En el dominio ciberespacial podemos encontrar multitud de peligros, el Mando Conjunto del Ciberespacio ha hecho pblico un informe sobre las llamadas Amenazas Persistentes Avanzadas (APT), aquellas que destacan por el uso de un software muy sofisticado y la profesionalizacin que requieren.
Uno de los puntos ms destacables de las APT est relacionado con aquellos que ejecutan y realizan estas acciones. Se caracterizan por ser grupos organizados, que normalmente estn respaldados por organizaciones gubernamentales para conseguir objetivos polticos, econmicos, estratgicos u operacionales a travs del ciberespionaje o ciberataques.
Las formas de trabajar de estos grupos son difciles de detectar debido a la complejidad de sus herramientas. A pesar del anonimato parcial que ofrece el ciberespacio, se busca activamente crear perfiles de estos grupos para catalogarlos y atribuirles acciones. El problema con la investigacin de estos ataques es la llegada a un punto muerto en el momento de buscar a una persona en concreto, por lo que para crear una trazabilidad y un registro se estudia a travs de las Tcticas, Tcnicas y Procedimientos (TTP) utilizados por estos grupos hostiles, que ayudan a saber a qu nos enfrentamos y qu herramientas emplean cuando operan en el ciberespacio.
Las APT poseen una naturaleza diferente a la de otros tipos de atacantes, estos no se basan en un ataque de entrada y salida rpida ya que sus acciones se realizan para persistir ocultos en la red atacada, infectar el mximo de dispositivos posibles y realizar extracciones de datos de forma que sus actividades resulten indetectables. Por todo ello, los procedimientos ejecutados por las APT suelen constar de tres fases diferenciadas y escalables; fase de infiltracin, fase de expansin y fase de extraccin.
En la fase de infiltracin estos grupos buscan la forma de encontrar backdoors (secuencias de cdigo de programacin que se ejecutan dentro de una consola infectada para otorgar permisos de y de control de forma remota a un atacante) o puertas traseras a travs de vulnerabilidades del sistema, tcticas de phishing (un tipo de ciberataque que utiliza mtodos de ingeniera social para intentar engaar a los s a travs de correos o notificaciones fraudulentas que imitan sitios o mensajes reales para robar datos u otorgar permisos) avanzado o incluso a travs del uso de dispositivos externos o extrables, tambin pueden darse infiltraciones de carcter fsico.
La fase de expansin se caracteriza por funcionar como un gusano informtico estos son virus auto replicantes que se expanden por las redes afectadas, pero de forma ms compleja debido a la seguridad que suelen tener las redes contaminadas, aunque el objetivo es el mismo, expandirse en la red y auto replicarse en los sistemas de la misma.
En la fase de extraccin se suele establecer previamente un almacenamiento de archivos de inters para estos grupos en algn dispositivo de la red infectada, se almacena contenido crtico y cuando se considera oportuno para los parmetros de la operacin del infiltrador se enva a dispositivos propios de estos grupos. Para evitar que se detecten estas trasmisiones, suelen acompaarse de ataques de ruido blanco como ataques de denegacin de servicios (DDoS) para permitir que la extraccin pase desapercibida.
Al saber qu son y cmo funcionan, podramos preguntarnos qu objetivos poseen los grupos APT. Como se ha mencionado anteriormente, los objetivos suelen ser istraciones gubernamentales, instituciones o empresas relacionadas con la defensa de un pas e infraestructuras crticas. Las acciones que se llevan a cabo contra estos objetivos son normalmente ciberespionaje o ciberataques, pero tambin encontramos ciberdelincuencia econmica a gran escala, en bsqueda de autofinanciacin.
.jpg)
Quien est detrs de los ataques 6n2p3v
Existen varios grupos dedicados a la realizacin de ataques ATP, entre los ms conocidos destacan:
ATP28 (Fancy Bear): este grupo de carcter hostil est relacionado, presuntamente, con la unidad militar rusa del Centro Principal de Servicios Especiales de la Direccin Principal de Inteligencia. Este grupo ha realizado actividades enfocadas contra el bando ucraniano en el conflicto blico entre la Federacin Rusa y Ucrania con la finalidad de obtener informacin clave y as tratar de otorgar ventaja al bando ruso.
APT MustangPanda: Es un actor ciberntico con base en China, sus operaciones estn registradas en tres principales focos, Europa, Australia y Japn. Dentro de Europa, Espaa ha sido objetivo de varios ataques realizados por este grupo, el CNI considera a este grupo como una de las grandes amenazas al ciberespacio nacional.
ATP34 (OILRIG): es un grupo iran que lleva operando en el mbito ciberespacial durante, al menos, ocho aos. Estn centrados en campaas de actividades relacionadas con los recursos energticos, el petrleo, gas y recursos financieros contra rivales cercanos a Irn, como por ejemplo Oriente Medio e Israel. Su poder de influencia puede llegar a ser muy elevado debido a la importancia estratgica que tienen sus objetivos.
Por ltimo, es importante mencionar el problema que suponen estos grupos no solo a nivel ciberespacial, sino tambin la dificultad que poseemos para otorgarles una identidad y una responsabilidad. La atribucin tambin es complicada ya que los ciberataques pueden ser considerados un ataque directo internacionalmente. Esto sita al Estado que recibe un ataque de esta naturaleza en una situacin compleja, debido a que un ataque de este tipo podra considerarse como una declaracin de guerra (teniendo en cuenta la gravedad y repercusin). El dominio ciberespacial, en constante evolucin, requiere de una legislacin especial para poder tipificar correctamente las acciones que tienen lugar en su mbito. Como en todo mbito relacionado con la defensa, conocer al enemigo es imprescindible. (Fuente: Mando Conjunto del Ciberespacio)
1 comentarios 6r1g2o