The Shadow Brokers

Lectura en audio de esta entrada.

Antecedentes y contexto

El contexto institucional dentro del cual surgió la divulgación de Shadow Brokers fue el entorno posterior a 2014, en el que las principales divulgaciones de herramientas cibernéticas se habían convertido en un patrón institucional recurrente. El patrón anterior a lo largo de 2010-16 incluía la investigación institucional de Kaspersky Lab que documentaba al Equation Group la cohorte atribuida a NSA que operaba el principal inventario de armas cibernáticas operativas entonces conocido; las revelaciones de Snowden de 2013 sobre la arquitectura operativa SIGINT; y la violación de Hacking Team de 2015, que publicó el inventario del cliente y la herramienta del proveedor de software de espionaje comercial italiano.

El material revelado consistía en herramientas de trabajo que la parte divulgadora había obtenido de la infraestructura institucional de NSA y estaba poniendo a disposición del público. La consecuencia operativa fue que la cohorte más amplia de delincuentes y actores estatales obtuvo acceso a las principales armas cibernéticas institucionales para las que la comunidad de defensa informática más amplia no tenía preparación previa.[1]

Las liberaciones de la divulgación

La divulgación de Shadow Brokers procedió a través de cinco publicaciones principales entre agosto de 2016 y abril de 2017.

El primero, el 13 de agosto de 2016, fue un anuncio de subasta pública en Twitter y Pastebin. El caché de muestra gratuita que lo acompañaba incluía exploits de trabajo contra firewalls Cisco ASA (EXTRABACON, EPICBANANA, BENIGNCERTAIN), herramientas de cortafuegos Juniper y herramienta operativas adicionales de Linux y Windows. Cisco confirmó el estado genuino de día cero del exploit EXTRAbaCON contra los firewall de CiscoASA y emitió avisos de seguridad de emergencia. El cache restante fue anunciado como disponible para el mejor postor.

El segundo, el 8 de abril de 2017, publicó la contraseña del archivo de subasta previamente encriptado, descifrando herramientas Linux / Unix y material operativo que estableció la procedencia NSA genuina de la caché.

El tercero, el 14 de abril de 2017, fue el más consecuente: publicó las principales herramientas de explotación de la plataforma Windows y la documentación operativa más amplia que las acompaña.

Los lanzamientos subsiguientes más pequeños continuaron durante el resto de 2017. [1]

Herramientas reveladas y respuesta de Microsoft

La versión de abril de 2017 publicó el principal conjunto de herramientas de explotación de Windows NSA.

• ETERNALBLUEherramienta de explotación contra el protocolo Microsoft Server Message Block versión 1 en Windows. Parcheado por Microsoft el 14 de marzo de 2017 en la actualización de seguridad MS17-010 aproximadamente un mes antes del lanzamiento público. Comentarios académicos y periodísticos posteriores sugieren que Microsoft tenía notificación anticipada de la divulgación inminente. -DOUBLEPULSAR Implante de puerta trasera de la plataforma de Windows emparejado con ETERNAL BLUE.

La respuesta institucional más inmediata fue la de Microsoft. La actualización de seguridad MS17-010 del 14 de marzo de 2017 emitida fuera de la banda fue seguida el 13 de mayo de 2017 por actualizaciones de emergencia adicionales extendidas a los sistemas Windows al final de su vida útil (Windows XP, Windows 8, Windows Server 2003) que normalmente no habrían recibido actualizations de seguridad.

WannaCry 12 de mayo de 2017

El ataque de ransomware WannaCry del 12 de mayo de 2017 atribuido por el Departamento de Justicia de los Estados Unidos en la denuncia penal sin sellar del 6 de septiembre de 2018 contra Park Jin Hyok al Grupo Lazarus de Corea del Norte utilizó la cadena ETERNALBLUE-DOUBLEPULSAR como su vector de propagación. El malware era un ransomware de autopropagación que encriptaba sistemas Windows específicos y exigía el pago de Bitcoin para el descifrado.

Las consecuencias operativas del 12 al 15 de mayo de 2017 alcanzaron aproximadamente 200,000 sistemas Windows en 150 países. El impacto institucional más significativo fue la interrupción del Servicio Nacional de Salud del Reino Unido: al menos 81 de los 236 fideicomisos del NHS se vieron afectados operacionalmente, lo que obligó a la cancelación de aproximadamente 19,000 citas médicas programadas. Otras instituciones importantes afectadas incluyeron Telefónica (España), Deutsche Bahn, infraestructura de transporte ferroviario, el Ministerio del Interior ruso, la fabricación automotriz Renault, FedEx e Hitachi.

El investigador británico de ciberseguridad Marcus Hutchins, examinando el comportamiento de la red del malware, identificó que WannaCry consultaba un dominio de cadena larga codificado antes de iniciar las operaciones de encriptación y registró el dominio el 12 de mayo de 2017 produciendo un alto efectivo a la propagación rápida adicional a través de la base instalada de Windows más amplia.[1]

NotPetya 27 de junio de 2017

El ataque de NotPetya del 27 de junio de 2017 atribuido por el Departamento de Justicia de los Estados Unidos en la acusación del 19 de octubre de 2020 de los oficiales de GRU a la Unidad 74455 de la unidad rusa GRU, el equipo Sandworm utilizó la cadena ETERNALBLUE-DOUBLEPULSAR junto con mecanismos de persistencia adicionales de la plataforma Windows.

La sustancia institucional definidora de NotPetya fue que el ataque fue destructivo en lugar de motivado financieramente. La demanda de rescate de estilo ransomware mostrada era funcionalmente no recuperable: las claves de encriptación no se retuvieron, lo que significa que el material encriptado no podía descifrarse independientemente del pago.

Las consecuencias operativas entre junio y julio de 2017 incluyeron daños documentados en Maersk (aproximadamente $ 300 millones), Merck (aproximablemente $ 870 millones), la subsidiaria de FedEx TNT Express (approximativamente $ 400 millones), Mondelez International (proximamente $ 100 millones) y la infraestructura del gobierno ucraniano el objetivo operativo principal. Los daños totales documentados excedieron los $ 10 mil millones, el evento de ataque cibernético más costoso en el registro público. [1] [2] [3]

Atribución de los corredores en la sombra

La identidad de la entidad misma ha sido objeto de importantes informes de investigación posteriores y comentarios institucionales.

La primera, y más sustancialmente apoyada, son los servicios de inteligencia rusos. La hipótesis se basa en el análisis de la artesanía operativa de los comunicados de divulgación, las características de las comunicaciones de revelación en inglés y el posterior expediente institucional de la investigación FBI.

El segundo es el compromiso de información privilegiada. El caso principal es el del contratista de NSA, Hal Martin, arrestado en 2016 y posteriormente condenado por la extensa eliminación indebida de material clasificado de la infraestructura institucional de NSA a lo largo del período 1996-2016. Si el caso Martin está conectado a la divulgación de Shadow Brokers sigue sin resolverse en el registro institucional público.

El tercero es un patrón de combinación la hipótesis de que la divulgación involucró múltiples fuentes combinadas.

La posición institucional posterior establecida es que la cuestión de la atribución sigue sin resolverse en el registro institucional público. [1] [2] [3]

Respuesta institucional y reforma

La respuesta institucional a lo largo del período posterior a 2017 ha incluido tres ejes principales.

La primera es la reforma de la administración Trump del Proceso de Valores de Vulnerabilidad el proceso institucional para equilibrar el interés operativo ofensivo del gobierno en retener el conocimiento de las vulnerabilidades no parcheadas contra el interés defensivo más amplio en revelar esas vulnerabilidades al proveedor relevante para el desarrollo de parches.

El segundo es el cambio en el panorama de la ciberdefensa, con una disciplina de gestión de parches sustancialmente desarrollada en las principales cohortes institucionales. El caso NotPetya se ha convertido en la referencia institucional definidora de cómo las principales instituciones del sector privado pueden protegerse contra el ataque cibernético del actor estatal.

La tercera es el comentario institucional más amplio sobre la política cibernética la cuestión no resuelta de cómo el posicionamiento del inventario de herramientas ciberneticas del gobierno debe equilibrarse con la postura más amplia de defensa informática. La reforma del Proceso de Valores de Vulnerabilidad es una respuesta institucional a la pregunta; la pregunta más amplia en sí misma permanece sin resolver en el registro público.

El legado y las implicaciones

Las consecuencias institucionales de la divulgación de Shadow Brokers en el período posterior a 2017 han sido sustanciales.

La consecuencia operativa ha sido el cambio institucional significativo en el panorama de la defensa cibernética la disciplina desarrollada de gestión de parches, el patrón institucional desarrollado de administración de vulnerabilidades y la ampliación de la participación pública en cuestiones de seguridad informática. El caso NotPetya en particular se ha convertido en la referencia definidora para la cuestión institucional de cómo las principales cohortes del sector privado pueden defenderse de los patrones de ataques cibernáticos de actores estatales.

La consecuencia política ha sido la reforma institucional del Proceso de Valores de Vulnerabilidad del gobierno. La posición institucional que surgió es que el interés ofensivo del gobierno en retener el conocimiento de las vulnerabilidades no parcheadas debe equilibrarse con el interés defensivo en la divulgación.

La pregunta institucional continua cómo se debe equilibrar el posicionamiento del inventario de herramientas cibernéticas del gobierno con la postura de defensa cibernática más amplia sigue siendo un hilo continuo en la literatura de ciberpolítica posterior a 2017. El Proceso de Equidades de Vulnerabilidad es una respuesta institucional; la pregunta más amplia no se ha resuelto en el registro público.

Agencias relacionadas

• Agencia de Seguridad Nacional{/united-states/nsa} la fuente institucional del inventario de herramientas cibernéticas divulgadas - Oficina Federal de Investigaciones}/unidos-estados/fbi) el principal organismo de investigación en la cuestión de la atribución de fuentes

Fuentes y lecturas adicionales

El registro, 16 de agosto de 2016 cobertura temprana de la revelación inicial de los corredores de sombras. La historia, 14 de abril de 2016, Cobertura inicial de la divulgación inicial de Shadow Brokers El registro de la historia, 16 d'agosto de 2016 La principal cobertura de la primera revelación de los Corredores del sombras <li><li></li> </li> <u><u></u> </u> <o><o></o> <a><a> <p><br><b></b> <br></p> <b><i></i> <h></h> </h> <i><l><p></l> </i> </o> </p> </ul> <span></div> <strong><strong></strong> <ul><small> <em><span style="font-family: src;"><li /> El principal responsable de los ataques cibernéticos de la Era de los Cibercriminos ha sido el cibercriminalista y el principal contractor de la Guerra Cibernética.