(Por Rubén Borlenghi, el Microsaurio) Nada más tranquilizador que la realidad, cuando se parece a la fantasía literaria, decía un sarcástico amigo. Y el ataque a sistemas críticos, realizado a partir de la cuidadosa selección del ejecutivo o funcionario cuyos equipos se interferirá, ya dejó de ser un lugar común en las novelas de espías. Ahora está a la vuelta de la esquina; tanto, que hasta se hacen demostraciones prácticas en una conferencia… en Buenos Aires. O sea, los APT, las vulnerabilidades de SCADA, y la opinión de un experto local.
Vamos por partes. Refresquemos eso de los APT, amenazas avanzadas y persistentes. Ya no se trata de enviar veinte mil email con una falsa dirección web y el logo de un conocido banco, a ver si unos centenares de clientes de la empresa financiera obsequian al atacante con unos números de cuenta bancaria o tarjeta de crédito.
Tanto el ataque a la Bolsa de Comercio de Estados Unidos ocurrido hace poco más de un año, pero publicado ayer, como la operación Dragón Nocturno (románticamente bautizada así por gente de la empresa McAfee en este péiper) mencionan un trabajo de meses, por parte de los atacantes, que luego de entrar a un servidor, se pasean por la red interna de la institución o empresa, buscando nombres y direcciones de mail de ejecutivos top. Por ejemplo, en el caso de la Cámara de Comercio norteamericana, se dedicaron a levantar el correo de varios meses de cuatro empleados.
El propósito es relativamente fácil de imaginar. Un día, por fin, el atacante podrá enviar un email al Señor Jefe de Ingenieros, con un PDF o un Excel, y el remitente del adjunto será el Señor Vicepresidente de la Compañía. ¿Cómo no va a abrir el adjunto? Y tác, el archivo dañino se abrirá paso hacia (por ejemplo) el controlador de una válvula de petróleo.
Te doy un par de ejemplos relacionados con qué se puede hacer una vez que se identificó a un funcionario importante: a principios de mes el ISC-CERT estadounidense, que depende de Homeland Security (nada menos), envió un informe advirtiendo sobre fallas de seguridad en un webserver provisto por la empresa Codesys. Se trata de la interfaz que mira a la web, de un sistema de control de equipos industriales (del tipo SCADA), y se anunció, además, que se había publicado en Internet (no te diré donde) los datos necesarios para efectuar cuatro tipos de ataque diferentes.
Ayer el mismo ISC-CERT difundió otro aviso, esta vez relacionado con fallas de seguridad en software de control (que se conecta a Internet…) provisto por la empresa 7T. El informe detalla que 7T, basada en Dinamarca, fabrica sistemas de monitoreo y control usados en Estados Unidos, Europa y Sur de Asia, en plantas relacionadas con (prestar atención) “…producción de energía, industria petrolera y provisión de agua; el sistema con fallas de seguridad ha sido distribuido a unas 28.000 plantas industriales de unos 50 países…”
La opinión de un experto argentino
Al recibir información tan grave como este tipo de ataques dirigidos, que pueden paralizar a un país o desencadenar una represalia con armas convencionales (tal como ya avisó que haría EE. UU.), recordé una conferencia, “Amenazas Persistentes y el control de Infraestructuras Críticas”, dictada por el licenciado Cristian Borghello en una sala de la Universidad CAECE, durante la Jornada sobre cibercrimen y ciberterrorismo organizada por CXO Community. En ella el Lic. Borghello comentó la evolución del malware en los pasados veinticinco años, desde unos inicios centrados en la investigación o en el deseo de diferenciarse y mostrar la propia capacidad, hacia la obtención de objetivos puramente económicos, a cargo de mafias internacionales que obtienen grandes ganancias a través del delito informático.
Luego de esta introducción (y ahora verán por qué regresé a ella) expuso que:
- Un siguiente paso de evolución del malware es su utilización para fines políticos, lo que da lugar a la intervención de equipos de desarrollo muy capacitados, respaldados por entidades gubernamentales.
- La caracterización de un APT (Advanced Persistent Threat)
- –> Amenaza: malware con objetivos específicos, desarrollados por delincuentes calificados, motivados, organizados y bien financiados
—> Persistentes: se da prioridad al objetivo, sin beneficios inmediatos, un enfoque de bajo perfil, sigiloso y lento en el tiempo
—> Avanzada: se utiliza un amplio espectro de técnicas y tecnologías. Los componentes individuales no suelen ser “avanzados” pero su combinación es la clave del éxito
La exposición continuó detallando lo que calificó como “operaciones internacionales más conocidas” tales como la Operación Aurora, GhostNet, Night Dragon (la que mencionamos antes, Dragón Nocturno) y Shady RAT, agregando detalles sobre los gusanos Stuxnet y Duqu; indicando que en estos casos “se utilizaron técnicas de ingeniería social para realizar la infección inicial y posterior toma de control de las redes afectadas”.
Y me perdí el postre; Cristian Borghello me contó que hizo “una demostración práctica de cómo estas amenazas pueden ser utilizadas contra objetivos de infraestructuras críticas (SCADA) de cualquier país, con el fin de tomar control de las mismas o causar terror en la ciudadanía, lo que daría lugar a actividades de ciberterrorismo y/o ciberguerra”.
Creo que el tema te habrá quedado claro. Ah, para los lectores que son ingenieros o administradores de sistemas dentro de instalaciones críticas, hay un trabajo de Cristian sobre protección de infraestructuras críticas que puede aclarar dudas.
Lo que no sé es si lograrán dormir mejor. Pero esa es otra historia…
Imagen de Transname.com
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291