Indagan canales para dar con ciberataques

Las técnicas que ahora utilizan los cibercriminales para cometer ilícitos hacen más difícil su localización, pasan desapercibidos al plantar información falsa de fechas y horarios, utilizan cadenas de código en varios idiomas y operan bajo la cubierta de grupos inexistentes.

La empresa de seguridad Kaspersky Lab señaló que los investigadores Brian Bartholomew y Juan Andrés revelaron en un estudio que los creadores de las amenazas más avanzadas utilizan las denominadas operaciones de banderas falsas (False Flags) para engañar; no obstante, sí es posible dar con el origen del ataque.

"Hay una necesidad global de conocer a los principales depredadores en el ecosistema del malware y de proporcionar inteligencia sólida y viable a las organizaciones que la deseen; ese debe ser nuestro enfoque", dijo Brian Bartholomew.

Para dar una posible respuesta sobre de dónde provienen los ataques, los investigadores utilizan diferentes técnicas como los marcadores de tiempo, que indica cuando los fueron compilados los archivos del malware.

Agregó que con las muestras relacionadas se podrían determinar las horas de trabajo de los desarrolladores, y sugerirían un huso horario general para sus operaciones. Aunque estas marcas pueden ser alteradas con facilidad.

Manipulación de marcadores

El idioma es una de las pistas para revelar el origen, por medio del dominio del lenguaje al crear un correo electrónico de un phishing. Las rutas de depuración también pueden revelar un nombre de usuario, así como las convenciones de nombres internos para proyectos o campañas.

Los documentos de phishing pueden estar repletos de metadatos que guardan una información de estado que apunta a la computadora real del autor. No obstante, los agentes de amenazas pueden manipular fácilmente los marcadores de idioma para confundir a los investigadores.

Detalló que se puede buscar el domicilio virtual de los malhechores al indagar los verdaderos servidores de comando y control (C&C). Esta infraestructura puede ser costosa y difícil de mantener, por ello, hasta los atacantes que disponen de buenos recursos tienden a reutilizar una infraestructura C&C o dephishing.

Las conexiones secundarias o de backend pueden dar una idea de la identidad de los atacantes, si éstas no logran el anonimato adecuado en las conexiones a Internet al acumular datos de un servidor de correo electrónico o de exfiltración, preparar a un servidor intermediario o de phishing o al verificar a un servidor pirateado.

Los objetivos de los atacantes también son potencialmente reveladores, pero establecer la conexión correcta requiere la interpretación y análisis de expertos, ya que pueden pasar desapercibidos al simular estar dentro de una organización hacktivista o simplemente cubrirse al tratar de incriminarlos, concluyó.

DN/I