Machete, campaa de ciberespionaje.

Nota de CIOAL publicada el 21-8-2014:

Kaspersky Lab anunci el descubrimiento de una nueva campaa de ciberespionaje con el nombre clave
de Machete, la cual se ha dirigido a vctimas de alto perfil, incluyendo gobiernos, fuerzas militares,
embajadas y las fuerzas del orden desde hace por lo menos 4 aos.

El campo principal de su operacin ha sido Amrica Latina: la mayora de las vctimas parecenestar ubicada
en Venezuela, Ecuador y Colombia. Entre otros pases afectados se encuentran Rusia, Per, Cuba y Espaa. El
objetivo de los atacantes es recopilar informacin sensible de las organizaciones comprometidas - hasta
ahora es posible que los atacantes hayan podido robar gigabytes de datos confidenciales exitosamente.
A pesar de la simplicidad de las herramientas utilizadas en esta campaa, son muy eficaces, dado a los
resultados. Parece ser que los cibercriminales de Amrica Latina estn adoptando las prcticas de sus
colegas en otras regiones.
La campaa Machete parece haber comenzado en el 2010 y actualizada con la infraestructura actual. Los
ciberdelincuentes utilizan tcnicas de ingeniera social para distribuir el malware. En algunos casos, los
atacantes utilizaron mensajes de phishing dirigidos (spear-phishing), en otros phishing dirigido combinado
con infecciones va la web, especialmente por medio de la creacin de blogs falsos previamente preparados.
Por el momento no hay indicios del uso de exploits de vulnerabilidades de da cero.
La herramienta de ciberespionaje encontrada en las computadoras infectadas es capaz de realizar diversas
funciones y operaciones, como la copia de archivos a un servidor remoto o un dispositivo USB especial (si
est insertado), el secuestro del contenido del portapapeles, clave de registro, la captura de audio desde el
micrfono del equipo, realizar capturas de pantalla, obtener datos de geolocalizacin, realizar fotos con la
cmara web en las mquinas infectadas.
La campaa tiene una caracterstica tcnica inusual: el uso del cdigo de lenguaje Python compilado en
archivos ejecutables de Windows - esto no tiene ninguna ventaja para los atacantes, excepto la facilidad de
la codificacin. Las herramientas no muestran signos de soporte multiplataforma ya que el cdigo es
fuertemente orientado a Windows; sin embargo, los expertos de Kaspersky han descubierto varias pistas que
dan un indicio a que los atacantes han preparado la infraestructura para vctimas que utilizan OSX y Unix.
Adems de los componentes de Windows, seales de un componente mvil para Android ha sido descubierto
tambin.

El tipo de ataques masivos como este, reviste una extrema dificultad en lo que hace a la seguridad
de nuestros activos TI, y fundamentalmente lo que debemos proteger: nuestra informacin y la
continuidad de los procesos de la organizacin. Es decir la confidencialidad, integridad y
disponibilidad de la informacin.
En nuestras polticas de gestin de riesgo y en nuestra estructura de seguridad integral no pueden
ignorarse las posibilidades de este tipo de ataques, pensados para robar informacin sensible, sino
tambin para conocer la logstica general de la organizacin.
Es importante tener siempre actualizadas nuestras polticas de seguridad, tener informacin de
primera mano a cerca de las tendencias de los ciberdelincuentes de todo tipo, ya sean individuos,
que incluso pueden provocar ataques por mera diversin, o propsitos delictivos; a organizaciones
terroristas muy presentes en nuestro tiempo. Pensar que estas solo actan en contra de los pases
centrales, caso Reino Unido o EEUU, es ser poco realista. Amrica latina no est fuera de riesgo, y
por ser quiz la regin menos protegida, es un blanco fcil y no menos deseable, cuando lo que
buscan las organizaciones terroristas es desestabilizar el fino equilibrio mundial.
Se requiere como primera medida un comit de seguridad y gestin de riesgo, con funciones
proactivas que evalen estas tendencias y sugieran e implementen las contramedidas que se
consideren necesarias. Muchas veces se habla del famoso costo beneficio, al que en casos
como este yo definira como RIESGO Beneficio costo , porque el costo parece ser grande
mientras no ocurre nada, pero me gustara saber que costo enorme puede tener para una
organizacin estar una semana sin poder acceder a sus sistemas informticos. Ni hablar si se
perdiera toda la informacin. No tener establecidas polticas serias de respaldo de la informacin
(back up) es suicida. Pero aun teniendo el back up del da anterior, me gustara ver cunto tiempo
se tarda en ubicar, recordar, y reprocesar lo que se puede perder de lo hecho en las ltimas 24
horas. Nunca me pas, pero imagino que puede ser tremendamente difcil, y puede demorar
mucho ms de lo imaginable, y entre tanto???? Se detiene la actividad de la organizacin por otras
24, 48 o quizs ms horas?
La definicin y aplicacin de polticas proactivas es indispensable.
Incorporacin de tcnicas forenses, reactivas, es cierto; pero son fuente indispensable para
alimentar la definicin de estrategias proactivas.

Vamos a este caso:
- Personal proactivo y capacitado formando un comit de seguridad y gestin de riesgo,
informacin permanente de nuevas tendencias, tomada de sitios serios, como por ejemplo
el FIRST, CERT, laboratorios especializados, MIT, etc.
- BIA claro, definido, y funcional. Es muy importante que esta funcin se cumpla, porque si
no hay actualizacin permanente acerca de amenazas y soluciones, el resto no puede
mantenerse en funcionamiento coordinado con la realidad cambiante de nuestro tiempo.
- BCP Polticas claras e implementaciones certeras dentro de un BCP definido con
COHERENCIA. Y probado, esto es como los simulacros de evacuacin en caso de
incendio o desastres a los que tanto nos obligan las ART. Si es necesario (*) duplicar un
entorno de trabajo, se lo duplica sin importar el costo ni el esfuerzo. DRP realista y
actualizado permanentemente.
(*) En funcin de la complejidad de la organizacin y la importancia de la informacin
almacenada.
- Concientizacin permanente de todo el personal. Desde el presidente de la empresa, hasta
el personal de vigilancia.
- Seguridad fsica, control de accesos monitoreados permanentemente. Seguimiento de los
movimientos del personal mediante dispositivos RFID o GRPS. Accesos restringidos a
todos los sitios sensibles de la instalacin. Limitar actividades de ingeniera social
- Control de activos mediante dispositivos RFID. Es importante saber permanentemente
donde esta cada dispositivo, particularmente los mviles.
- Seguridad lgica. Firewalls, IDS, IPS, anti-amenazas (o virus, como gusten), consolas de
control centralizadas, en lo posible en la nube; de modo tal que se puedan monitorear of-
site (con las medidas y permisos de ingreso que se requieran). Solida poltica de control de
accesos, y autenticacin de usuarios, con permisos de acceso muy estrictos.
- Separacin de ambientes. Cuando menos los ambientes tradicionales de desarrollo,
testing, y produccin. Donde el ambiente de testing debiera realizar al menos 3 pruebas
anuales simulando posibles desastres, y probando los planes de contingencia. Antes de
efectuar una prueba general.
- Anlisis permanente de vulnerabilidades.
- Capacitacin constante del personal del rea de seguridad, de sistemas en general; y de
todo aquel que tenga acceso a una terminal, por mnimo que sea.
- En cuanto a la aplicacin de tcnicas de ingeniera social es importante por ltimo
comentar que, la entrada de malware a una organizacin a travs de medios fsicos puede
incrementarse de manera considerable a raz de nuevas tendencias en alza que se estn
arraigando en las organizaciones que consisten en bien fomentar o permitir el uso de
dispositivos personales (porttiles, tablets, smartphones, etc.) en el entorno de trabajo, es
decir que los empleados se traigan sus dispositivos al trabajo y trabajen con ellos, es la
denominada tendencia BYOD (Bring Your Own Device), o bien que adems de sus propios
dispositivos tambin aporten su propio software ,BYOT, (Bring Your Own Technology), y
adems existe una variante emergente, BYOC (Bring Your Own Cloud), en estos casos los
empleados aportan su propia nube. Estas tendencias, si no son bien gestionadas pueden
suponer una importante brecha de seguridad en las organizaciones facilitando la tarea del
atacante puesto que la informacin privada de la empresa entra dentro de una red cada
vez ms difusa y difcilmente protegible.

Describir punto por punto las medidas a tomar es difcil, porque dependen de la organizacin, la
criticidad de los procesos, el valor de la informacin y su clasificacin, etc.

Veamos ahora la aplicacin de algunas leyes y sus artculos:

En primera instancia aplica la ley 26388 de delitos informticos:

Art.5 Acceso no autorizado. Que agrega el art. 153 bis en el Cdigo Penal
(http://blogsdelagente.com/itsb/2008/7/2/ley-26-388-delito-informatico-acceso-autorizado-hacking-/)

Art. 8 Sustituye el art 157 bis del cdigo penal.
(http://www.infoleg.gov.ar/infolegInternet/anexos/15000-19999/16546/texact.htm#19)

Tambin la ley 25326 de proteccin de datos personales o Habeas Data (Ej. Art 5)
Aunque esta se refiere exclusivamente a los datos individuales de cada ciudadano, y poco dice
sobre la informacin general de una cia.

En casos como este, perpetrado por delincuentes internacionales, existe legislacin internacional
regulada por el pacto de San Jos de Costa Rica.
En mi caso particular el anlisis de las implicancias legales de los delitos informticos perpetrados
o posibles, los consulto con un abogado especialista en derecho informtico, profesor de la USAL.
Pero a decir verdad es poco lo que puedo agregar personalmente.



Firmado digitalmente por Edmundo Diego Bonini
Nombre de reconocimiento (DN): cn=Edmundo
Diego Bonini, o=Offerus Informatica, ou=Offerus,
email=offerus@offerus.com.ar, c=AR
Fecha: 2014.09.03 13:19:58 -03'00'
Versin de Adobe Reader: 11.0.8