Operaciones+ofensivas

710 views
476 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
710
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
23
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Operaciones+ofensivas

  1. 1. CN Enrique Cubeiro Cabello. Jefe de Operaciones del Mando Conjunto de Ciberdefensa Operaciones ofensivas en el ciberespacio 3 de abril de 2014
  2. 2. Operaciones ofensivas en el ciberespacio ÍNDICE 03-04-2014 ‹Nº› OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Introducción. Tipos de operaciones en el ciberespacio. Esquema de un ciberataque complejo. Ejemplos de operaciones e incidentes reales. Quién es quién en el ciberespacio. Conclusiones/reflexiones. 1 2 3 4 5 2 6
  3. 3. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. “El supremo arte de la guerra es someter al enemigo sin luchar.” Sun Tzu El Arte de la Guerra Siglo IV a de C 1. Introducción 3
  4. 4. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. 1. Introducción 4 Algunos principios: • No existe el sistema invulnerable. • No existe el sistema completamente aislado. • Existe técnica de ataque para toda técnica de defensa. • Usuario: eslabón más débil. • RRSS, cloud y móviles incrementan “superficie de ataque”. • Constancia, ingenio y destreza.
  5. 5. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Inteligencia Digital Operaciones de Infiltración Operaciones de Infección Operaciones contra la Integridad de los Datos Posibilidaddedetección Operaciones de Denegación de Servicios (DoS) O p e r a c i o n e s d e A c c e s o C y b e r A t t a c kC y b e r D i s r u p t i o n + - 2. Tipos de ops en el ciberespacio 5
  6. 6. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • No intrusiva. • Recopilación info del objetivo. • Herramientas y técnicas básicas, en su mayoría pasivas, a través de fuentes abiertas para su posterior correlación y análisis. • Finalidad: alerta temprana y situational awarness. • Modalidades: • Ciber vigilancia • Ping sweep 2.1. Inteligencia Digital 2. Tipos de operaciones en el ciberespacio 6
  7. 7. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Recopilación de información pública para su posterior correlación y análisis. • Herramientas y técnicas asequibles. • Puede servir como alerta temprana o para la investigación y recopilación de información para futuras acciones. 2.1.1. Ciber vigilancia 2.1. Inteligencia Digital 2. Tipos de operaciones en el ciberespacio 7
  8. 8. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Herramientas y técnicas muy básicas, en su mayoría pasivas. • Permiten obtener información de la arquitectura de red del objetivo. • Conocimiento Técnico: BAJO 2.1.2. Ping sweep 2.1. Inteligencia Digital 2. Tipos de operaciones en el ciberespacio 8
  9. 9. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Gran variedad de modalidades y herramientas, tanto HW como SW. • Varían según el tipo de ataque y su finalidad. • Herramientas libres y de pago, relativamente fáciles de conseguir. • Modalidades: • Spoofing • Hijacking • MitM • Ingeniería social 2.2. Operaciones de infiltración • Phishing • Pharming • Tampering • Cracking 2. Tipos de operaciones en el ciberespacio 9
  10. 10. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio • Finalidad: suplantación identidad, como paso previo para posteriores acciones. • Conocimientos técnicos MEDIOS/ALTOS. • Modalidades: • IP • APP • DNS 2.2.1. Spoofing • Web • Mail • GPS 10
  11. 11. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Objetivo: control de algún elemento HW/SW del sistema objetivo. • Técnicas y planificación caso por caso. • Conocimientos técnicos MEDIOS/ALTOS. • Modalidades: • IP • DNS • Page • R-Domain 2.2.2. Hijacking • Session • Navegador • Home paeModem • Thread 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 11
  12. 12. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Finalidad: capturar y/o modificar la info que se transmite entre dos puntos. • Requiere inteligencia, planeamiento y herramientas específicas. • Conocimientos técnicos MEDIOS/ALTOS. • Modalidades: • Interceptación • Sustitución • Repetición 2.2.3. MitM 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 12
  13. 13. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Finalidad: obtención de info aprovechable para futuras acciones. • Apoyo de técnicas psicología social o herramientas SW específicas. • Conocimientos técnicos BAJOS/MEDIOS/ALTOS. 2.2.4. Ingeniería social 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 13
  14. 14. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Variante de la ingeniería social. • Emplea diversas técnicas de engaño (mails falsos, websites fraudulentos) para obtener información de los usuarios (contraseñas, datos financieros, datos personales, etc.). • Conocimientos técnicos BAJOS/MEDIOS. • Variantes: • Spear phishing (objetivo específico). • Whaling (alto cargo). • Tabnabbing (navegación por pestañas). • Smishing.(vía SMS). 2.2.5. Phishing 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 14
  15. 15. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Modificación intencionada de un producto de forma que éste puede resultar dañino para el usuario. • Puede ser utilizada para que un equipo realice determinadas acciones, sin conocimiento del fabricante/usuario. • Riesgo acrecentado por tendencia creciente fabricación productos en terceros países. 2.2.6. Tampering 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 15
  16. 16. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Proceso de descifrado de contraseñas. • Puede estar apoyado en ingeniería social (fechas, nombres de familiares, DNI, matrículas, etc.). • Formas más sofisticadas emplean SW/HW capaces de probar miles de passwords por segundo. • Modalidades: • Ataque de fuerza bruta • Ataque de diccionario 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 2.2.7. Password cracking 16
  17. 17. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. 2.3. Operaciones de infección • Se apoyan en SW (malware) que se desarrolla para un fin concreto. • Mercado “negro” o desarrollo propio. • Puede exigir conocimiento elevado del sistema objetivo (malware a medida + medio de introducirlo en el sistema). • Conocimientos técnicos, según modalidad. • Modalidades/técnicas: • Virus • Troyanos • Rootkits • Backdoors • Adware • Ramsomware • Worms • Keyloggers • Dialers • Spyware • BHO malicioso • Watering hole 2. Tipos de operaciones en el ciberespacio 17
  18. 18. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • HW o SW. • Registra pulsaciones en teclado, las memoriza o las envía a través de la red. • Finalidad: captura de información privada para futuras acciones. • Dispositivos HW pueden ser camuflados, pero su detección es posible. • Aplicaciones SW relativamente fáciles de obtener e instalar (troyanos o virus). • Medida: teclados virtuales (pero ya existe contra-contramedida). 2.3.1. Keylogger 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 18
  19. 19. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • SW que permite acceso (oculto) de privilegio continuo al objetivo. • Paso previo: acceso al nivel raíz (vulnerabilidad 0-day, crackeo o ingeniería social). • Una vez instalado, permite que siguiente intrusión “esquive” mecanismos de autenticación y autorización. • Detección y eliminación puede ser muy compleja. 2.2. Operaciones de infección 2. Tipos de operaciones en el ciberespacio 2.3.2. Root kit 19
  20. 20. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Objetivo: organización específica. • Fases: • Observación hábitos del objetivo. • Infección sitio web con malware, aprovechando vulnerabilidad. • Infección miembro organización. • Extensión contagio a través red corporativa. 2.2. Operaciones de infección 2. Tipos de operaciones en el ciberespacio 2.3.3. Watering hole 20
  21. 21. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. 2.2. Operaciones de infección 2. Tipos de operaciones en el ciberespacio 2.3.3. Watering hole 21
  22. 22. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Ataque que persigue la interrupción de un recurso o servicio. • Requiere HW > que objetivo. • Botnet propia / Botnet voluntarios. • Puede causar graves daños (duración). • Conocimientos técnicos ALTOS. • Modalidades: • SYN Flood • ICMP Flood • Smurf • UDP Flood 2.4. Denegación de servicios (DoS) 2. Tipos de operaciones en el ciberespacio 22
  23. 23. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Modificación o borrado de datos. • Desarrollo previo de técnicas que posibiliten acceso a los datos objetivo. • Apoyo de ingeniería social. • Conocimientos técnicos MEDIOS/ALTOS. • Modalidades: • Modificación (defacement) de sitios web. • Borrado en servidores. • Modificación de e-mails. • Modificación de bases de datos. • Alteración de procesos industriales (SCADA). 2.5. Contra la integridad de los datos 2. Tipos de operaciones en el ciberespacio 23
  24. 24. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Alteración aspecto página web. • Muy empleado por grupos hackivistas. • Apoyo a tradicionales operaciones psicológicas, propaganda o guerra de la información. • Daño a reputación, alteración comunicados oficiales, confusión, desmoralización, efecto sobre opinión pública, etc. • Facilitado por tendencia creciente entre organizaciones a tener “perfil social” (Facebook, Twiter, etc.). 2.5. Contra la integridad de los datos 2. Tipos de operaciones en el ciberespacio 2.5.1. Web defacement 24
  25. 25. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Inteligencia digital • InfiltraciónCompromiso Inicial • Implantación de SW de administración remota. • Acceso sigiloso (puertas traseras y túneles).Punto de apoyo • Adquisición privilegios de administrador local. • Ampliación a cuentas de administrador de dominioEscalada de privilegios • Recopilación de info sobre infraestructura circundante, relaciones de confianza y estructura de dominio.Reconocimiento interno • Ampliación del control a otros elementos de la red. • Recolección de datos de los nuevos elementos.Movimiento lateral • Control continuo sobre los canales de acceso y credenciales adquiridas en los pasos anteriores.Mantenimiento presencia • Exfiltración, DoS o alteración de datos. Cumplimiento misión 3. Esquema ciberataque complejo (1) 25
  26. 26. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Escalada privilegios Movimiento lateral Escaneo elementos y obtención blueprint 3. Esquema ciberataque complejo (2) 26 Acceso a Intranet Blueprint se remite a servidor externo Nuevo virus “a medida” ataca computadoras específicas Virus altera computadoras que controlan máquinas específicasIC comprometida Virus se propaga a través interconexiones con otras ICs Virus altera SW de control de procesos industriales completos Red eléctrica Red de agua Banca y finanzas Suministro combustibles Tráfico Puertos, aeropuertos Comunicaciones MCS etc Colapso de infraestructuras a nivel regional/nacional Envía falsos mensajes “proceso OK”
  27. 27. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Operación Buckshot Yankee (2008) • Red October (2007-14) • Operación Cupcake (2010) • Osetia del Norte (2008) • Stuxnet (2010) 5. Operaciones e incidentes reales 27
  28. 28. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. C y b e r D i s r u p t i o n Buckshot Yankee Red October Operación Cupcake Georgia Stuxnet Inteligencia Digital Infiltración Infección Integridad de los Datos Posibilidaddedetección O p e r a c i o n e s d e A c c e s o DoS C y b e r A t t a c k + - 5. Operaciones e incidentes reales 28
  29. 29. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • “The worst breach of U.S. military computers in history“ (2008) . • Operación defensiva: OBY. • Origen en una memoria USB “abandonada” en un parking. • Virus escaneaba memorias y abría puertas traseras a través de las cuales realizaba exfiltración. • 14 meses para limpiar gusano Agent.btz de las redes militares. • Condujo a creación US CyberCom 5. Operaciones e incidentes reales 5.1 Operación Buckshot Yankee (2008) 29
  30. 30. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Operación todavía activa. Campaña sostenida, con inicio 2007. • Centrada en agencias diplomáticas y gubernamentales e instituciones de todo el mundo. • Malware de diseño propio. • Info robada: archivos con extensiones asociadas a documentación. • Inicio: phishing e-mail. • Código caracteres cirílicos (¿Rusia?). 5. Operaciones e incidentes reales 5.2 Red October (2007-14) 30
  31. 31. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. 5. Operaciones e incidentes reales 5.2 Red October (2007-14) 31
  32. 32. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Ciberoperación gubernamental reconocida oficialmente. • Ejemplo de operación intrusiva no ilegal en el ciberespacio. • Defacement de página web de Al Qaeda por agentes británicos. • Instrucciones para fabricación de bombas fueron sustituidas por recetas para hacer pasteles. 5. Operaciones e incidentes reales 5.3 Operación Cupcake (2010) 32
  33. 33. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Operaciones militares rusas en Osetia del Sur fueron precedidas por ataque DDoS que colapsó y aisló Georgia. • Impidió acción gubernamental, paralizó sistemas financieros y medios comunicación y provocó caos que facilitó acciones militares rusas. • Ataques fueron muy bien coordinados y utilizaron botnets del crimen organizado ruso. 5. Operaciones e incidentes reales 5.4 Osetia del Sur (2008) 33
  34. 34. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • “Arma ciber aterradora que conducirá a una nueva carrera armamentística mundial“ (Kaspersky). • Espía y reprograma sistemas SCADA, ocultando cambios. • Objetivo: sistemas controladores de centrifugadoras planta iraní de enriquecimiento de uranio. • Retrasó 2 años programa nuclear iraní. • Potente equipo y elevada financiación. • ¿EEUU o Israel? 5. Operaciones e incidentes reales 5.5 Stuxnet (2010) 34
  35. 35. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. ATACANTES CAPACIDADES Agencias gubernamentales con potente financiación y personal altamente cualificado (APTs) Modificación SCADAs DDoS. Exfiltración persistente Hijacking Defacement Phishing Pharming Spoofing Robo de credenciales Ingeniería social Cracking básico. Robo de contraseñas Individuos que emplean herramientas básicas, sin elevados conocimientos técnicos ni capacidad de desarrollo de productos (script kiddies) Individuos con conocimientos técnicos avanzados, capaces de desarrollar modificaiones a productos existentes (black hat pro) Grupos de individuos con conocimientos técnicos especializados avanzados, capaces de desarrollar productos propios (crimen organizado, hackivistas). 35 5. Quién es quién en el ciberespacio
  36. 36. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Numerosos actores poseen la capacidad de provocar daño a través del ciberespacio, en un espectro muy amplio. • La ciberdefensa es mucho más compleja que el ciberataque. • La ciberguerra es el paradigma de la guerra asimétrica. • Tecnodependencia = vulnerabilidad. 6. Conclusiones / reflexiones (1) 36
  37. 37. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • La acción ofensiva en el ciberespacio requiere acciones previas “ilegales”. Pero … • El vacío de autoridad favorece al agresor. Además … • Trazabilidad y determinación autoría ciberataque pueden ser muy complejas. 6. Conclusiones / reflexiones (2) 37
  38. 38. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. GRACIAS POR SU ATENCIÓN 38
  39. 39. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Coloquio Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Q9 39
  40. 40. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q1. Obtención de ciberarmas • Herramientas comerciales de doble uso (pentesting). • Exploit 0-day (Deep Web). • Desarrollo propio. • Ensamblaje de desarrollos parciales. 40 AupAtleti Suite profesional para pentesters Sime-one-Group
  41. 41. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Equipo A Equipo B Equipo C Equipo D Exploit Q1. Obtención de ciberarmas 41
  42. 42. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. ¿ Umbral del derecho al uso de la fuerza en autodefensa ? Inteligencia Digital Infiltración Infección Integridad de los Datos Posibilidaddedetección O p e r a c i o n e s d e A c c e s o DoS C y b e r A t t a c k + - Q2. Uso fuerza en autodefensa C y b e r D i s r u p t i o n 42
  43. 43. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q3. Estonia (2007) Estonia Inteligencia Digital Infiltración Infección Integridad de los Datos Posibilidaddedetección O p e r a c i o n e s d e A c c e s o DoS C y b e r A t t a c kC y b e r D i s r u p t i o n + - 43
  44. 44. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Estonia fue objeto de ataque DDoS que colapsó nación durante un mes. • Ataques atravesaron ciberespacio de 170 naciones. • Se atribuye autoría a Rusia. • Grandes discrepancias entre analistas: de simple “ciber-revuelta” a ataque bien coordinado de ciberpatriotas con apoyo gubernamental. • Rusia: grandes trabas a investigación. • NATO CCDCoE (2008). Q3. Estonia (2007) 44
  45. 45. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. O.M. 10/2012 Ámbito de actuación: … redes y sistemas de información y comunicaciones de las FAS, así como de los que específicamente se le encomienden y que afecten a la Defensa Nacional. Mision: … el planeamiento y la ejecución de las acciones relativas a la ciberdefensa militar (…), así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. Q4. MCCD 45
  46. 46. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Carrera Ciberarmamentística Destrucción Mutua Asegurada Q5. Ciberdisuasión 46
  47. 47. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q6. Medidas de protección • Responsables CIS/Ciberdefensa: • Actualizaciones/migraciones AV, SO y SW. • Inventario y revisión periódica. • Contraseñas robustas administradores. • Securización. • Inspecciones y auditorías periódicas • Monitorización/correlación eventos. • Análisis de riesgos. • Tests de penetración. • Análisis forense. • Concienciación/Formación/Adiestramiento (Guías, Cursos, Ejercicios). 47
  48. 48. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q6. Medidas de protección Un sistema es tan robusto como lo es su eslabón más débil Usuario medio (eslabón más débil) El lugar más peligroso del ciberespacio 48
  49. 49. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q6. Medidas de protección • Usuarios: • Cumplimiento políticas/normas: • SW y HW autorizado. • Contraseñas robustas. • Envío y almacenamiento info clasificada. • Navegación responsable. • Informar incidentes. • Precaución uso dispositivos móviles. • Precaución uso redes sociales. • Actitud colaborativa (Ciberdefensa somos todos). 49
  50. 50. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q7. Careto • APT divulgada por Kaspersky (feb 2014). • “Grupo élite de APT”. Kaspersky Lab. • Origen atribuido a agencia gubernamental española (“indicios” en código fuente; mayores efectos coinciden con vectores de interés estratégico de España). • Afectadas agencias diplomáticas y gubernamentales e instituciones de, al menos, 31 paises (exfiltración docs). • Iniciado con phishing e-mail que enlazaba con sitio web infectado. • Explota vulnerabilidad conocida de un producto de Kaspersky. 50
  51. 51. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q8. Amenazas ATACANTES DAÑOS Agencias gubernamentales con potente financiación y personal altamente cualificado (APTs) Modificación SCADAs DDoS. Exfiltración persistente Hijacking Defacement Phishing Pharming Spoofing Robo de credenciales Ingeniería social Cracking básico. Robo de contraseñas Individuos que emplean herramientas básicas, sin elevados conocimientos técnicos ni capacidad de desarrollo de productos (script kiddies) Individuos con conocimientos técnicos avanzados, capaces de desarrollar modificaiones a productos existentes (lack hat Pro) Grupos de individuos con conocimientos técnicos especializados avanzados, capaces de desarrollar productos propios. 51
  52. 52. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. Q9. Planeamiento operativo ciberops Fase 1: Definición de Concepto de Operaciones Fase 2: Definición de Objetivos Fase 3: OPLAN Fase 4: TACPLAN Fase 5: Ejecución Fase 6: Análisis Post-Misión 52
  53. 53. 03-04-2014 OperacionesOfensivasenelCiberespacio.CNEnriqueCubeiro.JefedeOperacionesdelMCCD. • Busca redireccionar el tráfico de un sitio web legítimo a otro malicioso. • Pharming procede de fusión términos farming y phishing. • Modalidades: • Modificación en archivo de hosts del equipo víctima. • Explotación de vulnerabilidad SW del servidor DNS. • Obliga a adopción de medidas caras y sofisticadas (anti-pharming). 2.2.5. Pharming 2.2. Operaciones de infiltración 2. Tipos de operaciones en el ciberespacio 53
  54. 54. CN Enrique Cubeiro Cabello. Jefe de Operaciones del Mando Conjunto de Ciberdefensa Operaciones ofensivas en el ciberespacio 3 de abril de 2014

×