Ciberseguridad Club de Libros: “Sandworm” por Andy Greenberg
Resumen
La selección para este club de libros fue Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers, escrito por el periodista Andy Greenberg. Sandworm, como implica el nombre para quienes no son nuevos al mundo de cibercrimen, provee un relato profundo sobre el grupo criminal ruso, Sandworm, y sus operaciones. El libro detalle las investigaciones de Greenberg en las huellas (o digamos, las huellas digitales) del gobierno ruso que fueron dejadas durante algunos de los ciberataques más grandes del mundo. Junto a varias entrevistas con especialistas de ciberseguridad e investigaciones técnicas, Sandworm nos da un conocimiento de cómo estos ataques originaron con el mismo grupo de agentes de inteligencia en Rusia.
Este libro nos explica cómo el servicio de inteligencia militar en Rusia (llamado GRU) ha evolucionado en su modus operandi y por qué ahora es un problema mundial. Mientras Sandworm primariamente se enfoca en este grupo discreto de hackers basado en Moscú, Greenberg también presenta las repercusiones del ciberterrorismo y por qué el mundo está perdiendo en la lucha de afrontar a este tipo de guerra moderna.
Algunos de las Ciberataques Mundiales
La mayoría del libro contextualiza algunos de las violaciones de datos más conocidas del mundo y cómo fueron realizadas. Aquí es una lista de algunos incidentes significativos:
2017 NotPetya
En junio de 2017, el ciberataque NotPetya paralizó los sistemas del planta nuclear Chernobyl y los conglomerados como Maersk y Merck. El ataque NotPetya es considerado lo más devastador en historia, con daños calculados cerca de 10 billones de dólares.
Función Técnica
El ataque fue iniciado por un variante del malware Petya, que infectó el programa de software M.E.Doc. La carga infectó miles de computadoras que tenían M.E.Doc, cifrando los archivos.
Los responsables
El Sandworm ruso
2018 Olympic Destroyer
Durante de la ceremonia de apertura de los Juegos Olímpicos de Pyeongchang 2018, el equipo técnico del evento descrubrió un ataque que apagó las redes de Wi-Fi, puertas de salida eléctronicas, y venta de billetes. Los técnicos trabajaron por la noche para restaurar los sistemas.
Función Técnica
El archivo malicioso winlogon.exe infectó el centro de operaciones tecnológicas de los JJOO, apagando los controladores de dominio y paralizando el sistema. El equipo técnico cortó el Internet y reconstruyó cada servicio manualmente.
Los responsables
El GRU
2015-16 Hackeo del DNC
En mayo de 2016, se descubrieron que el Comité Nacional Demócrata de los EEUU (DNC) había sido atacado por meses. Después, una prueba de los documentos robados del DNC fue publicado.
Función Técnica
Los ataques originaron por el spear phishing en algunos correos electrónicos del DNC. En marzo, los ataques de phishing empezaron a redirigir hasta las cuentas de Gmail, robando emails.
Los responsables
Cozy Bear y Fancy Bear (Grupos rusos de espionaje)
2016 Industroyer/Crash Override
En diciembre de 2016, una parte de la electricidad fue cortada en el capital ucraniano de Kyiv. El ataque apuntó a las redes eléctricas de la ciudad y representó el segundo ciberataque contra la red eléctrica ucraniana en 2 años.
Función Técnica
El malware Industroyer apuntó a las computadores conectadas a aparatos eléctricos. Cuando se instaló en una computadora, el malware buscó los aparatos y mandó la información de configuración a los operadores. Entonces el malware utilizó un programa backdoor para conectar a servidores que fueron controlados por los atacadores.
Los responsables
Supuestamente Rusia
Stuxnet/Operación Juegos Olímpicos
A los principios de 2005, agencias de inteligencia estadounidenses desarrollaron un tipo de malware programado de destruir el material crítico en una instalación de enriquecimiento nuclear en Natanz, Irán. Este evento representa el primer ataque organizado por un gobierno contra la infraestructura física.
Función Técnica
Los ataques usaron un gusano informático que usó la unidad flash USB para entrar en la red. El gusano escaneó la red para software de Siemens Step7, lo cual controla programmable logic controllers (los PLC). Los PLC automatizan las máquinas industriales. El gusano informático Stuxnet empezó a dar mandatos a las máquinas, evitando detección por el uso de un rootkit.
Los responsables
El gobierno estadounidense
2015 Apagones ucranianos
En diciembre de 2015, un ciberataque fue lanzado contra empresas ucranianas de energía y resultó con apagar la red eléctrica. El ataque cortó el acceso a la electricidad para miles de personas. Esto fue el primer ataque conocido que apagó una red eléctrica con éxito.
Función Técnica
Los hackers entraron en los sistemas por el uso de los emails de spear phishing, los cuales contenían el malware BlackEnergy. Cuando las máquinas quedaron infectadas, el programa tomó control de SCADA y apagó de las subestaciones de energía e infraestructura.
Los responsables
Presuntamente Sandworm
¿Por qué este libro nos importa?
Muchas evaluaciones de Sandworm lo describen como “inquietante” o “aterrador.” Richard Stiennon, un contribuidor de Forbes, escribió: “El Sandworm por Andy Greenberg ha logrado lo que yo creí ya no era posible: me asusta.” Mientras el contenido del libro ciertamente puede ser evocador para los lectores, Greenberg logra en explicar estos asuntos alarmantes sin ser demasiado alarmista. Es decir, ninguna parte de este libro es exagerado.
“Lo importante no es apagar las luces. Es indicar al mundo que puede apagar las luces.”
-John Hultquist, Sandworm
Hay una frase en el libro que se distingue más que todas las otras. Durante de una entrevista entre Greenberg y John Hultquist, un funcionario anterior y el director corriente de análisis de FireEye Mandiant, ellos volvieron a hablar de los apagones en Ucrania. Hultquist dijo, “Lo importante no es apagar las luces. Es indicar al mundo que puede apagar las luces.” En otras palabras, hay un aspecto psicológico clave de la guerra cibernética. Greenberg enfatiza que el acto de utilizar una computadora para cortar la electricidad de una ciudad o hackear una elección presidencial perturba el fundamento de gobernanza estable, y puede reducir la voluntad de un país a defenderse.
Entonces ¿por qué otros países han evitado denunciar las acciones del gobierno ruso? La respuesta lógica es para no ser apuntado por Rusia. Pero Greenberg también discute que los países desean a preservar esta forma de guerra para utilizar contra sus proprios adversarios como necesario.
Este libro se trata de mucho más que los grupos rusos de hackers. Los lectores deben entender que Sandworm nos da un ejemplo de los efectos devastadores de la guerra cibernética, pero deben evitar a pensar que el gobierno ruso (o cualquier otro grupo) como la causa directa del problema completo. Como una comunidad, debemos dejar de enfocarnos demasiado en los adversarios geopolíticos porque el ciberespacio nunca será completamente inmunitario.