La atribución es sexy pero, ¿para quién es relevante?

martes, 22 de mayo de 2018

Resolver la autoría de un ataque es una pregunta que todo analista quiere contestar. Sin embargo, nos encontramos ante una situación en la que los atacantes cada vez más utilizan técnicas de decepción. Este concepto, conocido por los servicios de inteligencia también como contrainformación, permite mantener la iniciativa y provocar que el contrario perciba como cierta una información que es incorrecta. 

Durante la Segunda Guerra Mundial y la Guerra Fría se conocieron numerosos casos de falsos traidores del bloque soviético que intoxicaron los sistemas de obtención de información británico y norteamericano. Pero, ¿hasta qué punto ha evolucionado este concepto para luchar contra las ciberamenazas?

Figura 1. Fotografía de la Operación Titánico. 



Ataques de falsa bandera
Para asentar las bases conceptuales en un mundo tan nuevo como es el de la ciberinteligencia, se han aprovechado términos procedentes de la inteligencia tradicional. De hecho, los ataques de falsa bandera no dejan de ser un subconjunto de acciones de decepción pero relacionado con el establecimiento de la atribución de un ataque. En este sentido, se plantean dos escenarios:
  • Cuando no se conoce quién es el responsable (no-flag), por lo que no hay atribución. 

  • Y, por otro lado, cuando los analistas llegan a la atribución. Puede ser que se sepa con certeza quién se encuentra detrás o, por el contrario, que se tengan indicios de que la autoría haya podido ser falsificada (false flag).
Antes de llegar a algún tipo de conclusión sobre la atribución de un ataque, los analistas previamente han tenido que evaluar la información que han obtenido. Es más que recomendable ver la conferencia impartida por dos analistas de Kaspersky, Juan Andrés Guerrero-Saade y Brian Bartholomew, en la RSA de 2017 donde examinan cuán manipulable son los inputs de información sobre los que nos basamos a la hora de hacer un ejercicio de atribución. Ellos resaltaban los siguientes más comunes: 
  • Los timestamps de compilación de las muestras de malware podría determinar las horas de trabajo de los desarrolladores por lo que esta información podría sugerir una determinada zona horaria. 
  • Numerosas muestras de malware a menudo incluyen strings que pueden sugerir el uso de un idioma de determinado o son lo suficientemente significativas que pueden haberse visto en el pasado. 
  • La infraestructura y las herramientas utilizadas por un determinado grupo a menudo suelen ser reutilizadas, por lo que los analistas podrían asumir la atribución a determinados grupos. 
  • Los objetivos de los atacantes, en ocasiones, suele ser revelador. Dependerá de la variedad de víctimas que tengan como objetivo.
Sin embargo, si nos damos cuenta, todas ellas son susceptibles de ser manipulables. Un ejemplo lo pudimos analizar en el contexto de las pasadas Olimpiadas donde un grupo identificado como @FancyBears en Twitter publicaba, en una web de reciente creación, información sobre cuatro conocidas deportistas de élite que, presuntamente, habría sido sustraída en una acción perpetrada contra la WADA (World Anti Doping Agency). En un comunicado oficial la propia organización había confirmado el ataque y la exposición de información de hasta 29 atletas, atribuyendo el ataque a orígenes rusos. 

En este sentido, diversos medios de comunicación y la propia Agencia Mundial Antidopaje manifestaron que los presuntos responsables procederían de Rusia. Se identificaron evidencias que respaldan esta hipótesis como la publicación de los contenidos en una zona horaria de al menos UTC+3 y la referencia a una fotografía solamente encontrada en un dominio de origen ruso. Sin embargo, en algunos momentos también la información recopilada era contradictoria con la atribución inicial como, por ejemplo, comentarios en coreano en el código fuente de la página web de este grupo o el whois del dominio donde dicho grupo colgaba los expedientes médicos de los deportistas. Dicho esto, tampoco se pudo descartar por completo que se tratara de un ataque de falsa bandera en el que la información fuera intencionadamente expuesta para hacer creer que el ataque procedía de Rusia.

¿En qué sentido la atribución puede ser un problema?
Por el momento, la labor que realizan los analistas a la hora de evaluar información es esencial. Sin embargo, la formación de estos equipos se torna complicada. Para empezar, a nosotros mismo nos cuesta ponernos de acuerdo sobre qué queremos decir en cada momento. Un ejemplo lo podemos ver en un estudio publicado por la CIA en 2007 sobre los sesgos a la hora de hacer referencia a la probabilidad. Asimismo, otro riesgo, aunque menor, trata sobre los protocolos más comunes de estandarización de información sobre actividad maliciosa donde se presentan ciertos problemas relacionados con los datos colaborativos a intercambiar.

Figura 2. Diferencias entre analistas a la hora de percibir conceptos relacionados con la probabilidad.

Por otro lado, una correcta atribución es necesaria para poder perseguir a aquellos que quebranten las leyes y tratados. Pero, ¿para quién es relevante esta información? Sin duda para aquellos cuya inteligencia será accionable, es decir, cuyo conocimiento servirá para llevar a cabo una acción concreta con efectos y resultados medibles. Por ahora, los gobiernos son los únicos que necesitan un nivel de fiabilidad alto en la atribución con el objetivo de realizar operaciones ofensivas o incluso imponer sanciones a terceros actores.

Sin embargo, llegar a una atribución individual por parte de una empresa no es tan relevante mientras que no evolucione la legislación a favor del hack back. Un ejemplo de esto lo encontramos en la atribución realizada por diferentes firmas del ataque perpetrado a la red de la organización de las olimpiadas de PyeongChang donde fue atribuido a la vez a  a rusos, iraníes, chinos y a grupos como Lazarus, un grupo relacionado con Corea del Norte. Dada la reciente politización del ciberespacio, una atribución errónea podría tener graves consecuencias y los actores podrían empezar a tratar de manipular la opinión de la comunidad para influir en la agenda geopolítica.

Por el contrario, sí nos interesa como empresa conocer las técnicas, tácticas y motivaciones llevadas a cabo por los grupos afincados en determinados países con el fin de administrar los recursos defensivos a nuestra disposición de una forma más eficiente. Al fin y al cabo, las consecuencias derivadas de una atribución errónea por parte de una empresa entrañan unos riesgos reputacionales innecesarios que van más allá del cometido de un departamento de seguridad: la protección de los activos de la empresa.



Yaiza Rubio
Equipo de Innovación y Laboratorio de ElevenPaths

No hay comentarios:

Publicar un comentario