Análisis del Reporte APT1 de Mandiant
A finales de enero, Janet Napolitano, la secretaria de Seguridad Nacional de Estados Unidos, anunciaba en diferentes medios de comunicación que un ciberataque masivo era inminente contra Estados Unidos, causando daños semejantes a desastres como el Katrina o los ataques del 11-S.
Hoy al ver las noticias del 0 day en java que ha sido usado para atacar varias industrias de tecnología en Estados Unidos, leer el contenido del reporte APT1 de la empresa Mandiant y los comentarios al respecto de varias personas del medio, siento que cada vez esta mas cerca lo que anunciaba Janet y una posible ciberguerra entre Estados Unidos y China.
Para quien no conozca el reporte APT1 es un documento publicado por la empresa de seguridad Mandiant que liga al gobierno Chino con actividades de espionaje industrial a empresas de Estados Unidos, el informe es muy explicito y muestra bastante evidencia de como el gobierno Chino tiene unidades militares expertas en seguridad informática con la finalidad de realizar espionaje industrial y beneficiar empresas de ese país, además de otras actividades.
Ver online el reporte APT1 de la empresa Mandiant:
Atacando al atacante... La falsa sensación de seguridad que tenían algunos miembros de la unidad militar china denominada APT1 en el informe de Mandiant, causo que cometieran errores simples como acceder a redes sociales y enlaces desconocidos desde equipos donde realizaban sus labores de espionaje, lo que aprovecharon los ingenieros de Mandiant para comprometer sus sistemas y extraer evidencia de las actividades que se realizaban desde ellos.
En el siguiente vídeo podemos ver algunas de las técnicas usadas por APT1.
Como pueden apreciar no son técnicas "avanzadas" o desconocidas.
Pensaba escribir mis comentarios al respecto del reporte APT1 de Mandiant, pero al ver la cantidad de profesionales de habla hispana que se han pronunciado sobre este informe y con los cuales estoy de acuerdo en gran medida, prefiero enlazar sus artículos y dejar que nuestros lectores tengan diferentes puntos de vista sobre este tema.
- Uno de los primeros en reaccionar frente a los ataques a empresas de tecnología norteamericana fue Manuel Benet (@Securityartwork) de Security Art Work, quien no solo nos regalo algunas firmas para Snort que bloqueaban la comunicación del malware empleado en los ataques (por si estábamos infectados), sino que días después nos regala una excelente articulo con otro punto de vista sobre el problema, dejando a un lado la informática y enfocándose mas en los temas políticos que llevan a una potencia como China a implementar políticas como las expuestas en el informe de Mandiant.
- Después David Barroso (@lostinsecurity) de Lost in Security nos presenta comentarios puntuales sobre el informe, las reacciones del gobierno estadounidense y su opinión personal al respecto.
- Fausto Cepeda (@FaustoCepeda) de Seguridad Descifrada nos habla sobre los hechos citando partes especificas del informe APT1 de Mandiant y enumerando una serie de lecciones aprendidas, además de una serie de "comentarios aleatorios" con algunas preguntas que nos pueden dejar pensando un rato sobre lo que puede pasar de ahora entre china y estados unidos.
- José Selvi (@JoseSelvi) publica en su articulo "Yet another APT1 analysis" nos muestra un enfoque un poco mas técnico sobre los ataques realizados por el grupo denominado APT1 en el informe Mandiant y va un poco mas dando posibles soluciones o contramedidas a vectores específicos utilizados en los ataques.
Con toda esta información a la mano y sabiendo de los anuncios realizados por la secretaria de Seguridad Nacional de Estados Unidos tan solo días antes de que empezaran a hacerse públicos los casos de APT's en empresas de tecnología, me pregunto si estamos frente al inicio de una posible ciberguerra entre estas potencias mundiales o es una campaña mediática de USA para algún propósito especifico.
Me gustaría conocer sus opiniones al respecto... no olviden dejar sus comentarios