Las guerras han hecho parte de la humanidad desde su mismo origen, razón por la cual, las estrategias (técnicas tácticas y procedimientos, abreviado en inglés TTP) utilizadas evolucionan a la par con tecnologías de la época; estas evolucionan y pasan desde armas convencionales, hasta las no convencionales como lo son las nucleares y químicas, hasta llegar hoy en día a su evolución máxima a través de “La Ciberguerra”. Está última combinada con los medios convencionales y no convencionales genera La Guerra Hibrida. Así pues, con la expansión de las telecomunicaciones e interconexión global y la dependencia de los equipos de cómputo, dispositivos tecnológicos e internet, generan un incremento de los ciber conflictos presentando en mayor medida amenaza para toda persona que esté presente en el ciber espacio.
En las últimas décadas, hace su aparición una nueva forma de amenaza cibernética conocida como Amenazas Avanzadas Persistentes (abreviado en inglés APT), estas son técnicas creadas por grupos altamente capacitados y sofisticados financiados por entidades privadas o del gobierno. Estás tienen como principal objeto, la realización de actos de ataques dirigidos a organizaciones financieras, infraestructuras críticas, organizaciones militares o agencias gubernamentales. Entre más crítica la organización para un país, más posibilidades tiene de convertirse en objetivo de una APT.
De acuerdo con Mitre Att&ck, en el mundo actualmente existen alrededor de 130 grupos o APTs identificados, encontrando que gran parte de estos pertenecen a los países de China, Estados Unidos, Rusia, Israel, entre otros.
China es uno de los principales países con presencia de estos grupos, ellos cuentan con más de 50 identificados hasta el momento, Rusia en segundo lugar cuenta con 12 y el restante es distribuido en otros países como Estados Unidos, Israel, entre otros. China durante los últimos años ha expandido su presencia a nivel global afectando a cientos de organizaciones, a continuación menciono algunos de los incidentes documentados:
- La operación Aurora en 2010, la cual explotaba una vulnerabilidad día cero en el navegador Microsoft Internet Explorer afectando a más de 34 organizaciones entre ellas Google, Adobe, Symantec, entre otras.
- En 2013, el New York Times fue víctima de un ataque, en donde los ciberdelincuentes estuvieron al menos 4 meses de manera sigilosa en la red de la compañía, fueron filtradas contraseñas y correos, usando técnicas de ingeniería social dirigidas a los reporteros y personal en general de la compañía.
- Equifax en 2014, agencia de informes de crédito en Estados Unidos, fue blanco de uno de los ataques más grandes de la historia donde alrededor de 147 millones de datos personales, como información crediticia, números de seguro social, cumpleaños, entre otros, fueron comprometidos a través de la explotación de una vulnerabilidad en el sitio web oficial de la compañía.
- Durante 2015 la oficina de Administración de Personal (OPM) de Estados Unidos sufrió una exfiltración de alrededor 20 millones de archivos personales, siendo víctimas de ingeniería social.
- Durante los años 2020 y 2021, compañías farmacéuticas como Moderna y laboratorios que conducían la investigación de posibles vacunas, entre los cuales destacan países como Australia, Bélgica, Alemania, Japón, España Y Reino Unido han sido víctimas de ataques por parte del gobierno chino.
Cabe resaltar también que en cuanto a APTs se refiere, se encuentra Rusia, quien, durante la última década, con grupos como Fancy Bear (APT28), Cozy Bear (APT29), ha utilizado vectores de ataques detallados y Malware dirigido hacía múltiples naciones.
Por ejemplo, durante 2014 fue observada una campaña masiva de ciber espionaje llamada “Epic Turla” o “Uroburos”, a través de la cual, los atacantes infectaron cientos de computadores en más de 25 países, incluyendo instituciones gubernamentales, militares y sectores educativos y farmacéuticos.
Los vectores de ataque de esta campaña se dividían en tres estrategias principales: la explotación de vulnerabilidades de día cero, phishing y phishing dirigido y, ataques de tipo “Watering Hole”.
La explotación de las vulnerabilidades de día cero consistía en el envío de documentos PDF a potenciales víctimas; dicho documento explotaba la vulnerabilidad asociada al CVE-2013-3346 que afectaba al software Adobe Reader, permitiendo la ejecución de código remoto que combinada con la CVE-2013-5065, hacía posible la escalación de privilegios en sistemas operativos Windows XP y Windows 2003.
Una vez que los atacantes comprometían de manera satisfactoria a sus víctimas, en muchos casos, optaban por actualizar los “Backdoors” previamente instalados en versiones más sofisticadas como por el ejemplo “El Sistema Carbon”.
Para los ataques de tipo “Watering Hole”, se contaba con una vasta red de sitios de terceros afectados en toda Europa y oriente medio.
La distribución de los sitios web se concentraba en los gobiernos locales o entidades importantes de la región; la mayoría de estos sitios fueron desarrollados usando el “CMS TYPO3” el cual explotaba una vulnerabilidad en el gestor de contenido permitiendo inyecciones de código JavaScript en el navegador de la víctima el cual permitía el despliegue de “Backdoors” en los sistemas que accedían a estos.
Un año después en diciembre de 2015, el Malware llamado “Black Energy” sacudió la nación de Ucrania, su objetivo fue una planta eléctrica generando así un impacto físico real, dejando sin electricidad alrededor de 250.000 habitantes en plena época de invierno, donde la electricidad es el motor vital de la vida durante esta época.
Dos años después, el Ransomware “NotPetya” causó estragos no solo en Ucrania, donde fue inicialmente visto en un software de contabilidad, sino en el mundo entero, el Malware cifraba los archivos de los equipos infectados de forma tal que era imposible revertir este cambio, sumando así un total de pérdidas de más de 10 billones de dólares, presentándose en más de 60 países y cientos de organizaciones a nivel mundial.
Analistas de seguridad han identificado dos APTs rusas activas en los acontecimientos de 2015-2017 y posteriormente durante 2021-2022 donde fueron observados más de una docena de sitios gubernamentales "Hackeados”.
Es evidente que ninguna nación se puede blindar completamente ante las amenazas que surgen día tras día; ciertamente, Colombia tampoco es la excepción, industrias como el carbón, petróleo o entidades financieras, infraestructura crítica (hidroeléctricas y generadoras de energía) han sido los blancos de ataques por parte de ciber atacantes durante los últimos años. Un claro ejemplo es el ataque de Ransomware en mayo de 2022 del cual Caracol Televisión fue víctima del grupo APT-C-36.
Durante los últimos 4 años se han fijado ataques de ingeniería social hacía instituciones gubernamentales como también importantes corporaciones en el sector financiero, petrolero y energético; estos grupos han concentrado sus esfuerzos en el espionaje corporativo a través de diversas técnicas que repercuten en diferentes ámbitos, por lo que debemos ser conscientes que se desarrolla una ciberguerra y todos somos actores activos o pasivos dentro de ella.
Referencias
US charges Chinese Covid-19 research 'cyber-spies' - BBC News
Operation Aurora - an overview | ScienceDirect Topics
Defending Ukraine: Early Lessons from the Cyber War (microsoft.com)
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE50KOK
The Ongoing Reciprocal Relationship Between APTs and Cybercriminals | SecurityWeek.Com
Chinese Cyber Espionage APTs Refocus Strategy | Decipher (duo.com)
