Others’ Playbook en su versión original dentro del Reporte de Tendencias 2015: A View From The Front Lines de Mandiant.

 
Inicio..|..Servicios..|..Soluciones..|..Productos..|..Empresa..|..Soporte..|..Privacidad..|..Webmail..|..Contacto
© - C.G.S.I, C.A. - Rif: J-30881982-4