iNGENET - La comunidad de la ingeniería mexicana

Ana Lilia Careaga Mercadillo, Agosto de  2013

Abstract

APT stands for “Advanced Persistent Threat”. The term is commonly used to refer to cyber threats, in particular that of Internet -enabled espionage using a variety of intelligence gathering techniques to access sensitive information, but applies equally to other threats such as that of traditional espionage or attack. First warnings against targeted, socially-engineered emails dropping Trojans to infiltrate sensitive information were published by UK and US organizations in 2005, although the name “APT” was not used   . This name became famous until a New York Times exposé detailing a long attack campaign   in which a Chinese military unit now known as “APT 1” thoroughly penetrated the media organization’s networks with a series of spear-phishing emails and a large quantity of customized malware samples. The end-goal of an APT-style attack is to compromise a machine on which there is some sort of valuable information. In consequence, businesses holding a large quantity of personally identifiable information are at high risk of being targeted by advanced persistent threats, including higher education and Financial institutions but mostly Government institutions.

———————————————————————————————————

Introducción

Soy como cualquier otra persona y concibo mi vida como una bendición y con gran actividad. Desde muy pequeña la música y  el movimiento me acompañan; el tiempo me persigue aunque procuro hacer pausas para reflexionar; y es entonces cuando hago una lista de ideas donde se distingue mi ilusión. Pude ser madre, estudiar ingeniería, tocar flauta, bucear y hasta correr distancias de 10 km.  La lista se ha alargado  y  a veces se ha  achicado, pero jamás ha dejado de evolucionar: escribir artículos de ingeniería o hacer compras del mandado,  pendientes o asuntos por hacer, — en fin,  metas sencillas que culminan sueños o sueños que terminan siendo metas. Creo que soy como cualquier otra persona que pasa por la calle, aunque nadie imaginaría que muchas veces me cuesta trabajo levantarme, que durante las mañanas los huesos de mis piernas son como de plomo. Nadie nota que me duele la cabeza, los ojos  e inclusive el corazón. Cansancio, dificultades para incorporarse, órganos inflamados y sangrado. Estos son algunos de los muchos y variados síntomas que pueden estar anunciando el padecimiento de distintas enfermedades autoinmunes, cuando el sistema inmunológico está alterado y  las defensas del organismo se convierten en sus atacantes. Las enfermedades autoinmunes son aquellos trastornos que consisten en fabricar defensas (o inmunidad) contra nosotros mismos (de ahí el prefijo “auto”), de modo que nuestro sistema inmunitario deja de funcionar como un sistema defensivo puro – e inofensivo para el cuerpo humano- y se convierte en su enemigo. Esto significa que, en lugar de fabricar defensas contra los microorganismos patógenos que invaden el organismo, fabrican anticuerpos que se dirigen contra las células de nuestro propio cuerpo y las dañan.

El sistema inmunológico[1] es la defensa natural del cuerpo contra las infecciones que causan enfermedad. Por medio de una complicada serie de acciones, nuestro  cuerpo combate y destruye organismos infecciosos invasores antes de que causen daño. Cuando el sistema inmunológico está funcionando adecuadamente, no lo valoramos ni imaginamos todo lo que hace por nosotros. Nos protege de una variedad de microorganismos patógenos cuando andamos descalzos por las regaderas después de una clase de yoga o de karate o simplemente, cuando tocamos la llave de un lavabo. A través de una serie de pasos conocidos como respuesta inmunitaria, el sistema inmunológico ataca a los organismos y sustancias que invaden el cuerpo y provocan enfermedades mediante un entramado de células, tejidos y órganos que colaboran entre sí para protegernos. Quizá el elemento más importante de este sistema son unas células llamadas glóbulos blancos o leucocitos. Los leucocitos se producen y almacenan en muchas partes diferentes del cuerpo, incluyendo el timo, el bazo y la médula ósea. Por este motivo, estos órganos se denominan linfoides. También hay masas de tejido linfoide distribuidas por todo el cuerpo, prioritariamente en forma de ganglios linfáticos, que albergan leucocitos en su interior.

Los leucocitos circulan por el cuerpo entre los órganos linfoides y los ganglios linfáticos a través de los denominados vasos linfáticos. Los leucocitos también pueden circular a través de los vasos sanguíneos. De este modo, el sistema inmunológico funciona de forma coordinada, controlando el cuerpo en busca de gérmenes o sustancias que podrían provocar problemas.

Hay dos tipos principales de leucocitos:

1. Los fagocitos son células que devoran a los organismos invasores.
2. Los linfocitos son células que permiten que el cuerpo recuerde y reconozca a invasores previos y ayudan al cuerpo a destruirlos.

A su vez, hay varios tipos de fagocitos. El tipo más frecuente es el de los neutrófilos, que luchan prioritariamente contra bacterias. Por eso, cuando el médico sospecha de una infección bacteriana, es posible que te mande un análisis de sangre para ver si tienes una cantidad incrementada de neutrófilos que ha sido desencadenada por la infección. Los otros tipos de fagocitos desempeñan sus propias funciones para garantizar que el cuerpo reaccione adecuadamente a tipos específicos de invasores.

Por otra parte, hay dos tipos de linfocitos: los linfocitos B y los linfocitos T. Los linfocitos se producen en la médula ósea y pueden permanecer allí y madurar hasta convertirse en linfocitos B, o bien desplazarse hasta el timo, donde madurarán para convertirse en linfocitos T. Los linfocitos B y los linfocitos T desempeñan funciones diferentes: los linfocitos B vienen a ser el “sistema de inteligencia militar” del cuerpo, que se encarga de detectar a los invasores y enviarles unos “marcadores defensivos” que se adhieren a ellos (anticuerpos). Los linfocitos T vienen a ser los “soldados”, encargados de destruir a los invasores identificados por el sistema de inteligencia.

Las sustancias extrañas que invaden el organismo se denominan antígenos. Cuando se detecta un antígeno en el organismo, varios tipos distintos de células colaboran para identificarlo para así poder atacar  dicha invasión. Estas células desencadenan la producción de anticuerpos (también conocidos como inmunoglobulinas, abreviado Ig) en los linfocitos B. Los anticuerpos son proteínas especializadas que se adhieren a antígenos específicos. Los anticuerpos y los antígenos encajan perfectamente entre sí, como una llave en una cerradura. Una vez los linfocitos B reconocen antígenos específicos, desarrollan una memoria del antígeno y la próxima vez que ese antígeno entre en el cuerpo de la persona producirán anticuerpos inmediatamente. Por eso, si una persona enferma de determinada enfermedad, como la varicela, lo más habitual es que no vuelva a contraer la misma enfermedad. Bajo este principio es que funcionan  las vacunas para prevenir ciertas enfermedades. La vacuna introduce en el organismo el antígeno a muy baja dosis pero suficiente para permitir que el cuerpo fabrique anticuerpos que lo protegerán de ulteriores ataques del germen o sustancia que provoca una enfermedad en concreto. Aunque los anticuerpos pueden reconocer un antígeno y adherirse a él, no son capaces de destruirlo sin ayuda. Esta es la función de los linfocitos T. Estos forman parte del sistema encargado de destruir antígenos identificados por anticuerpos o células infectadas o que han cambiado por algún motivo. (De hecho, hay linfocitos que se denominan células asesinas o células K , del inglés killer).

Por último es importante mencionar que  los anticuerpos pueden activar un grupo de proteínas, denominado complemento, que también forma parte del sistema inmunológico. El sistema del complemento ayuda a eliminar bacterias, virus y células infectadas. El sistema del complemento es uno de los componentes fundamentales de la conocida  respuesta inmunitaria  defensiva ante un agente hostil como los microrganismos y es empleado por los médicos como marcadores de las diferentes enfermedades autoinmunes  o algún tipo de cáncer. Está formado por unas 30  glicoproteínas y fragmentos que se encuentran en el  suero (sangre) y otros líquidos orgánicos de forma inactiva.

Todas estas células especializadas y partes del sistema inmunológico protegen al organismo de las enfermedades. Esta protección se denomina inmunidad y cuando falla  llega la enfermedad y te toma por sorpresa.

Creo que no hay camino más desesperado que al que conduce  la enfermedad  , pero siempre habrá algo más grande que ella y  más fuerte que tu  cuerpo; más grande  que la pasión y la voluntad del mundo;  más fuerte que el destino , la disciplina del artista  y la conciencia del científico… algo intangible  como la música de Bach  que te llega hasta la médula, porque su  estructura perfecta y minuciosa de los minúsculos elementos que componen la fuga te llevan a mirar al cielo y dar gracias por la vida.

Pero no solo nos enfermamos los seres vivos, sino también las computadoras y, recientemente los teléfonos celulares. A ellas y a ellos también les puede fallar el sistema inmune y pueden enfermar de virus y cualquier tipo de gusanos. Cuando ellos enferman, también producen desesperación por lo que  ellos también reciben vacunas o antivirus para evitar ser infectadas por algún tipo de malware [2]. Pero pareciera que estos antivirus ya no son lo suficientemente efectivos para evitar contagio y epidemias. En los últimos cuatro años, el número de amenazas cibernéticas se ha multiplicado de manera exponencial produciéndose además un cambio en la naturaleza de las mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticación, persistentes, y con objetivos muy concretos, surgiendo una nueva categoría de amenazas en el mundo del cibercrimen: las llamadas Advanced Persistent Threats (Amenazas Persistentes y Avanzadas), en adelante APT o APTs.

Quieres conocer más sobre APT?

Continúa leyendo…

———————————————————–

Comenzando con lo básico: qué es el malware

Quizá nunca hayas escuchado la palabra “malware”, pero estoy segura que sí conoces los virus informáticos y lo más probable es que ya hayas sido víctima de ellos por lo menos alguna vez. Probablemente ya te ha sucedido que tu computadora se vuelve más lenta, te aparecen ventanas con publicidad no solicitada   , se cambia la configuración de tu navegador   , se cambian los nombres de tus archivos o te tus contactos del celular o simplemente tu computadora o celular se apaga de repente y no hay manera de reiniciarlos. Todo esto, y más, es debido a que has sido víctima de algún tipo de “malware”, al cual, erróneamente generalizamos simplemente como “virus”.

Malware es el acrónimo, en inglés, de las palabras “malicious” y “software“, es decir software malicioso. Por lo que el malware es software malicioso creado con la intención de introducirse de forma subrepticia en las computadoras y causar daño a su usuario o conseguir un beneficio económico a sus expensas. El software se considera malware en función de los efectos que, pensados por el creador, provoque en una computadora. Dentro del malware se encuentran los virus clásicos (los que ya se conocen desde hace años) y otras nuevas amenazas, que surgieron y evolucionaron, desde el nacimiento de las amenazas informáticas.  Por lo que el  término malware incluye no solo virus, gusanos, troyanos y la mayor parte de rootkits, scareware, spyware, adware intrusivo, phishing , crimeware y otros softwares maliciosos e indeseables[3] sino también las nuevas amenazas conocidas como APTs.

Existe una gran variedad de malware y nuevos programas maliciosos son creados a diario; por lo que aunque tengas un antivirus actualizado algunos especialistas consideran que el software antivirus detecta solamente alrededor de un tercio de los posibles ataques informáticos.

Los principales tipos de malware son:

• Virus.  El funcionamiento de un virus informático es conceptualmente simple. Un virus se activa al ejecutar un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario y probablemente proveniente de un archivo adjunto de un correo, de una memoria USB infectada o de algún link al que se le dio “clic”. El código del virus queda residente (alojado) en la  memoria RAM de la computadora,  por lo que toma control del sistema operativo y va infectando posteriormente a otros archivos ejecutables que causan daño ya sea a la información o a la computadora en sí.
• Gusano o worm. Análogo al virus pero se transmite de forma automática por la red, aprovechando una vulnerabilidad.
• Spyware. Monitorean tu actividad online y venden esta información a anunciantes. A menudo usan una barra de herramienta en el navegador para ello. Si  diste permiso para que se instalara el programa entonces la empresa de publicidad no estaría en principio haciendo nada ilegal, aunque a menudo es un área gris ya que las condiciones de uso pueden no estar claras para el usuario o estar escondidas.
• Adware. Relacionado con spyware, son programas que instalándose sin permiso hacen publicidad, típicamente con pop-ups (ventanas emergentes).
• Scareware, crimeware o Phishing. Este tipo de malware intenta asustar al usuario y convencerlo para que haga pago por tarjeta de crédito u otros engaños. Por ejemplo pueden aparecer en tu navegador mensajes que de algún banco u organización aparentemente confiable que solicite tus contraseñas para cometerte fraude.
• Troyanos y backdoors:   Los Troyanos son aplicaciones malignas que se disfrazan como algo inofensivo y atractivo para que el usuario lo ejecute. Cuando se instala realiza su actividad maliciosa como borrar archivos o propagar gusanos por la red local. Los backdoors o puertas traseras son aplicaciones que ocultándose del usuario permite a atacantes conectarse a tu computadora. Esto es extremadamente peligroso ya que los hackers pueden tener control total de tu computadora, y ver lo que haces. (los programas que capturan lo que el usuario teclea se llaman “keyloggers“).

Los troyanos ocupan la mayor parte del malware en el mundo, representando el 80 por ciento de los ataques en los primeros tres meses de 2013. Afectan a casi 3 de cada 4 de los 6,5 millones de muestras tomadas por una empresa de seguridad llamada Panda Security Lab[4] . Aunque no se replican por sí mismos, hoy en día la mayoría de las infecciones por troyanos se llevan a cabo a través de páginas web comprometidas, utilizando normalmente algún tipo de vulnerabilidad basada en Java o en Adobe. Esto implica que en cuestión de minutos, sobre todo si se trata de una página web con bastante popularidad, puedan producirse miles de infecciones de un mismo troyano o incluso de troyanos diferentes.

• Rootkits. Es una serie de modificaciones en el sistema operativo de la computadora   , por ejemplo para que el malware que se está ejecutando no aparezca en la lista de procesos.
• Botnet software. Cuando una computadora cae bajo el control de los hackers a través de malware que contiene una puerta trasera se dice que es un esclavo o “zombi”. Estos esclavos pueden formar parte de una red o “botnet”.

Esta clasificación es apenas una guía y a menudo no hay una distinción clara entre un virus, un gusano y un troyano, o puede ocurrir que un programa malicioso tenga características de distintos tipos de malware. En este caso uno no comete un error grave al llamarlos simplemente “virus” o “malware“.

Las motivaciones de los creadores de malware son principalmente económicas:

• Anuncios o redirección a sitios web con publicidad que les reportan ingresos.
• Obtención fraudulenta de datos financieros (datos de tarjeta de crédito etc).
• Controlar la computadora y usarla como esclavo o zombi para atacar otros sistemas (“Denial of Service” o DoS).
• Fraude haciendo clic en anuncios (de Google u otros anunciantes).

Las maneras más frecuentes de introducir virus informáticos o cualquier tipo de malware son:

• Páginas web: cuando se visitan o bajándose un archivo de ellas.
• Incluido en otro programa (típicamente uno gratuito) que ha sido descargado de Internet.
• A través de archivos bajados con una utilidad “peer-to-peer” (P2P) ,como sitios de descarga de música gratuita.
• En un archivo adjunto en un mensaje de correo electrónico.
• En un archivo  enviado por mensajería instantánea o chat.

Los peligros que conllevan las diversas clases de malware son muchos:

• Pérdida económica.
• Espionaje de tu actividad y pérdida de privacidad.
• Degradación del rendimiento de la computadora.
• Uso de tu computadora para atacar a otros.

Como indicios de que algún tipo de  malware está instalado en tu computadora  tenemos:

• Computadora  más lenta.
• Anuncios “pop-ups”.
• Mensajes o errores inesperados.
• La computadora se queda sin memoria o sin espacio en disco.
• La computadora se apaga sola de forma inesperada.
• La computadora no arranca de forma normal o produce mensajes extraños.
• Se producen cambios inexplicables en archivos, como que desaparecen o cambian de nombre   .
• La computadora  tiene comportamientos erráticos o inesperados.
• Hay procesos corriendo (en Windows se ven en el “Gestor de Tareas”) que son sospechosos
• Cambios en el navegador como:

ü  Página de inicio del navegador distinta.

ü  Nuevo enlace “favorito”.

ü  Nueva barra de herramientas.

Para protegerte del malware, es necesario actualizar el software de tu computadora, contar con firewall y software antivirus.  Además,  tener cuidado y seguir unas precauciones básicas para evitar que código maligno entre en tu computadora, como:

• No abrir archivos  incluidos en mensajes de correo de personas desconocidas o incluso si conoces el remitente si te parece sospechoso
• Usa contraseñas fuertes.
• Ten cuidado con archivos obtenidos por P2P
• Mantén tu software de antivirus actualizado.
• Mantén tu navegador y los “plugins”  actualizados
• Familiarízate con la lista de programas que tu computadora procesa normalmente (en Windows se ve en el “Gestor de Tareas”) y cuando tengas sospechas de malware revisa la lista para comprobar si hay procesos nuevos corriendo.

APT : Advanced Persitent Threats

Las Advanced Persistent Threats (APTs) son una categoría de malware que se encuentra totalmente orientado atacar objetivos empresariales o políticos. Todos los APTs tienen algunas características en común, pero sin duda una de las mayores características es la capacidad de ocultamiento por parte de este tipo de amenazas. Al ser amenazas altamente sigilosas,  logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas.

Se les llama avanzadas (en inglés Advanced), ya que este tipo de amenazas cuentan no con uno, sino con varios métodos de ataque, propagación u ocultamiento en el sistema. Así mismo, se conoce que este tipo de amenazas son generadas por grupos de profesionales, quienes tienen el tiempo, el conocimiento, la paciencia y los recursos para generar una pieza única, sin precedentes, generadas desde la nada misma, evitando herramientas de construcción de malware. [5]Por ejemplo, en el caso de Stuxnet[6] se han logrado identificar al menos 20 tipos de codificación distinta, evitando la posibilidad de obtener un perfil de su programador.

Se les llama persistentes (en inglés Persistent) ya que sus creadores toman muy en serio su objetivo. En realidad no buscan un rédito inmediato, sino que esperan pacientemente dentro de su objetivo, monitoreando sigilosamente y con un perfil bajo. Por ejemplo, se supo que la botnet mariposa[7] se encontró residiendo dentro de algunas empresas por más de un año.

Se les llama amenazas (en inglés Threat) debido al nivel de coordinación humana involucrada en el ataque. A diferencia de otras piezas de código totalmente carentes de inteligencia y automáticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes están detrás de este tipo de códigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagadas.

Las APTs logran ingresar dentro de las empresas a través de distintos vectores de infección, incluso en aquellos escenarios protegidos con buenas estrategias de seguridad.

Al menos pueden distinguirse tres grandes grupos o vectores de introducción de una APT en una organización: [8]

Conclusiones

El martes 19 de febrero de 2013, la empresa Mandiant publicó un reporte que ligaba actividades de espionaje industrial con el gobierno chino. El documento gira en torno a un grupo de hackers chinos bautizados con el identificador APT1 [9]. Lo anterior generó gran polémica pues se demostraba con evidencias concretas la gran tolerancia que tiene el gobierno chino en las actividades de robo de información que traen ventaja competitiva a la industria china. El documento de Mandiant habla de que se estima que la Unidad 61398 emplea a cientos o tal vez miles de personas encargadas de diversas tareas de ciber- espionaje. No sólo hay gente que se mete a las computadoras, sino que hay otras más encargadas de analizar la información, distribuirla a los interesados y recibir peticiones concretas de espionaje. Se registró el robo de cientos de terabytes de información de 141 empresas alrededor del mundo [pág 3 documento Mandiant]. Lo anterior es alarmante, ya que habla de sus capacidades: no sólo es entrar a una infraestructura, sino una vez adentro empezar a analizar la información a la  que se tiene acceso para extraerla, por lo que  el equipo de personas encargadas de estos análisis podría incluir lingüistas, desarrolladores de software, creadores de malware, expertos analistas de industrias, economistas; y todos ellos orientados a penetrar empresas e interpretar la información “recibida” [Pág. 5].Con este reporte, queda claro que los antivirus solo nos protegen de las amenazas conocidas por lo que estos resultan inútiles ante el malware especializado y dirigido como el APT . En estos casos, se habrá de tomar estrategias más enfocadas y sofisticadas para crear un sistema inmunológico capaz de proteger no solo una computadora sino organizaciones enteras. En realidad, se trata de lo mismo a lo largo de la humanidad: tener poder. La información es poder porque provee ventajas competitivas. Lo saben los chinos, los americanos, los rusos y todos….

Tags: apt, computación, informática, malware, tecnología