Una metodología militar aplicada al hacking

Existe una metodología para ver un "campo de batalla" en el ciberespacio, es una forma muy interesante de representar las TTPs (Técnicas Tácticas y Procedimientos) de los atacantes para analizar el comportamiento, catalogar y perfilar a los adversarios involucrados en un ciberataque. 

Una de las características de esta metodología es ayudar a las organizaciones en el entendimiento de las posibles amenazas en cada etapa de un ataque y tomar contramedidas necesarias para defenderse de estos ataques.

Este framework fue porpuesto por Martin Lockheed y consta de 7 fases:

  1. Reconocimiento
  2. Armamento
  3. Entrega
  4. Explotación
  5. Instalación
  6. Comando y Control (C2)
  7. Acciones sobre el objetivo

¿Exageración o realidad?

Cada una de estas etapas deriva de un punto de vista militar y aunque suene exagerado, tiene sentido cuando nos detenemos a pensar en los "ejércitos cibernéticos" que los países han creado para atacar y contraatacar o defender los sistemas informáticos más importantes con los que cuentan. Tiempo atrás se ha mencionado que de presentarse una tercera guerra mundial, esta será con armas tecnológicas, si esto es cierto, sabemos del daño que puede provocar una infiltración en un sistema crítico como el reciente estado de emergencia en EEUU por un hackeo

En este momento se hace lógico tomar estrategias de tipo militar para responder a los ataques y saber que estar conectado a internet, también significa estar expuesto en este fuego cruzado y aunque no parezca peligroso de primer instancia, (es común pensar que los "hackers" nada tienen que hacer con los datos de una persona), es totalmente contrario a la realidad. Estos datos sirven para realizar una investigación psicológica de un grupo de personas y atacar con técnicas denominadas PSYOPS (Operaciones Psicológicas) con el fin de presentar un escenario factible al adversario y lograr su objetivo. 

¿Cómo funciona el Cyber Kill Chain?

Este es un componente de defensa impulsado por inteligencia para la prevención e identificación de actividades de intrusión maliciosas y cada etapa tiene un objetivo desde el punto de vista de un adversario:
 
Reconocimiento: Recolectar tantos datos del objetivo como sea posible para probar sus puntos débiles.
 
Armamento: Crear un payload (carga útil del malware) que pueda distribuirse por toda la red informática del objetivo usando un exploit (código que aprovecha una vulnerabilidad y la explota).

Entrega: Enviar el arma empaquetada ingeniosamente a la víctima.

Explotación: Ejecutar el código para explotar la vulnerabilidad del sistema informático (exploit) en el sistema (víctima).

Instalación: Instalar el malware en los sistemas objetivos y se distribuirlo dependiendo del alcance de la red de la víctima.

Comando y Control: Crear una canal de comunicación privado/crifrado entre la víctima (máquina, sistema, etc..) y el sistema servidor de comando y control (C2) para realizar transferencias entre la víctima y el adversario.

Acciones sobre el objetivo: Llevar a cabo las acciones para lograr alguna meta u objetivo. 
 
Personalmente, es una manera práctica de entender cómo operan los atacantes a nivel de estado y cabe mencionar que en el libro de Edward Snowden deja en claro que este tipo de infiltraciones entre estados lleva realizándose desde bastante tiempo atrás y que incluso la última etapa de una infiltración puede servir como el inicio de un ataque más grande, dado que el sistema objetivo serviría como pivote para escalar a otro equipo o red informática, similar a lo que ocurre en un ataque de movimiento lateral.
Ubicación: Ciudad de México, CDMX, México

Comentarios

Publicar un comentario

Entradas más populares de este blog

¿Qué son los ISAOs o ISACs?

  ISAO (Information Sharing and Analysis Organization) Una Organización de Intercambio y Análisis de Información (ISAO) busca colaborar entre las empresas que estén interesadas en consumir y aportar conocimiento de inteligencia que pueda prevenir a los equipos de trabajo relacionados con eventos, incidentes, riesgos de ciberseguridad que pudieran poner en peligro una organización.  Con la finalidad de fortalecer la postura de ciberseguridad de las empresas del sector privado y público. En Estados Unidos, el presidente Obama emitió la orden ejecutiva 13691 en el año de 2015 con el objetivo de fomentar el desarrollo de las ISAOs y la Universidad de Texas (UTSA) se encargaría de desarrollar las guías y lineamientos para el desarrollo estandarizado de las ISAOs Las características principales para ser miembro de las ISAOs son:  Actividad voluntaria Transparente Inclusiva Accionable Flexible  ISAC (Information Sharing Analysis Center) Un Centro de Intercambio y Análisis de Información (ISAC
Leer más

¿Cuanto vale tu información?

¿Te ha tocado perder tus datos? Uno de los problemas más graves y frecuentes (seguramente te ha tocado experimentar), son las pérdidas de información . Este tipo de incidente tiene un gran impacto para quien lo sufre, ya que entre las pérdidas se encuentran fotos, videos, audios, mensajes y momentos que por algo los queremos tener guardados.  En este sentido, es una pérdida que en un principio no es fácil de aceptar y muchas personas intentan recuperar sus datos con cualquier programa que se les cruce enfrente. Después de haber intentado sin buenos resultados.. terminan aceptando las consecuencias de no realizar respaldos . Normalmente no es posible recuperar esa información tan importante y valiosa cuando el dispositivo de almacenamiento (usb, sd, ssd, hdd, etc.) se a dañado físicamente. Para los negocios es fatal Ahora, si nos ponemos en el lugar de una empresa, las pérdidas de datos significan pérdidas económicas ya que en los negocios se sufre un paro en las operaciones, y general
Leer más

Influencers, políticos, artistas son... Objetivos públicos?

¿Tienes más de mil seguidores? Las personas más expuestas a ser objetivos de hackeos son aquellas que su imagen personal o el personaje que representan tiene miles o incluso millones de seguidores. Dado que se tratan de "figuras públicas", no cuentan con el conocimiento suficiente para detectar un ataque informático. En consecuencia son susceptibles a sufrir una suplantación de identidad, ser víctimas de phising, doxing o cualquier otro método para adueñarse del impacto social que pudieran tener. Una vez que el ataque ha sido satisfactorio el atacante cambia y bloquea todos los accesos para que el dueño no pueda recuperar sus cuentas. Después de lograr esta etapa, el atacante dejará ver cual es el motivo (o motivos) de su hackeo. Ejemplos de estos pueden ser: Extorsión económica o daño a la imagen de la víctima entre otros. Una de las acciones seguidas más frecuentes al obtener acceso no autorizado es iniciar una campaña de publicidad o mensajes falsos para obtener acceso a l
Leer más