III

ENCUENTRO ENS

Un Modelo de Cibervigilancia

CERTrado (CSIRTrado) en

Ciberamenazas

Índice

1. ¿Vigilancia?

2. Vigilancia y Ciberespacio

3. CERT/CSIRT y Cibervigilancia

4. Caso de uso 1

5. Caso de uso 2

6. Caso de uso 3

7. ¿Qué cibervigilancia para CSIRTs?

8. Modelo Esquemático para CSIRTs

¿Vigilancia?

De manera muy genérica, por tanto sin matices, la vigilancia es

el conjunto de procedimientos dispuestos para determinar si lo

observado se ajusta a una(s) determinada(s) regla(s) o patrones

esperados.

En términos de seguridad, esas reglas serían las leyes y lo

observado serían el conjunto de comportamientos de los sujetos

obligados por esas leyes.

¿Vigilancia?

En vigilancia de seguridad, se contemplan dos tipos de

escenarios:

• La vigilancia (de los sujetos obligados) en espacios privados

regidos por la ley. Requiere autorización judicial que,

motivadamente, quiebre algún derecho fundamental (p.ej,

L.O. 13/2015 de modificación de la LECrim).

• La vigilancia en espacios públicos regidos por la ley. En

algunos supuestos, como la videovigilancia (L.O. 4/97),

requiere autorizaciones administrativas.

Derecho Penal

Derecho Administrativo

Vigilancia y Ciberespacio

En lo que tiene que ver con sistemas de información y comunicación en

entornos privados, rige la misma base legal de las autorizados judiciales,

por ejemplo en lo que tiene que ver con interceptación de comunicaciones

(conversación privada de Whatsapp).

En lo que tiene que ver con la circulación de información en el dominio

público (el equivalente al espacio público videovigilado, por ejemplo – grupo

público de Whatsapp o Telegram), no consta que exista un marco legislativo

específico que regule la cibervigilancia.

• ¿Sería necesaria una regulación de la cibervigilancia en el ciberespacio

público similar a la regulación de la videovigilancia según la L.O. 4/97?

Vigilancia y Ciberespacio

La orientación regulatoria del dominio público en el ciberespacio es

actualmente la marcada por la legislación de protección de datos, el marco

europeo de la RGPD y su trasposición en los Estados Miembros.

• El artículo 15 de la Directiva 2002/58/CE sobre privacidad electrónica

permite a los Estados miembros introducir medidas legislativas para

salvaguardar la seguridad pública.

• El artículo 22 de la L.O. 3/2018, de Protección de Datos Personales y

Garantía de los Derechos Digitales, contempla el tratamiento de datos

con fines de videovigilancia.

Vigilancia y CiberespacioEquipos de respuesta a incidentes de seguridad informática (CSIRT): Real Decreto-Ley

12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información:

• Preámbulo: Los CSIRT son los equipos de respuesta a incidentes que analizan riesgos y

supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones

para mitigar sus efectos.

• Art. 3: define redes y sistemas de información, datos digitales, y seguridad de las redes.

• Art. 12: Los CSIRT desempeñarán las siguientes funciones:

a) Supervisar incidentes a escala nacional.

b) Difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes

entre los interesados.

c) Responder a incidentes.

d) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la

situación.

CERT/CSIRT y Cibervigilancia

¿son necesarios procedimientos de cibervigilancia en el dominio

público para que los CSIRT cumplan su mandato de alerta

temprana y análisis dinámico de riesgo respecto de

ciberamenazas contra sistemas tecnológicos?

Caso de uso 1: SEO->scripts->phishing

Desde 2018 se viene documentando que identidades hacktivistas, otras que fingen el

rol del hacktivismo intencionadamente para disfrazar la naturaleza lucrativa ilícita de

sus acciones, o aquéllas que tienen una “doble militancia”, desarrollan tres tipos de

tácticas de pequeña cibercriminal que son concurrentes a la desfiguración de un sitio

web. Ha pasado del 3’2% en 2019 al 24’8% en 2020.

1. La táctica fraudulenta que se conoce como Spamdexing o SEO Spam, de search

engine optimization, u optimización de motores de búsqueda, que consiste en

incrementar ilícitamente el peso en buscadores web de contenidos comerciales

alojados en webs asiáticas, principalmente japonesas -secundariamente chinas y

turcas-, mediante la inyección forzada en la web atacada de contenidos comerciales

a promocionar; la inclusión de estos contenidos en numerosas webs victimizadas

altera el ranking de posicionamiento de esos contenidos en buscadores.

Caso de uso 1: SEO->scripts->phishing

2. La inyección forzada en el código software de las

webs atacadas de scripts, generalmente en lenguaje

JavaScript, de funciones de redirección de visitantes

hacia webs de distribución de contenidos maliciosos,

de forma que alguien que conecta a una web

previamente atacada es conducido automáticamente

a redes de distribución de adware, código dañino que

puede llegar incluso a la descarga de virus en el

dispositivo de la víctima. En ocasiones, la inserción

de scripts redirectores está mediada o

complementada con la inyección de webshells en los

sitios comprometidos (caso de Pharma Spam). Una

webshell es en realidad una puerta trasera que

puede ser utilizada para la inoculación de malware,

como el ransomware. El informe anual de Sucuri

para 2019 advertía que las webs infectadas por SEO

Spam tienen la ratio más elevada de reinfecciones

por cepas adicionales de malware.

Caso de uso 1: SEO->scripts->phishing

3. A partir de noviembre de 2020 con la

detección de dos casos en webs

alojadas en Nigeria y Burkina-Faso,

identidades pretendidamente

hacktivistas han venido inyectado en

algunos de sus ataques sobre las

webs victimizadas o bien una

estructura completa de phishing o

bien scripts redirectores hacia webs

de phishing. Un primer caso de este

procedimiento ya sería observado

en España en 2021.

Caso de uso 1: SEO->scripts->phishing

Caso de uso 2:‘Mamad Warning’ es una identidad

hacktivista actuando al menos desde

2016 con desfiguraciones web por

todo el mundo, principalmente

actuando sobre sitios web provistos

de software Microsoft (ASP.net, IIS,

Windows, DotNetNuke). En las

desfiguraciones inyecta contenido

que mezcla simbología de

‘Anonymous’ con iconografía

referenciada a Irán, además de los

términos “Iranian Hackers” o “Persian

Hackers”. Podría emplear por sí

misma -o formar parte de un

agrupamiento hacktivista que

incluyera- los sobrenombres ‘Bax

206 of Iran’ y ‘Mrb3hz4d’

Mamad Warning webshell -> Lebanese Cedar APT

A raíz de varias oleadas de ciberataques por desfiguración sobre

webs de EEUU inyectando contenidos de temática proiraní, en

septiembre de 2020 el Departamento de Justicia de EEUU

presentaba cargos criminales contra dos nacionales de Irán

acusados de los ataques por desfiguración de sitios web en EEUU,

en el contexto de las oleadas de protesta por la muerte del general

Qasem Soleimani. El Departamento Federal de Investigación (FBI)

del Departamento de Justicia tiene identificados a esos dos

nacionales iraníes como Behzad Mohammadzadeh, con el alias

‘Mrb3hz4d’; y Marwan Abusrour como ‘Mrwn007’.

En enero de 2021 la empresa de ciberseguridad Clearsky afirmaba

en un informe que la ciberamenaza persistente avanzada (APT)

conocida como ‘Lebanese Cedar’, que las atribuciones de esta

empresa consideran un “cibercomando” de la milicia proiraní

libanesa Hezbollah, está utilizando, entre las herramientas de

penetración y persistencia en servidores web en sus ataques, una

webshell denominada ‘Mamad Warning Sheller’, que coincidiría

con la denominación del alias empleado por ‘Mamad Warning’.

Caso de uso 2: Mamad Warning webshell -> Lebanese Cedar APT

Caso de uso 2:Mamad Warning webshell -> Lebanese Cedar APT

Por otro lado, el 22.2.2021 FireEye advertía de que había

detectado una nueva webshell, a la que denomina

‘DewMode’, que estaría siendo utilizada por la

ciberamenaza FIN11, siendo que pudiera estarse

implementando para la inyección de la cepa de

ransomware ‘CLOP’ en los servidores comprometidos con

esa webshell. Los ataques de FIN11 para inocular

‘DewMode’ se estarían llevando a cabo mediante la

explotación de una vulnerabilidad en la herramienta File

Transfer Appliance (FTA) de Accellion.

Caso de uso 3: #FreeXelj -> #OpSpainDurante 2020 a los marcos narrativos hacktivistas

#OpCatalunya y #OpSpain se les unían las etiquetas #FreeXelj

u #OpFreeXelj, un intento de visibilizar el descontento hacktivista

por el encausamiento judicial de una persona residente en la

provincia de Tarragona, que desde 2018 ha sido arrestada

policialmente en un par de ocasiones por su presunta

participación en actividades ilícitas ligadas a ciberataques en el

contexto de la #OpCatalunya/#OpSpain. En el último tercio de

2020 un treintena de ciberataques fueron llevados a cabo contra

webs en España reivindicándolos mediante la etiqueta #FreeXelj,

generalmente asociándolos a #OpSpain.

Alrededor de un centenar de webs fueron atacadas entre el último trimestre

de 2017 y el primero de 2018

En 2020, y en media docena de casos, sitios web fueron atacados afiliando

las acciones a #OpCatalunya por parte de ‘Crystal_MSF’, que además

inyectó en ellas contenido Spamdexing.

¿Desde un CSIRT concernido en España, habría que vigilar #FreeXelj?

sede.mcu.gob.es/rpi4/webpages/publico/FreeXelj.html

10.11.2020

¿Qué Cibervigilancia para la Alerta Temprana y el

Análisis Dinámico de Riesgos?

Por su lado, tradicionalmente, los CSIRT han ”huido” de la vigilancia de

“narrativas militantes” circulando en el dominio público, por considerarlas un

asunto “poco técnico”, no vinculado directamente a ciberamenazas

potencialmente atacantes de sistemas de información y, en general, un tema a

tratar por los órganos que se dediquen a vigilancia digital o a OSINT.

Por su lado, tradicionalmente, las unidades de vigilancia digital o las unidades de

Fuentes Abiertas se centran más en la semántica de los contenidos ”narrativos”

que circulan por el dominio público en canales digitales, así como en el

comportamiento digital de identidades “militantes” y de sus conexiones

interpersonales.

• Resultado: a veces aparece una “tierra de nadie” que los CSIRT visitan

menos, y para las unidades OSINT es demasiado técnico, pero que suele

estar poblada de observables que son marcadores de ciberamenazas a

sistemas de información.

Modelo Esquemático de Cibervigilancia para CSIRT

Directiva de misión. Qué activos tecnológicos está el CSIRT mandatado para proteger

respecto de incidentes de seguridad informática, acerca de los cuales debe elaborar y

emitir “alertas tempranas, alertas, avisos e información, y elaborar análisis de riesgo

dinámicos” (RDL 12/2018); por tanto, prevenir, mitigar, prepararse, responder, recuperar.

Simetrización. Definición del Espacio de Misión

¿Ante qué tipología de ciberamenazas debe estar el CSIRT preparado,

estableciendo una simetría (ideal) de respuesta?

¿Qué observables tienen potencial para marcar preventivamente las

amenazas? (por ejemplo, en CSIRT universidades: Open Journal Systems).

¿Dónde se encuentran esos observables en el ciberespacio?

Infraestructura. Cuál será la infraestructura en recursos humanos y técnicos desplegada

para lograr la simetrización.

Reglas de operaciones. Qué tipo de tácticas, técnicas y procedimientos desplegarán los

técnicos del servicio de cibervigilancia de CSIRT para cumplir su misión (sondas,

escaneo de webs buscando observables, incursión en web no indexada, rastreo de

scripts maliciosos, monitorización de redes sociales….).

Observables

Marcadores de

Ciberamenaza

El valor de la información producida dependerá:

• Oportunidad: cuanto más preventiva sea la información aportada por Cibervigilancia, mayor

será el tiempo de reacción proporcionado a los órganos de respuesta y/o decisión del CSIRT.

• Exactitud: cuanto más acertado sea el análisis de la información aportada, más ajustada será

la respuesta y/o decisión que haya que adoptarse en base a esa información.

El Servicio de Cibervigilancia se optimiza articulando su estructura interna a través

de la operativa de dos equipos:

• Equipo de Alerta: encargado de desplegar y operar los dispositivos y procedimientos de

monitorización de los OMC definidos en el espacio de misión del servicio (aportación de

contenidos para el Equipo de Análisis).

• Equipo de Análisis: efectúa una evaluación oportuna sobre el potencial de riesgo que

implica la amenaza. La evaluación pone en contexto la amenaza y proporciona a los

sistemas de respuesta y decisión mayor capacidad de acción inteligente (evita sobre- o

infra-reacciones).

La misión de un Servicio de Cibervigilancia como órgano especializado de un CSIRT es

proporcionar información de valor sobre la presencia (antecedente/preventivo y

prospectivo, concurrente/mitigación, respuesta, recuperación, consiguiente/atribución)

de ciberamenazas, que permita adoptar decisiones para prevenirlas, mitigarlas,

controlarlas, contenerlas o anularlas.Infraestructura

Interna

Cibervigilancia

Infraestructura

CSIRT

Modelo Esquemático de Cibervigilancia para CSIRT

Muchas gracias