La
buena batalla

En todas nuestras redes se está librando una guerra, y los investigadores de seguridad de todo el mundo están en el frente de batalla. Estos son los entretelones de la historia que cuenta cómo nuestro equipo selecto de investigación sobre seguridad neutralizó una de las mayores amenazas en años.

Por Eric Adams
Fotografía de Kenny Braun

Lo que para el experto en ciberseguridad Matt Olney (ver foto arriba) comenzó como un sábado por la tarde de 2015 cualquiera terminó siendo cualquier cosa excepto un sábado común. Estaba sentado en el sofá de su casa en Maryland con un equipo en su regazo, haciendo lo que más le gusta: atrapar ciberdelincuentes en una guerra interminable entre el bien y el mal.

Olney es uno de los más de 250 miembros de Cisco Talos, nuestro equipo selecto de investigación sobre seguridad que lucha todos los días contra los atacantes para defender las redes del mundo contra las amenazas en constante evolución que representan los ataques cibernéticos maliciosos.

Ese sábado en particular, Olney configuró lo que se llama un honeypot, un servidor aparentemente inocuo diseñado para atraer a potenciales atacantes gracias a contraseñas increíblemente débiles y parches de seguridad desactualizados. Para camuflar aún más su intención, Olney hizo que pareciera que el servidor estaba ubicado en Singapur.

Podría sorprender el hecho de que Olney, como muchos de sus compatriotas de Talos, realmente disfruta de trabajar los fines de semana. “No tiene que ver solo con un sentido de obligación”, aclara Olney. “Sabemos que los delincuentes cibernéticos no se toman tiempo libre, entonces, ¿por qué hacerlo nosotros?”.

Talos analiza aproximadamente 1,5 millones de instancias de malware a diario y ayuda a detener 7,2 billones de ataques al año. Para ello, Talos mantiene la red de detección de amenazas más grande del mundo mediante técnicas de detección y prevención de vanguardia diseñadas para detectar, evaluar y responder a las últimas amenazas en términos de actividades de hacking, intentos de intrusión, malware y vulnerabilidades.

Dentro de Talos, un puñado de equipos estrechamente unidos se centra en diferentes frentes de la lucha. El equipo de Determinación de Alcance busca constantemente amenazas emergentes. Otros equipos reproducen nuevas vulnerabilidades y malware mediante ingeniería inversa, y crean protecciones para nuestros clientes. Otros, incluso, se centran en la difusión, al emitir informes públicos de seguridad y comunicarse directamente con los clientes, los proveedores de TI, los proveedores de servicios y hasta los competidores.

A veces, como Olney, juegan el tradicional juego de “Te pillé” solo por diversión. Olney activó el honeypot y se estiró para tomar un sorbo de su bebida. Casi antes de que volviera a apoyarla, recibió el primer intento.

“Incluso antes de haber configurado por completo el software honeypot, vi el primer intento de inicio de sesión fallido”, cuenta Olney.

En otras palabras, los atacantes cibernéticos ya se estaban entreteniendo con las defensas del honeypot mediante un rápido intento de infiltración e infección. El arma de los atacantes era un ataque de fuerza bruta, que equivale a intentar un aluvión de contraseñas conocidas o comunes en forma rápida y sucesiva con la esperanza de obtener acceso. “Fue sorprendentemente rápido”, comenta Olney.

Con un pez en el anzuelo, rápidamente configuró más honeypots en una docena de redes independientes en diferentes continentes, solo por si acaso podía captar más ataques y apuntar hacia los delincuentes involucrados. Sería imposible asociarlos entre sí. “De manera sistemática, configuramos honeypots pretendiendo ser sistemas industriales de control, servidores web, servidores Elasticsearch, servidores de telefonía IP, incluso bombas de gas”, explica Olney.

“A estos honeypots no circula tráfico legítimo, por lo que el único tráfico proviene de los atacantes. Honestamente, fue el atraco a plena luz del día más flagrante jamás visto”.

Craig Williams
Jefe de Determinación de Alcance en Inteligencia de Amenazas

Detectives digitales

Ahora comenzaba el verdadero trabajo de detective. Como los honeypots de Olney registraron subrepticiamente cada intento de inicio de sesión fallido, los analistas de Talos pudieron corresponder los intentos con “diccionarios” de contraseñas conocidas, bases de datos de más de 450.000 contraseñas intercambiadas con frecuencia en línea entre los piratas cibernéticos.

El equipo de Inteligencia de Amenazas asumió la tarea de analizar los patrones de tráfico. El equipo de Investigación para Detección reprodujo el código del troyano DDOS de la amenaza mediante ingeniería inversa. Un equipo de analistas de datos de Talos descubrió más pistas que podían ayudar a apuntar hacia los atacantes.

“Nuestros científicos de datos son expertos en extraer matices de los datos. Tienen el rigor matemático de entender la teoría de conjuntos y los algoritmos de agrupamiento para determinar con fiabilidad el quién, el qué y el dónde de un ataque”, dice Matt Watchinski, veterano y director principal de investigación sobre seguridad que lidera Talos desde Columbia, Maryland.

Trabajando en forma conjunta, los equipos de Talos identificaron el origen de los ataques: solos dos redes en Hong Kong. Después de probar rápidamente algunos nombres pintorescos, los miembros de Talos apodaron a los atacantes SSHPsychos.

Enseguida, el equipo supo que SSHPsychos no era una operación simple. Talos y otros expertos en seguridad estimaron que configurar la infraestructura de SSHPsychos solamente debía costar más de USD 100.000, sin mencionar los gastos operativos corrientes. “No creerían la complejidad de algunos de los equipos que vimos hoy”, expresa Williams.

“Nuestros científicos de datos son expertos en extraer matices de los datos. Tienen el rigor matemático de entender la teoría de conjuntos y los algoritmos de agrupamiento para determinar con fiabilidad el quién, el qué y el dónde de un ataque”.

Matt Watchinski
Director principal de Cisco Talos

El gato y el ratón

Una vez localizados los atacantes SSHPsychos, era hora de ir tras ellos.

Talos estaba listo. Y no lo hizo solo. Talos ha desarrollado relaciones de confianza en la comunidad de ciberseguridad, una de las cuales resultó ser vital en el esfuerzo de neutralizar SSHPsychos.

Olney y el equipo compartieron sigilosamente lo que habían descubierto con colegas de investigación sobre amenazas de Level 3 Communications en Broomfield, Colorado, un proveedor de telecomunicaciones multinacionales que ayuda a formar la infraestructura “troncal” global de Internet.

“Colaboramos con Cisco Talos para mitigar las amenazas en nuestra red y en las redes de nuestros clientes. Trabajamos juntos para crear una mayor comprensión de los malhechores que permita socavar el éxito de sus operaciones”, declara Mike Benjamin del Laboratorio de Investigación de Amenazas de Level 3.

Los profesionales de Level 3 comprendieron rápidamente el alcance de la amenaza y se pusieron manos a la obra de inmediato. Conforme al protocolo del cliente que sigue, Level 3 no pudo simplemente colocar el sitio en una lista negra, independientemente del tráfico que este estaba generando. En cambio, alertó a China Telecom acerca de la actividad ilícita de su red.

Como la investigación se expandió rápidamente, de algún modo, los atacantes se enteraron. Casi al instante, SSHPsychos hizo silencio y, por primera vez, para Talos fue imposible seguirle la pista.

Un día, estos atacantes generan la tercera parte de la actividad SSH del mundo. Al día siguiente, desaparecen. Y esta, quizá, era la oportunidad de detenerlos.

“Nuestro trabajo en Talos es reunir a las personas y asegurarnos de que estén bien informadas a medida que las amenazas evolucionan. Estamos todos juntos en esto”.

Joel Esler
Jefe de Inteligencia de Amenazas
de Cisco Talos

Esler cumple varias funciones en Talos. Además de trabajar con las autoridades encargadas del orden público, también dirige un equipo que administra diversas comunidades de seguridad de código abierto incluido Snort, el sistema de detección de intrusiones reconocido universalmente que creó Martin Roesch, quien luego fundó Sourcefire. Cuando Sourcefire se unió a Cisco en 2013, Snort vino incluido. El equipo de Esler también administra TalosIntel.com, donde Talos comparte información con el público.

“Nuestro trabajo en Talos es reunir a las personas y asegurarnos de que estén bien informadas a medida que las amenazas evolucionan”, afirma Esler. “Estamos todos juntos en esto”.

Talos y Level 3 estaban listos para ir tras los atacantes nuevamente. Esta vez, no fueron tan amables.

El 7 de abril de 2015, Level 3 tomó la medida sin precedente de filtrar (blackholing), o bloquear, todo el tráfico de SSHPsychos en sus redes globales. También se comunicaron con otros proveedores de Internet y los exhortaron a hacer lo mismo.