La recolección cibernética se refiere al uso de técnicas de guerra cibernética para realizar espionaje . Las actividades de recolección cibernética generalmente se basan en la inserción de malware en una red o computadora específica para escanear, recopilar y exfiltrar información confidencial.
La recolección cibernética comenzó ya en 1996, cuando el despliegue generalizado de la conectividad a Internet en los sistemas gubernamentales y corporativos ganó impulso. Desde entonces, ha habido numerosos casos de tales actividades. [1] [2] [3]
Además de los ejemplos patrocinados por el estado, la recolección cibernética también ha sido utilizada por el crimen organizado para el robo de identidad y banca electrónica y por espías corporativos. Operation High Roller utilizó agentes de recolección cibernética para recopilar información de PC y teléfonos inteligentes que se utilizó para allanar cuentas bancarias electrónicamente. [4] El sistema de recolección de Rocra , también conocido como Octubre Rojo, es una operación de "espionaje a sueldo" por parte de criminales organizados que venden la información recolectada al mejor postor. [5]
Plataformas y funcionalidad
Los gobiernos y los intereses privados han desarrollado herramientas de recolección cibernética para casi todos los sistemas operativos de computadoras y teléfonos inteligentes. Se sabe que existen herramientas para computadoras Microsoft, Apple y Linux y teléfonos iPhone, Android, Blackberry y Windows. [6] Los principales fabricantes de tecnología de recopilación cibernética comercial lista para usar (COTS) incluyen Gamma Group del Reino Unido [7] y Hacking Team de Italia. [8] Entre las empresas de herramientas de recogida de datos cibernéticos a medida, muchas de las cuales ofrecen paquetes COTS de exploits de día cero , se incluyen Endgame, Inc. y Netragard de Estados Unidos y Vupen de Francia. [9] Las agencias de inteligencia estatales a menudo tienen sus propios equipos para desarrollar herramientas de recopilación cibernética, como Stuxnet , pero requieren una fuente constante de exploits de día cero para insertar sus herramientas en los nuevos sistemas objetivo. Los detalles técnicos específicos de estos métodos de ataque a menudo se venden por sumas de seis cifras. [10]
La funcionalidad común de los sistemas de recolección cibernética incluye:
- Escaneo de datos : el almacenamiento local y de red se escanea para encontrar y copiar archivos de interés, estos suelen ser documentos, hojas de cálculo, archivos de diseño como archivos de Autocad y archivos de sistema como el archivo passwd.
- Ubicación de captura : GPS, WiFi, información de red y otros sensores adjuntos se utilizan para determinar la ubicación y el movimiento del dispositivo infiltrado
- Error : el micrófono del dispositivo se puede activar para grabar audio. Del mismo modo, las transmisiones de audio destinadas a los altavoces locales se pueden interceptar a nivel del dispositivo y grabar.
- Redes privadas ocultas que eluden la seguridad de la red corporativa. Una computadora que está siendo espiada puede conectarse a una red corporativa legítima que está fuertemente monitoreada para detectar actividad de malware y, al mismo tiempo, pertenece a una red wifi privada fuera de la red de la compañía que está filtrando información confidencial de la computadora de un empleado. Una computadora como esta se configura fácilmente por un agente doble que trabaja en el departamento de TI instalando una segunda tarjeta inalámbrica en una computadora y un software especial para monitorear de forma remota la computadora de un empleado a través de esta segunda tarjeta de interfaz sin que ellos se den cuenta de una banda lateral canal de comunicación extrayendo información de su computadora.
- Cámara : las cámaras del dispositivo se pueden activar para capturar imágenes o videos de forma encubierta.
- Keylogger y Mouse Logger : el agente de malware puede capturar cada pulsación de tecla, movimiento del mouse y clic que hace el usuario objetivo. Combinado con capturas de pantalla, esto se puede usar para obtener contraseñas que se ingresan usando un teclado virtual en pantalla.
- Screen Grabber : el agente de malware puede tomar imágenes de captura de pantalla periódicas. Además de mostrar información confidencial que puede no estar almacenada en la máquina, como saldos de banca electrónica y correo web cifrado, estos se pueden usar en combinación con los datos del registrador de teclas y mouse para determinar las credenciales de acceso a otros recursos de Internet.
- Cifrado : los datos recopilados generalmente se cifran en el momento de la captura y pueden transmitirse en vivo o almacenarse para su posterior exfiltración. Asimismo, es una práctica común que cada operación específica utilice encriptación específica y capacidades polimórficas del agente de recolección cibernética para asegurar que la detección en una ubicación no comprometa a otras.
- Omitir el cifrado : debido a que el agente de malware opera en el sistema de destino con todos los accesos y derechos de la cuenta de usuario del destino o administrador del sistema, se omite el cifrado. Por ejemplo, la interceptación de audio mediante el micrófono y los dispositivos de salida de audio permite que el malware capture a ambos lados de una llamada de Skype cifrada. [11]
- Exfiltración : los agentes de recopilación cibernética generalmente exfiltran los datos capturados de manera discreta, a menudo esperando un alto tráfico web y disfrazando la transmisión como una navegación web segura. Se han utilizado unidades flash USB para extraer información de los sistemas protegidos por espacios de aire . Los sistemas de exfiltración a menudo implican el uso de sistemas de proxy inverso que anonimizan al receptor de los datos. [12]
- Replicar : los agentes pueden replicarse en otros medios o sistemas, por ejemplo, un agente puede infectar archivos en un recurso compartido de red en el que se puede escribir o instalarse en unidades USB para infectar computadoras protegidas por un espacio de aire o que no estén en la misma red.
- Manipular archivos y mantenimiento de archivos : se puede usar malware para borrar rastros de sí mismo de los archivos de registro. También puede descargar e instalar módulos o actualizaciones, así como archivos de datos. Esta función también se puede utilizar para colocar "pruebas" en el sistema de destino, por ejemplo, para insertar pornografía infantil en la computadora de un político o para manipular votos en una máquina electrónica de conteo de votos.
- Reglas de combinación : algunos agentes son muy complejos y pueden combinar las características anteriores para proporcionar capacidades de recopilación de inteligencia muy específicas. Por ejemplo, el uso de cuadros delimitadores de GPS y la actividad del micrófono se pueden usar para convertir un teléfono inteligente en un error inteligente que intercepta las conversaciones solo dentro de la oficina de un objetivo.
- Teléfonos celulares comprometidos . Dado que los teléfonos móviles modernos son cada vez más similares a las computadoras de uso general, estos teléfonos móviles son vulnerables a los mismos ataques de recopilación cibernética que los sistemas informáticos y son vulnerables a filtrar información de conversación y ubicación extremadamente sensible a los atacantes. [13] En varios casos recientes de acoso cibernético, se informó sobre la filtración de la ubicación GPS del teléfono celular y la información de conversación a un atacante en los que el atacante pudo usar la ubicación GPS de la víctima para llamar a las empresas cercanas y a las autoridades policiales para hacer acusaciones falsas contra la víctima. dependiendo de su ubicación, esto puede ir desde decirle información al personal del restaurante para burlarse de la víctima o hacer un falso testimonio contra la víctima. Por ejemplo, si la víctima estaba estacionada en un estacionamiento grande, los atacantes pueden llamar y declarar que vieron actividad de drogas o violencia con una descripción de la víctima e indicaciones para su ubicación GPS.
Infiltración
Hay varias formas comunes de infectar o acceder al objetivo:
- Un proxy de inyección es un sistema que se coloca en sentido ascendente del individuo o empresa objetivo, generalmente en el proveedor de servicios de Internet, que inyecta malware en el sistema objetivo. Por ejemplo, una descarga inocente realizada por el usuario puede inyectarse con el ejecutable de malware sobre la marcha para que el sistema de destino sea accesible para los agentes del gobierno. [14]
- Spear Phishing : se envía un correo electrónico cuidadosamente elaborado al objetivo para inducirlo a instalar el malware a través de undocumento troyano o una unidad por ataque alojada en un servidor web comprometido o controlado por el propietario del malware. [15]
- La entrada subrepticia se puede utilizar para infectar un sistema. En otras palabras, los espías irrumpen cuidadosamente en la residencia u oficina del objetivo e instalan el malware en el sistema del objetivo. [dieciséis]
- Un monitor o rastreador de aguas arriba es un dispositivo que puede interceptar y ver los datos transmitidos por un sistema de destino. Por lo general, este dispositivo se coloca en el proveedor de servicios de Internet. El sistema Carnivore desarrollado por el FBI de Estados Unidos es un ejemplo famoso de este tipo de sistema. Basado en la misma lógica que la interceptación telefónica , este tipo de sistema tiene un uso limitado hoy en día debido al uso generalizado del cifrado durante la transmisión de datos.
- Se puede usar un sistema de infiltración inalámbrico cerca del objetivo cuando el objetivo está usando tecnología inalámbrica. Este suele ser un sistema basado en una computadora portátil que se hace pasar por una estación base WiFi o 3G para capturar los sistemas de destino y transmitir las solicitudes en sentido ascendente a Internet. Una vez que los sistemas de destino están en la red, el sistema funciona como un proxy de inyección o como un monitor ascendente para infiltrarse o monitorear el sistema de destino.
- Se puede entregar una llave USB precargada con el infectador de malware o colocarla en el sitio de destino.
Los agentes de recolección cibernética generalmente se instalan mediante un software de entrega de carga útil construido con ataques de día cero y entregado a través de unidades USB infectadas, archivos adjuntos de correo electrónico o sitios web maliciosos. [17] [18] Los esfuerzos de recopilación cibernética patrocinados por el estado han utilizado certificados oficiales del sistema operativo en lugar de depender de las vulnerabilidades de seguridad. En la operación Flame, Microsoft afirma que el certificado de Microsoft utilizado para hacerse pasar por una actualización de Windows fue falsificado; [19] sin embargo, algunos expertos creen que puede haber sido adquirido a través de los esfuerzos de HUMINT . [20]
Ejemplos de operaciones
- Stuxnet
- Fuego
- Duqu
- Bundestrojaner
- Rocra [21] [22]
- Operación High Roller [23]
Ver también
- Guerra cibernética
- Vigilancia por computadora
- Inseguridad informática
- Operaciones de inteligencia china en Estados Unidos
- Regulación de ciberseguridad
- Espionaje industrial
- GhostNet
- Defensa cibernética proactiva
- Vigilancia
- Club de Informática del Caos [1]
- Divulgaciones de vigilancia global (2013-presente)
- Operaciones de acceso personalizadas
Referencias
- ^ a b Pete Warren, proyectos de ciberespionaje patrocinados por el estado ahora prevalecen, dicen los expertos , The Guardian, 30 de agosto de 2012
- ^ Nicole Perlroth, Elusive FinSpy Spyware aparece en 10 países , New York Times, 13 de agosto de 2012
- ^ Kevin G. Coleman, ¿Stuxnet, Duqu y Flame han encendido una carrera armamentista cibernética? Archivado el 8 de julio de 2012 en la Wayback Machine , el gobierno de AOL, el 2 de julio de 2012
- ^ Rachael King, Operation High Roller Targets Corporate Bank Accounts , 26 de junio de 2012
- ^ Frederic Lardinois, Eugene Kaspersky y Mikko Hypponen hablan de octubre rojo y el futuro de la guerra cibernética en DLD , TechCrunch, 21 de enero de 2013
- ^ Vernon Silver, FinFisher compatible con software espía puede hacerse cargo de los iPhone , Bloomberg, 29 de agosto de 2012
- ^ "Intrusión de FinFisher IT" . Archivado desde el original el 31 de julio de 2012 . Consultado el 31 de julio de 2012 .
- ^ "Equipo de piratería, sistema de control remoto" . Archivado desde el original el 15 de diciembre de 2016 . Consultado el 21 de enero de 2013 .
- ^ Mathew J. Schwartz, Errores armados: tiempo para el control de armas digitales , Semana de la información, 9 de octubre de 2012
- ↑ Ryan Gallagher, Cyberwar's Grey Market , Slate, 16 de enero de 2013
- ^ Daniele Milan, El problema del cifrado de datos , Equipo de piratería
- ^ Robert Lemos, Flame esconde secretos en unidades USB Archivado el 15 de marzo de 2014 en Wayback Machine , InfoWorld, 13 de junio de 2012
- ^ cómo espiar un teléfono celular sin tener acceso
- ^ Pascal Gloor, Intercepción ( des ) legal Archivado el 5 de febrero de 2016 en la Wayback Machine , SwiNOG # 25, 07 de noviembre de 2012
- ^ Mathew J. Schwartz, Operación Octubre Rojo Atacantes ejercen suplantación de identidad (spear phishing) , Semana de la información, 16 de enero de 2013
- ^ Registros del FBI: La bóveda, entradas subrepticias , Oficina federal de investigación
- ^ Kim Zetter, software espía "Flame" que se infiltra en computadoras iraníes , CNN - Wired, 30 de mayo de 2012
- ^ Anne Belle de Bruijn, Cybercriminelen doen poging tot spionage bij DSM , Elsevier, 9 de julio de 2012
- ^ Mike Lennon, el certificado de Microsoft se utilizó para firmar el malware "Flame" archivado el 7 de marzo de 2013 en Wayback Machine , 4 de junio de 2012
- ^ Paul Wagenseil, Flame Malware usa la firma digital de Microsoft robada , NBC News, 4 de junio de 2012
- ^ Investigación de ataques cibernéticos diplomáticos "Octubre rojo" , Securelist, 14 de enero de 2013
- ^ Kaspersky Lab identifica la operación Octubre rojo Archivado el 4 de marzo de 2016 en Wayback Machine , Comunicado de prensa de Kaspersky Lab, 14 de enero de 2013
- ^ Dave Marcus y Ryan Cherstobitoff, disección de la operación High Roller Archivado el 8 de marzo de 2013 en Wayback Machine , McAfee Labs