Cyberwarfare en tiempos de paz: Corea del Norte lanza un nuevo ciberataques masivo justo después de la histórica reunión de Trump y Jim Kong-un

La reunión entre Donald Trump y Kim Jong-Un juntó líderes de dos países que han sido enemigos desde hace 70 años. La reunión tomó lugar en Sentosa, una isla turística en Singapur, que además de hoteles, casinos y canchas de golf, tiene un parque de diversiones temático: Universal Studios. Dennis Rodman también estuvo ahí, gracias […]

La reunión entre Donald Trump y Kim Jong-Un juntó líderes de dos países que han sido enemigos desde hace 70 años. La reunión tomó lugar en Sentosa, una isla turística en Singapur, que además de hoteles, casinos y canchas de golf, tiene un parque de diversiones temático: Universal Studios. Dennis Rodman también estuvo ahí, gracias al auspicio de Potcoin (una criptomoneda que aspira a ser el estándar de pago en la industria del cannabis), llorando (literalmente, llorando con lágrimas) porque la administración Obama no le dio suficiente crédito por ser amigo de Kim Jong-Un. El resultado de la reunión fue la firma de una declaración conjunta en la cual ambos países se comprometen a establecer relaciones, y en la cual Norcorea se compromete a trabajar hacia la completa desnuclearización de la Península Coreana.

Hay un sinnúmero de detalles inusuales, pero lo que nos convoca a la lectura es qué es lo que ha ocurrido en el ciberespacio. Y es que detrás del velo de estas charlas de paz, existe un escenario salvaje de cyberwafare, en el cual los principales actores están moviendo al mundo, sin nuestro conocimiento ni consentimiento. Lo cual, en términos de seguridad informática se traduce a “con nuestra complicidad”.

La Noticia

El Departamento de Seguridad Nacional de los Estados Unidos (Department of Homeland Security; DHS), mediante su Computer Emergency Response Team (US-CERT) y el FBI han advertido que se ha hallado un nuevo malware denominado “Typeframe”, que incluye 11 trozos de código relacionados a la amenaza, incluyendo archivos ejecutables de Windows de 32-bit y 64-bit, y un documento malicioso de Word que incluyen macros VBA. Este reporte aparece dos días después de la histórica reunión.

“Estos archivos tienen la capacidad de descargar y ejecutar malware, instalar proxys y troyanos de acceso remoto (RATs), conectarse a servidores de comando y control para recibir instrucciones adicionales y modificar los firewalls de las víctimas para permitir conexiones entrantes”, dijeron las agencias. La mayoría de las herramientas en Typeframe fueron compiladas en 2016 y 2017. Las IPs de los centros de comando y control incluyen las direcciones 111.207.78.204, 181.119.19.56, 184.107.209.2, 59.90.93.97, 80.91.118.45, 81.0.213.173 y 98.101.211.162, con servidores distribuidos en USA, Marruecos, China, Dubai, Albania, México e India.

Entre las capacidades de Typeframe se encuentran (pero no se limita a): Liberar espacio de disco, buscar archivos, ejecutar procesos en modos elevados, terminar procesos, eliminar archivos, ejecutar comandos usando shells, descargar y subir archivos, leer y escribir archivos, eliminar el servicio y desinstalar componentes de malware usando un script de bash.

El ataque se atribuye a “HIDDEN COBRA”, el nombre en código para la “ciberactividad maliciosa proveniente del gobierno norcoreano”.

Hidden Cobra

La ciberguerra es una parte crítica en la estrategia nacional de Corea del Norte, y la ha venido desarrollando desde la década de los ‘90s. Por una parte, se involucra en estos esfuerzos como una manera de demostrar su poderío incurriendo en un riesgo menor de retaliación, y por otra parte, y en tiempos más recientes, se estima que los ataques se han propuesto, además de ejercer poder político, para recaudar dinero para el desbancado régimen.

Lo cierto es que el país cuenta con un poderío militar enorme, la mayor dotación de paramilitares del mundo (cercana a los 6 millones de personas), armas nucleares y misiles de largo alcance, y, encima de todo eso, unidades de ciber guerra. Se estima que los ciber soldados de Norcorea alcanzan los 6.000 efectivos altamente capacitados, persistentes y cuyas capacidades van en notorio aumento. Dado que la infraestructura del país es bastante precaria, es bastante menos vulnerable a ataques. Aun así, han sido responsables de una cantidad de ataques de alto y de grueso calibre.

Los ataques notorios comenzaron con el “incidente del 4 de julio”, en 2009, día durante el cual una serie de ataques DDoS a instituciones financieras, gubernamentales y websites de diversa índole demostraban el poderío de la ofensiva norcoreana. Luego, en 2014, y con motivo del estreno de una película en la cual se burlaban de Kim Jong-Un, Sony Picture fue duramente atacado: Doxearon información de empleados, emails confidenciales y borraron datos de la compañía. En 2016 hubo fuertes ataques a la red de transferencias bancarias internacionales SWIFT. Se robaron 81 millones de dólares desde un banco en Bangladesh e incidentes similares se reportaron en bancos de Ecuador y Vietnam. Los ataques a bancos habían comenzado en 2015 y consistían en dirigir ataques de waterholing a empleados de bancos polacos, de los bancos centrales de Brasil, Chile, Estonia, México, Venezuela, y bancos como el Bank of America. En 2017 se esparció el famoso ransomware WannaCry, que encriptaba datos y exigía un “rescate”. WannaCry llegó a 200.000 individuos en 150 países. Se sabe que norcorea mantiene botnets complejas, y cada cierto tiempo se conocen reportes de complejos malwares que se atribuyen a la nación. Volgmer, Fallchill, Bankshot, Badcan, Hardrain, Sharpknot, Joanap y Brambul son algunos de los ejemplos de códigos maliciosos desarrollados por Corea del Norte y que han causado grandes disrupciones en las operaciones de compañías, gobiernos e individuos. Ahora Typeframe viene a reforzar esta tendencia y nos indica que tal vez los esfuerzos de Donald Trump y Dennis Rodman (?) en pos de la desnuclearización de la península vayan un poco desfasados con los tiempos modernos.

Daño Colateral

Apenas se supo de la histórica reunión, los ciudadanos estadounidenses comenzaron a preguntarse “Y dónde queda Sing-a-poor?” (fue la palabra más buscada en Google el 11 de junio, alcanzando los dos millones de búsquedas). Singapur es uno de los países más desarrollados del mundo, el tercero con PIB per cápita más alto del mundo, líder mundial en todo lo que se les ocurra. Y llegó aquí porque es uno de los pocos países que tiene relaciones diplomáticas con ambos países: Estados Unidos y Corea del Norte. La reunión Trump-Kim le costó al país asiático entre 15 y 20 millones de dólares, pero expertos explican que este costo representa un 10% de lo que costaría generar la publicidad que fue generada con esta movida.  Lo que no esperaban, probablemente, fue el incremento salvaje en los ciberataques.

Aproximadamente 40.000 ataques fueron lanzados entre las 11 pm del 11 de junio y las 8 pm del 12 de junio (día de la reunión) y fueron dirigidos a teléfonos VoIP y a dispositivos IoT. Rusia fue responsable del 88% de los ataques, y lo que es más sorprendente, el 97% de los ciberataques a nivel mundial provenientes desde Rusia fueron dirigidos hacia Singapur ese día.

Los ataques se originaron desde Brasil en un principio, dirigidos hacia el puerto SIP 5060, que es usado por teléfonos IP para transmitir datos sin encriptar. Luego comenzaron los scans desde la dirección rusa 188.246.234.60, dirigidos hacia varios puertos. Luego se atacó el puerto Telnet, consistentemente con ataques dirigidos a la IoT. Un 92% de los ataques identificados correspondieron a escaneos de reconocimiento de dispositivos vulnerables. El 8% restante correspondió a ataques de exploits. En la siguiente figura podemos ver la línea de tiempo de los ataques:

*Es importante mencionar que Singapur no es un blanco común de ataques cibernéticos. Esta excepción se atribuye a la reunión de los dos líderes. Más detalles acerca del ataque se pueden encontrar en el reporte de F5Labs.

Singapur es, entre otras cosas, una potencia financiera. Si bien es difícil atribuir directamente los ataques al estado ruso, se sabe que cualquier información útil llegaría al Kremlin a través de las empresas que ofrecen sus servicios al gobierno. Si bien la pequeña nación anticipó positivamente los efectos de ser el anfitrión de esta histórica reunión… Tuvieron en consideración los coletazos que esta buena publicidad atraería? Junto con atraer turistas, promocionando su prosperidad, es posible que también hayan atraído una amenaza inesperada. Es posible que Singapur haya quedado en la mira de actores maliciosos en términos de estados y de particulares ¿Estarán preparados para hacer frente a esta ciber amenaza?

Los demás actores en el escenario mundial de la ciberguerra

Los demás actores no se quedan atrás en esfuerzos. En la ciber guerra no existen las reglas ni las regulaciones. Más de 140 países cuentan con programas de desarrollo de ciberarmas. Los países con las mayores capacidades en esta área son:

• Estados Unidos

En 2010, EEUU unificó su enfoque en la ciberguerra, al comenzar las operaciones del USCYBERCOM, unidad militar que combinó las capacidades de la Armada, la Fuerza Aérea, Naval y de los Marines. Esta unidad de ciberguerra es una de las menos oscuras y de las que más información se tiene. Se sabe que ha sido un proyecto billonario, se tiene información de los tipos de equipos que en ella operan, y ha estado a cargo directamente de Generales estadounidenses. Hasta el momento se ha dedicado principalmente a tareas defensivas y de análisis e investigación, intentando repeler ataques contra los eeuu, pero hace tan sólo unos días, el Pentágono ordenó que el USCYBERCOM tuviese tareas ofensivas también, adelantándose a ataques mediante la intrusión y disrupción de redes extrajeras. Desde ya, el sector privado ha advertido de la inestabilidad que estas acciones podrían desatar, dada la dificultad de atribución en los ámbitos cibermilitares y la posibilidad de que los demás actores decidan tomar acciones retaliatorias. De todas maneras, el mundo no olvida que las actividades de los Estados Unidos en términos de espionaje son absolutas, como quedó en evidencia gracias a Wikileaks y a las posteriores revelaciones de Edward Snowden.

• China

De las ciber unidades de guerra chinas se tiene bastante menos información, pero algunos estiman que están conformadas por, entre 50.000 y 100.000 individuos. Se cree que las unidades están repartidas entre unidades militares especializadas en ataques y defensas de redes, en especialistas del Ejército Popular de Liberación, y en fuerzas no gubernamentales, grupos civiles y semiciviles con actividades más espontáneas, pero que podrían o no estar auspiciados por el mismo gobierno. En términos de cyberwarfare, China ha estado desarrollando una estrategia militar desde hace décadas, produciendo investigación y desarrollo desde el conocimiento militar, y luego, por supuesto, ejecutando en torno a ese conocimiento. Desde 1999 hasta 2004 grandes grupos de civiles con motivaciones políticas se unieron para causar ataques DoS masivos (masivos nivel China), destrucción de datos y defacements en redes extranjeras. Luego los esfuerzos chinos se abocaron masivamente al ciber espionaje comercial, y es una tendencia que claramente se observó desde 2006 hasta 2014. Esta tendencia contribuyó en gran forma a fortalecer la economía china y fue muy dañina para la economía norteamericana. Durante esa época era común el sentimiento de desaliento de emprendedores norteamericanos: “imagínate gastar todo este dinero y esfuerzo en investigación y desarrollo para luego saber que los chinos lanzaron TU producto días o semanas antes de nuestro lanzamiento oficial”. A partir de 2017 esta tendencia ha cambiado y se cree que China ha pasado desde el espionaje volumétrico al espionaje especializado y desde un objetivo comercial a objetivos gubernamentales.

• Rusia

Rusia es reconocido a nivel mundial como una potencia en términos de cyberwarfare y es visto por algunos como “una amenaza más grande que el terrorismo”. Y es que los métodos rusos de cyberwarfare heredan los métodos soviéticos y se adaptan a las tecnologías y paradigmas del siglo XXI. Por una parte, sus capacidades técnicas son indiscutidas, repartiéndose entre unidades militares, individuos y grupos de hackers con diversas motivaciones y numerosas empresas que mantienen contratos con el gobierno. Rusia, de esta forma, ha sido responsable de ataques tremendos a numerosos países, en numerosas ocasiones, y con diversas motivaciones. Los más reconocidos ataques han sido a Estonia, país líder en materias de ciberseguridad, Francia, Georgia, Alemania, Ucrania, Kirguistán, el Reino Unido, y, por supuesto, los Estados Unidos. Por otro lado, los esfuerzos de ciber guerra rusos se orientan ampliamente en torno a métodos propagandísticos valiéndose de todos los recursos disponibles hoy en día: redes sociales, noticias falsas, seguidores falsos, publicaciones, likes, etc.. Lo increíble de lo efectivo, peligroso y preponderante de este método es que así es como se han alterado elecciones de países tan influyentes como los mismos Estados Unidos. Rusia, en estas materias, desarrolla estrategias a largo plazo, con ataques difíciles de detectar en el momento en el que ocurren, y sus efectos son a tan grande escala que, incluso si se detectan los ataques, es difícil controlarlos. Así es como han influido en numerosas elecciones alrededor del mundo, alterando la opinión popular de los electores en favor de los candidatos que se ajusten a los intereses rusos.

• Israel

Se estima que Israel representa un 10% de las ventas globales en seguridad de la información. Desde Israel se sienten bajo constante ataque, y entienden que tomar una posición de liderazgo en el desarrollo de tecnologías para la infosec es clave para mantener en pie sus fronteras físicas y digitales. Esto les permite ostentar una superioridad tecnológica frente a sus atacantes. Israel mantiene como política un buen sistema educacional. Reclutan a todos los jóvenes (el servicio militar en Israel es obligatorio para todos, todas y todes. No se salva nadien (excepto los árabes)). Escogen a los mejores en términos informáticos y los ponen en un ambiente competitivo, lleno de desafíos e innovación. Se le otorga una prioridad enorme al desarrollo intelectual de sus cibersoldados, éstos lo sean o no. Es decir… ciudadanos educados producirán de todas formas el desarrollo en términos de seguridad de la información  y ésta beneficiará a las fronteras cibernéticas del país. En términos más formales, re-conocida es la unidad 8200, un cuerpo de inteligencia israelita encargada de colectar datos a través de señales y a decriptar código, conformada por jóvenes de 18 a 21 años. Es reconocida por estar a la par en capacidades técnicas con la NSA estadounidense, por ser la agencia de inteligencia técnica más avanzada del mundo, han sido claves en diversas operaciones a nivel mundial, capaces de monitorear llamadas, emails y otras comunicaciones en el Medio Oriente, Europa, Asia y África, rastrear barcos, interferir cables submarinos, se les atribuye a ellos la creación de Stuxnet, de Duqu, y de Duqu 2.0, denominado “el virus informático más complejo jamás creado”, que incluso logró penetrar los sistemas de Kaspersky Lab’s. Quienes pasan por la unidad 8200 continuan carreras bastante exitosas en las TI: de aquí han salido los fundadores de ICQ, CheckPoint, Imperva, CyberArk, Viber, Palo Alto Netowrks, EZchip, PrimeSense, Radware, OverOps, entre otros.

• Irán

La relevancia de Irán surge desde el conflicto que ha mantenido con los Estados Unidos e incluso se ha dicho que fue entre estos dos países que se libró la primera ciberguerra. Irán ha sido víctima y atacante en ámbitos de cyberwarfare. Famoso fue el ejemplo de Stuxnet, considerado un esfuerzo conjunto de EEUU e Israel, que infectó unos 60.000 computadores y destruyó, tal vez, unas 1.000 centrífugas nucleares. A Irán, en contraparte, se le atribuyen grandes ataques a EEUU, Turquía, Israel y el Reino Unido y la creación de malware. El gobierno iraní niega las acusaciones, pero se sabe que alienta a sus hackers a lanzar ataques contra estados enemigos, apelando a motivaciones vengativas y nacionalistas. Pareciera ser, incluso, que la técnicas iraníes concuerdan con una especie de ciber-guerrilla, con grupos que se arman, se desarman y reintegran, al descubrirse sus operaciones, creando malware que queda dando vuelta en el globo por años.