Los actores de amenazas dominan las tácticas de las ‘banderas falsas’ para engañar a las víctimas y a los equipos de seguridad

0 74 3 minutos de lectura

Los atacantes objetivo están utilizando una gama cada vez más amplia de técnicas de engaño para enturbiar las aguas de la atribución, colocando marcas de tiempo de ‘Bandera falsa’, cadenas de idioma, malware, entre otras cosas, y operando bajo la cobertura de grupos inexistentes, según un documento presentado. en Virus Bulletin por los investigadores de seguridad de Kaspersky Lab Brian Bartholomew y Juan-Andres Guerrero-Sade.
La identidad del grupo detrás de un ciberataque dirigido es la única pregunta que todos quieren que se responda, a pesar de que es difícil, si no imposible, establecer con precisión quiénes son realmente los perpetradores. Para demostrar la creciente complejidad e incertidumbre de la atribución en el panorama actual de inteligencia de amenazas, dos expertos de Kaspersky Lab han publicado un documento que revela cómo los actores de amenazas más avanzados utilizan las llamadas operaciones de bandera falsa para engañar a las víctimas y a los investigadores de seguridad.
Los indicadores más utilizados por los investigadores para sugerir de dónde pueden originarse los ataques, junto con ilustraciones de cómo varios actores de amenazas conocidos los han manipulado, incluyen:

Los archivos de malware llevan una marca de tiempo que indica cuándo se compilaron. Si se recopilan suficientes muestras relacionadas, puede ser posible determinar las horas de trabajo de los desarrolladores, y esto puede sugerir una zona horaria general para sus operaciones. Sin embargo, estas marcas de tiempo son increíblemente fáciles de modificar.

Los archivos de malware a menudo incluyen cadenas y rutas de depuración que pueden dar una impresión de los autores detrás del código. La pista más obvia es el idioma o idiomas utilizados y el nivel de dominio del idioma. Las rutas de depuración también pueden revelar un nombre de usuario, así como convenciones de nomenclatura internas para proyectos o campañas. Además, los documentos de phishing pueden estar plagados de metadatos que pueden guardar involuntariamente información de estado que apunta a la computadora real de un autor.
Sin embargo, los actores de amenazas pueden manipular fácilmente los marcadores de idioma para confundir a los investigadores. Pistas de lenguaje engañoso dejadas en el malware por el actor de amenazas Atlas de nubes incluía cadenas en árabe en la versión de BlackBerry, caracteres hindi en la versión de Android y las palabras ‘JohnClerk’ en la ruta del proyecto para la versión de iOS. A pesar de esto, muchos sospechan que el grupo tiene una conexión con Europa del Este. El malware utilizado por el actor de amenazas Neutrón salvaje incluía cadenas de idiomas tanto en rumano como en ruso.

Conexiones de infraestructura y backend

Encontrar los servidores de Command and Control (C&C) reales utilizados por los malhechores es similar a encontrar la dirección de su casa. La infraestructura de C&C puede ser costosa y difícil de mantener, por lo que incluso los atacantes con recursos suficientes tienden a reutilizar la infraestructura de C&C o phishing. Las conexiones backend pueden dar una idea de los atacantes si no logran anonimizar adecuadamente las conexiones a Internet cuando recuperan datos de un servidor de correo electrónico o de exfiltración, preparan un servidor de prueba o phishing o se registran en un servidor pirateado.
A veces, sin embargo, ese «fracaso» es intencional. Por ejemplo, Cloud Atlas intentó confundir a los investigadores utilizando direcciones IP originadas en Corea del Sur.

Conjuntos de herramientas: malware, código, contraseñas, exploits

Aunque algunos actores de amenazas ahora confían en herramientas disponibles públicamente, muchos todavía prefieren construir sus propias puertas traseras personalizadas, herramientas de movimiento lateral y exploits, que protegen ampliamente. Por lo tanto, la aparición de una familia de malware específica puede ayudar a los investigadores a localizar a un actor de amenazas.
El actor de amenazas, Turla, decidió aprovechar esta suposición cuando se encontró acorralado dentro de un sistema infectado. En lugar de retirar su malware, instaló una rara pieza de malware chino que se comunicaba con la infraestructura ubicada en Beijing, sin ninguna relación con Turla. Mientras el equipo de respuesta a incidentes de la víctima perseguía el malware de engaño, Turla desinstaló silenciosamente su propio malware y borró todas las pistas de los sistemas de la víctima.

Los objetivos de los atacantes son otro «indicio» potencialmente revelador, pero establecer una conexión precisa requiere una interpretación y un análisis expertos. En el caso de Wild Neutron, por ejemplo, la lista de víctimas era tan variada que solo confundía la atribución.
Además, algunos actores de amenazas abusan del deseo público de un vínculo claro entre el atacante y sus objetivos, operando bajo la cobertura de un grupo hacktivista (a menudo inexistente). Esto es lo que Grupo Lázaro intentó hacer presentándose como los ‘Guardianes de la Paz’ cuando atacó a Sony Pictures Entertainment en 2014. Muchos creen que el actor de amenazas conocido como Sofacy implementó una táctica similar, haciéndose pasar por varios grupos hacktivitistas.
Por último, pero no menos importante, a veces los atacantes intentan culpar a otros actores de amenazas. Este es el enfoque adoptado por TigerMilk hasta ahora no atribuido^[i] actor, que firmó sus puertas traseras con el mismo certificado robado utilizado anteriormente por Stuxnet.
“La atribución de ataques dirigidos es complicada, poco confiable y subjetiva, y los actores de amenazas intentan cada vez más manipular los indicadores en los que confían los investigadores, enturbiando aún más las aguas. Creemos que la atribución precisa a menudo es casi imposible. Además, la inteligencia sobre amenazas tiene un valor profundo y medible que va más allá de la pregunta de «quién lo hizo». Existe una necesidad global de comprender a los principales depredadores del ecosistema de malware y de proporcionar inteligencia sólida y procesable a las organizaciones que lo deseen; ese debería ser nuestro enfoque ”. dijo Brian Bartholomew, investigador senior de seguridad en Kaspersky Lab.
[i] El informe sobre TigerMilk está disponible para los suscriptores de los servicios de inteligencia de amenazas APT de Kaspersky Lab.

Los actores de amenazas dominan las tácticas de las ‘banderas falsas’ para engañar a las víctimas y a los equipos de seguridad

Deja una respuesta Cancelar la respuesta

Casi 12.000 registros comprometidos en dos nuevos ataques de ransomware

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Importante hackeo global financiado por el Estado por China

Preguntas y respuestas con David Venable, Masergy

Un estudio revela los trucos psicológicos utilizados en los correos electrónicos políticos

¿Podría Fireball Malware convertirse en el próximo Mirai?

Deja una respuesta Cancelar la respuesta

Casi 12.000 registros comprometidos en dos nuevos ataques de ransomware