¿Qué aspecto tiene exactamente el código "Estado-nación"?

10

Juniper Networks ha descubierto un código no autorizado que parece haber sido plantado por un atacante estatal en sus cortafuegos.

Se hizo una afirmación similar sobre Stuxnet, Duqu, Flame, Gauss, y probablemente otros, que probablemente todos fueron escritos por estados-nación. Cualquiera que sea la prueba que pueda o no respaldar la idea ahora, los medios de comunicación comenzaron a difundirla muy pronto después de sus descubrimientos.

Cuando se descubren fragmentos de código malintencionado en la naturaleza sin que nadie se dé cuenta, ¿qué indicadores apuntan a que el código malicioso es un estado nación y no un crimen organizado o pequeños grupos de piratería (Anónimo, LOLSEC, otros grupos no asociados)? ¿Hay olores de código que pintan un objetivo o son más las circunstancias alrededor de lo que el código afecta y quién fue el objetivo previsto? ¿O es solo miedos?

    
pregunta Corey Ogburn 21.12.2015 - 18:28
fuente

2 respuestas

8
  

qué indicadores apuntan a que el código malicioso es un estado-nación y no   crimen organizado o pequeños grupos de piratería (Anónimo, LOLSEC, otros   grupos no asociados)?

En este caso específico , las personas que conocen los indicadores no lo dicen (aún).

Hay una serie de indicadores que pueden entrar en juego, como:

Procedencia , o, de dónde vienen las cosas -

Se ha realizado un importante trabajo para unir a los actores y las campañas mediante el análisis del uso de código no publicado. Por ejemplo:

  

En 2015, los resultados de la investigación de Kaspersky sobre el Grupo de Ecuación señalaron que   su cargador, "pez gris", tenía similitudes con un descubierto previamente   cargador "Gauss" de otra serie de ataques, y señaló por separado que   el Grupo de ecuaciones utilizó dos ataques de día cero que luego se usaron en Stuxnet;   los investigadores concluyeron que "el tipo de uso similar de ambos   explotan juntos en diferentes gusanos informáticos, en torno a la misma   hora, indica que el grupo EQUATION y los desarrolladores de Stuxnet están   ya sea lo mismo o trabajando en estrecha colaboración ". (Wikipedia)

Si el ataque de Juniper comparte ciertas características con otros ataques APT conocidos, es probable que sea un ataque APT. Desafortunadamente, una vez más, las únicas personas que realmente sabrían cuáles son esas características, en este punto, son los que respondieron al incidente, y no están hablando.

Propósito , o, qué se puede hacer con las cosas -

Una puerta trasera en un firewall es brillante y útil para cualquier atacante. El debilitamiento del cifrado de una manera que puede beneficiar a los interceptores sin necesidad de requerir el acceso a puntos finales beneficia más a los grupos APT, ya que es más probable que tengan acceso a capturas de red de nivel ISP que, por ejemplo , Anónimo.

En tu comentario anterior, lo llamas "subjetivo y circunstancial", pero en realidad no lo es. La vulnerabilidad descrita tiene la ventaja de ser en gran medida indetectable (en comparación con el compromiso del punto final, y suponer que el Destacamento 2702 funciona correctamente) y la desventaja de requerir un acceso a la red ventajoso (en el que los estados-nación han estado trabajando desde mucho antes de que existieran las computadoras). / p>

Patrones , o migajas que no se limpian -

Ha habido varios grupos APT cuyo trabajo se atribuyó en función de cadenas o puntos en común: una dirección de correo electrónico, una dirección IP de servidor de comando y control, un nombre de ruta de código fuente que no se eliminó de los objetos compilados. Puede apostar que lo que quede en Juniper está siendo revisado con un peine de dientes finos, por personas que han hecho lo mismo en docenas o cientos de otras víctimas. Si se encuentran migajas, se encontrarán.

Puede ser cualquiera de estos, o todos, o ninguno. No hay forma de saberlo hasta que alguien escriba un artículo o publique detalles que nos permitan localizarlo.

Actualización 20151228 - Puede leer " APT28 Under the Scope ", cuyo objetivo es describir a un actor APT en particular. Observe algunos de los patrones que utilizaron: mapearon el tiempo de compilación de las herramientas de ataque para determinar de qué zona horaria provienen los actores. También encontraron una ruta codificada a un archivo de depuración donde uno de los directorios en la ruta era la palabra rusa para "Usuarios". No estoy sugiriendo que APT28 sea la multitud que golpeó a Juniper, es interesante ver el proceso de análisis y el nivel de minuciosidad que se puede usar para tratar de atribuir la responsabilidad de un ataque.

    
respondido por el gowenfawr 21.12.2015 - 21:46
fuente
3

Los ataques de Nation State, como Stuxnet y el actual equipo objetivo de ataque de Juniper, no son fáciles de obtener. Stuxnet apuntó a un controlador lógico SCADA, mientras que el ataque de Juniper apuntó a un firewall empresarial de alto rendimiento.

El desarrollo de tales ataques requiere que el atacante posea el dispositivo o, como mínimo, una imagen del firmware que se ejecuta en el dispositivo. Esto se debe a que los ataques como el desbordamiento de búfer a menudo requieren prueba y error y múltiples intentos para desarrollar un exploit de trabajo. También deberíamos desmontar el binario que no es posible sin acceso al dispositivo.

Ya que no puedes simplemente entrar a la tienda por departamentos y comprar este tipo de equipo, es difícil para los grupos de piratería, como Anonymous, LOLSEC, desarrollar tales ataques. Por lo tanto, solo las grandes empresas y los actores gubernamentales tienen acceso a dicho equipo. Las empresas no tienen un incentivo para invertir recursos valiosos en el desarrollo de tales ataques, por lo que solo nos quedan actores gubernamentales.

    
respondido por el limbenjamin 22.12.2015 - 02:46
fuente

Lea otras preguntas en las etiquetas