El especialista en seguridad Lorenzo Martinez, actual editor de SecurityByDefault y CTO de SecurizaMe expuso su charla “Cooking an APT in paranoid way” (Cocinando un APT de forma paranoica). Como bien sabemos, las APT o Advanced Persistent Threats, son un tipo de amenaza persistente avanzada que infecta a una víctima. Si bien ya comenzamos a ver algunas buenas prácticas para protegernos de estas, en esta charla lo que el especialista transmitió es la forma de pensar de un cibercriminal a la hora de crear este tipo de códigos maliciosos, persiguiendo un objetivo: infectar y no ser rastreado.
De acuerdo a Lorenzo, este trabajo comenzó cuando fue contratado por una empresa para llevar a cabo una actividad de auditoria de seguridad. A partir de su propia experiencia, el orador decidió darle su propio significado a las siglas con “A Pwnearlo Todo”, en el marco de buen humor y distención que generó a lo largo de la charla.
En el proceso de las APT, Martinez definió una cierta planificación para lograr mayor impacto en su o sus víctimas. Estos puntos a tener en cuenta son:
- Objetivo y perfil: aquí se establece el objetivo al hacer el test de intrusión y qué perfil se va adoptar como atacante.
- Punto de entrada
- Perfil con historia creíble: Es fundamental crear no solo el perfil psicológico, sino también el pasado de este perfil que se adopta, para que el personaje sea más creíble.
- Correo electrónico: El uso de correo electrónico juega un rol elemental ya que es usado como vía de comunicación directa con su objetivo. Direcciones de correo de servicios como HushMail (Servicio de correo que vela por la privacidad) por ejemplo podría despertar sospechas, por eso recomienda usar servicios como Outlook o Gmail que son más genéricos.
- Vida en redes sociales: Teniendo en cuenta que en la actualidad la gran mayoría de las personas hacen uso de las redes sociales, es fundamental contar con un perfil en ellas que siga con la misma línea del personaje ficticio que se crea para afectar a las victimas.
- Web personal con venenos: Por último también es importante contar con el sitio web personal con sus “venenos” como lo definió el orador, para poder hacer desde recolección de información hasta el compromiso de un sistema.
En el ejemplo que mostró en su charla, se pudo ver cómo haciendo diversos usos de servicios de VPN y hosting gratuitos, logró crear un sitio clonado al de interés de su víctima, al cual fueron agregados scripts en PHP con el fin de obtener información de su víctima, tales como dirección IP, el User-Agent (muestra información del navegador) entre otros datos. Esto le permite al atacante tener mejor foco sobre qué fallas explotar y cómo realizar los ataques.
Un detalle no menor que se puso en cuestión fueron los factores como el horario, por ejemplo en horarios laborales y demás. Un ejemplo claro fue que, en el rango horario entre las 8 a 15 horas aproximadamente, el atacante tiene más probabilidades que su víctima acceda desde su equipo corporativo; mientras que de 15 horas en adelante existe muchas más posibilidades que acceda desde el dispositivo móvil. Esto quiere decir que, de acuerdo al horario, la estrategia del ataque estará pensada para un equipo corporativo o para un dispositivo móvil.
Mantener un perfil normal creado con este personaje ficticio, estableciendo contacto con personas de ambos sexos en las redes sociales, tips sobre cómo escribir acorde a la edad que tiene el personaje en cuestión, establecer una relación de confianza con el objetivo, técnicas como Google Hacking (donde se recolecta información completamente pública), harán que las probabilidades de éxito en el ataque sean aún mayores.
Otras formas que también se mostraron en la charla es el uso de servicio de telefonía, donde estos cuenta con funcionalidades como el cambio de voz en tiempo real; es decir que mientras el atacante habla a su víctima, la persona que está del otro lado en realidad podría estar escuchando una voz femenina.
A lo largo de esta charla entre chistes y risas, se mostró claramente cómo un cibercriminal puede crear este tipo de perfiles psicológicos, llevando a cabo todo tipo de tareas para no ser rastreado, o al menos dificultarlo de la mayor forma posible. La conclusión final fue que existen diferentes herramientas de las cuales un atacante puede valerse para llevar adelante un APT, por lo que es importante tomar todas las medidas de precaución necesarias para no ser víctima de este tipo de ataques.