14 de febrero: Pidiéndolo (en español)

Gracias por leer este boletín. Si alguien te envió este boletín, es muy amable de su parte. No olvides darle las gracias. Puedes suscribirte aquí para recibir el boletín en tu bandeja de entrada.

Para los lectores hispanohablantes, me complace informarles que subí la traducción al español de Diego Morábito de los boletines tercero y cuarto.

¡Los comentarios y sugerencias son siempre bienvenidos! Eso incluye una forma más ordenada de manejar las traducciones al español, que ahora se enumeran entre las que están en inglés en el índice principal.

Martijn
(martijn@lapsedordinary.net)

Pidiéndolo

El mes pasado, el Grupo de Análisis de Amenazas de Google publicó un breve análisis de una reciente campaña de ataques de un actor malicioso ruso al que llaman COLDRIVER y que también se conoce como UNC4057, Star Blizzard y Callisto.

Lo que me pareció interesante de la campaña, aparte del hecho de que sus objetivos incluían algunas ONG's, fue el método de distribución del malware: el destinatario recibía un archivo PDF con contenido que parece estar cifrado.

Ahora bien, eso en sí mismo no es inusual: es bastante común enviar archivos adjuntos de correo electrónico y luego engañar al usuario para que habilite una configuración insegura (como macros en Office), para supuestamente acceder al archivo adjunto, mientras que en la práctica esto en realidad permite que se descargue malware.

Sin embargo, en este caso, el PDF es totalmente inocuo. Lo que los actores maliciosos esperan es que el destinatario responda al correo electrónico haciéndoles saber que no puede acceder al contenido del archivo. En este caso, el remitente responde amablemente con un enlace a una herramienta que permite "descifrar" el archivo. Esta herramienta es, por supuesto, malware: una "puerta trasera" (backdoor) que los investigadores de Google llaman 'SPICA' y que otorga acceso completo a la computadora del objetivo.

Al no incluir nada malicioso en el correo electrónico original, el actor malicioso probablemente espera que su campaña permanezca debajo del radar durante más tiempo. Para campañas pequeñas como ésta, es una buena técnica.

Cuando se atienden casos de incidentes digitales en grupos de alto riesgo, no es raro ver correos electrónicos o mensajes misteriosos como los ya mencionados. "Se sienten" maliciosos, pero a primeras no parecen tener a ningún propósito porque no hay ningún tipo de payload.

Si bien hay muchas otras explicaciones para los mensajes "raros" (que puede incluir que alguien haya cometido un error en alguna parte), es buena idea tener en mente el caso de COLDRIVER. Justo el único propósito del mensaje era lograr que el destinatario respondiera y solo entonces distribuir el malware.

No recomiendo que el destinatario original responda a este tipo de correos electrónicos para hacerse con el payload, pero si lo estás ayudando y sospechas que se encuentra en este tipo de situación, tal vez valga la pena responder al correo en su nombre desde una dirección de correo electrónico a la que puedas acceder en un entorno seguro, como una máquina virtual. Tal vez tengas suerte y obtengas el payload simplemente pidiéndolo.

Por cierto, si tú como yo tiendes a confundirte con que las compañías le dan diferentes nombres al mismo actor malicioso, puede ser que te ayude consultar Malpedia: esta página hace el seguimiento de todos estos actores maliciosos y los nombres que se les dan, además de proveer de enlaces a investigaciones sobre los mismos.

¿Qué más?

El Grupo de Análisis de Amenazas de Google también publicó un informe sobre los proveedores de vigilancia comercial: las empresas que desarrollan spyware como Pegasus y Predator y cuyos objetivos a menudo incluyen a miembros de la sociedad civil. El informe es bastante detallado y se centra tanto en la industria como en la cadena de suministro de ventas de exploits que es necesaria para que el spyware funcione. También incluye los perfiles de varios objetivos que han sido víctimas de spyware para recordar que esto afecta a personas reales de una manera muy grave.

Sobre este tema, en un episodio reciente del podcast Click Here de Recorded Future, se discutió sobre dos objetivos de Pegasus en Jordania sobre los que escribí en el boletín de la semana pasada.

La semana pasada, el daily podcast del SANS Internet Storm Center cumplió quince años. Durante la mayor parte de esos quince años he comenzado mis días de trabajo escuchándolo. Soy fan de los resúmenes de cinco minutos que hace Johannes Ullrich sobre las historias de seguridad que son relevantes para los profesionales que trabajan en ciberseguridad y recomiendo mucho este podcast a cualquiera que trabaje en este campo.

En noticias no relacionadas con la seguridad

Un libro que leí: finalmente leí We are Bellingcat de Eliot Higgins, su libro publicado en 2021 sobre el grupo de periodismo que fundó y su metodología. Es un libro bien escrito y fácil de leer con muchos ejemplos concretos de las investigaciones de Bellingcat que sin duda cambiaron la forma en la que se hace periodismo hoy en día. Aunque creo que el libro tiene demasiados ejemplos vinculados a Rusia, es cierto que ese país proporciona muchos ejemplos buenos (o malos) para Bellingcat. Aun así, podría dar la impresión (y llevar a la conclusión) de que Bellingcat tiene un sesgo occidental. Mientras leía el libro me preguntaba qué diferencia podría haber hecho su sitio web si éste hubiera existido cuando se inventó la historia sobre las armas de destrucción masiva para justificar la invasión de Irak en 2003.

Una canción que me gustó: Chris Knox ha sido, durante mucho tiempo, una especie de héroe indie mío. Incluso una vez nombré mi sitio web de música (y mi cuenta principal de Gmail) con una canción de su banda Tall Dwarfs, aunque también me encanta su música como solista, en particular su canción más popular, Not Given Likely (Spotify - YouTube), que recientemente me enteré que se ha vuelto realmente famosa en Nueva Zelanda, su país natal. Es tan famosa que existe un video de los Crowded House Borthers tocándola con Eddie Vedder de Pearl Jam en un estadio en Auckland con todo el público cantándola. Aun así, prefiero la versión que Chris dedicó a la que era su esposa en ese entonces, y en la que toca la guitarra con un loop de percusión marcando el ritmo; y sigo pensando, ¡qué increíble que exista esta canción!