Análisis del actor de amenazas APT34: origen, trayectoria y posibilidades de futuro - Part 3
¡Hola!
Hoy os traemos la tercera y última parte de una investigación sobre el actor de amenazas “APT34”. En ella, se procederán a examinar las vinculaciones que se han observado con otros actores de amenazas y la enemistad manifiesta con ciertos grupos que han tratado de socavar su actividad en el ciberespacio, así como las conclusiones y consideraciones finales que se derivan del análisis precedente.
De manera concreta, destaca la capacidad de este actor de amenazas para hacer frente a las adversidades, su habilidad para reinventarse y continuar efectuando acciones relevantes en el ámbito ciberespacial. También se estudia, en tal sentido, la expansión geográfica que ha experimentado este actor a lo largo del tiempo y su innata convergencia con las necesidades estratégicas del gobierno que presuntamente les avala.
¿Queréis saber más? ¡Os dejamos con el desenlace de la investigación!
Vinculación con otros actores de ciberamenazas
Como se ha podido observar anteriormente, APT34 no ha actuado siempre en solitario, sino que en contadas ocasiones ha utilizado el código desarrollado por otros grupos o ha llevado a cabo un determinado ciberataque de manera conjunta o coordinada a la actividad de otros actores, como ocurrió con la campaña de distribución de la herramienta ISMDoor atribuida al grupo de actores GreenBug, cuya actividad fue vinculada a APT34, al menos en cierta medida; o con la campaña Fox Kitten, en la que tanto APT34 como APT33 habían aunado sus esfuerzos para efectuar una extensa y profunda labor de ciberespionaje. Esta convergencia se produce mayoritariamente cuando el alcance de una campaña o las pretensiones que se procuran lograr al ejecutarla revisten mayor envergadura y los requisitos técnicos y materiales que se precisan para llevarla a cabo son notables, de manera que un solo grupo no tiene la capacidad operativa o los recursos necesarios para desempeñarla en solitario. Esta razón, unida a la circunstancia de que, en ciertos momentos o circunstancias, determinados estados avalan la actividad de estos grupos y suscitan la aparición de nuevos actores que acierten a promover sus intereses, propicia que ocasionalmente varios grupos de cibercriminales de similares características aúnen sus esfuerzos en pos de un objetivo mayor.
En otros casos, los actores de amenazas deben lidiar con la actividad de otros grupos con cuyos intereses colisionan, especialmente cuando están patrocinados por estados contrarios u operan en un mismo escenario de operaciones y tratan de ocupar un lugar hegemónico en la región, bien sea por razones de ciberespionaje, por razones de obtención de un determinado beneficio económico o para evitar su detección, entre otros. En relación con esto último, en ocasiones surgen grupos oportunistas que tratan de atacar a otros actores para robar información sobre sus objetivos y reutilizar su arsenal de herramientas, de manera que al obtener el código y, en general, las Tácticas, Técnicas y Procedimientos (TTPs) empleadas por otros grupos, el actor oportunista no necesita emplear demasiados recursos en el desarrollo de herramientas propias, si bien estas actividades también pueden ser llevadas a cabo por grupos de actores con una larga trayectoria criminal. Una de las razones más frecuentes que explican esta situación es que, al asumir parte de esas Tácticas, Técnicas y Procedimientos, se facilita la ejecución de ataques de falsa bandera, de manera que el grupo que haya llevado a cabo una operación o campaña en concreto podría llegar a engañar a los investigadores para que atribuyan sus actividades al actor al que robaron herramientas o información previamente, pues es a éste al que se normalmente se atribuiría la infraestructura y herramientas utilizados al haberse identificado como características intrínsecas suyas. De esta forma, se pueden enmascarar las acciones ejecutadas por el actor oportunista, lo que le permitiría evadir su detección en las investigaciones que pudiesen tener lugar.
De acuerdo con lo expresado anteriormente, cabe señalar dos acontecimientos que han afectado a las actividades de APT34 y que pueden haber propiciado que la atribución de determinadas campañas no sea del todo fiable:
- Filtración en Telegram de herramientas utilizadas por APT34
Durante el mes de abril del año 2019 tuvo lugar un acontecimiento que involucra directamente a APT34 e influyó en la constante renovación del arsenal de herramientas empleado por el grupo. Un individuo que responde al pseudónimo “Lab Dookhtegan” filtró a través de Telegram las herramientas desarrolladas y utilizadas por APT34, haciendo público un amplio conocimiento acerca de sus tácticas, técnicas y procedimientos.
En el canal de Telegram descubierto se filtraron, entre otros, el código de una versión antigua y otra más reciente de la herramienta BONDUPDATER, también conocidas como PoisonFrog y Glimpse respectivamente; TwoFace, también conocida como HyperShell; HighShell, otra webshell; Fox Panel, un kit de phishing; y Webmask, la herramienta principal de túnel DNS de DNSpionage. Adicionalmente, se expusieron datos acerca de sesenta y seis de las víctimas a las que se había dirigido en el pasado APT34, recopilados de los servidores de comando y control del grupo. La mayor parte de los datos expuestos hicieron referencia a entidades gubernamentales y privadas provenientes de Oriente Medio, si bien en otros casos provenían de África, Asia oriental y Europa. Además, entre los datos filtrados se encontraban nombres de usuario, contraseñas, información de servidores de red internos y direcciones IP de usuarios, así como dominios, direcciones IP y otros datos operacionales utilizados por APT34 durante el transcurso de distintas campañas.
Por otro lado, Lab Dookhtegan también expuso información de ciertos oficiales del Ministerio de Inteligencia y Seguridad iraní (MOIS) presuntamente vinculados a la actividad de APT34, dando a conocer su identidad, roles, imágenes, números de teléfono, direcciones de correo electrónico y perfiles en redes sociales.
Los investigadores desarrollaron multitud de teorías que trataban de explicar las circunstancias de la filtración. Algunas de las hipótesis más aclamadas versaron acerca de la posibilidad de que se tratase de una operación ofensiva proveniente de la contrainteligencia iraní, mientras que otras indicaron que podía tratarse de una operación de inteligencia extranjera, con Estados Unidos o Israel como actores más probables. También se valoró la posibilidad de que se tratase de una disputa entre el Ministerio de Inteligencia y Seguridad iraní y el Cuerpo de la Guardia Revolucionaria Islámica (IRGC). Como se puede observar, todas las teorías convergen en que, si bien la información analizada parece ser legítima, el autor no parece una persona aleatoria de la red, sino un actor estatal extranjero o iraní.
- Robo de herramientas de APT34 efectuado por el actor Turla
Durante el mes de octubre del año 2019 se descubrió que el actor de amenazas Turla, procedente de Rusia y también conocido como Snake, Waterbug, Venomous Bear y Uroburos, entre otros alias, había obtenido acceso a la infraestructura de APT34 con la finalidad de robar herramientas e información sobre los objetivos y campañas ejecutadas por este grupo de actores. De esta manera, Turla obtuvo el código de Neuron y Nautilus, dos herramientas de APT34 diseñadas para operar en servidores de correo y web de entornos Windows y proporcionar a los atacantes acceso persistente y capacidades operacionales en la red objetivo. Turla también obtuvo información relacionada con las credenciales de acceso de las organizaciones comprometidas por APT34, la mayoría provenientes del gobierno y los sectores militares y energéticos de países de Oriente Medio, gracias a las cuales podría introducirse en sus sistemas.
El acceso a la información y a las herramientas empleadas por APT34 permitió a Turla operar con mayor profundidad en los países de Oriente Medio gracias a la experiencia y la pericia de APT34 en este escenario. Además, ha implicado que las tareas de atribución de los ciberataques por los investigadores de seguridad resulten más difíciles de lograr, dado que Turla ha comenzado a emplear en sus campañas parte de las tácticas, técnicas y procedimientos de APT34, circunstancia que puede derivar en ataques de falsa bandera o mal atribuidos. No obstante, para llevar a cabo los ciberataques sobre las organizaciones objetivo de APT34, Turla ha utilizado hasta el momento las herramientas que había robado al grupo en adición a su propio arsenal, es decir, desplegaba Neuron y Nautilus junto a una herramienta de desarrollo y uso exclusivo, debido a lo cual se le asignó su mismo nombre, Turla. Por tanto, el análisis de la infraestructura del actor de amenazas y la existencia en los sistemas objetivo de la herramienta de malware intrínseca a Turla permitieron, no sin dificultades, la atribución de los últimos ciberataques en los que se utilizaba Neuron y Nautilus a este grupo de cibercriminales.
Conclusiones y consideraciones finales
No se puede concluir la presente investigación sin hacer referencia a un hecho, y es que APT34 lleva operando en el ciberespacio al menos durante los últimos ocho años, periodo durante el cual ha focalizado sus actividades contra enemigos del entorno más cercano e inmediato de Irán, tales como Oriente Medio e Israel. Sin embargo, una vez más, la geopolítica y la ciberseguridad convergen e influyen la una sobre la otra. Es por ello por lo que los actores de ciberamenazas que son patrocinados por el estado o nación desde el que operan varían sus objetivos, metodologías e incluso las finalidades de las campañas que emprenden en función de las necesidades del gobierno al que responden. A consecuencia de este hecho, APT34 ha expandido su actividad a estados extranjeros contrarios a los intereses de Irán como de hecho ha ocurrido con Estados Unidos, nación con la que todavía no ha resuelto una pugna que resulta del todo evidente. En este sentido, la trayectoria de APT34 muestra como el contexto geopolítico global puede incidir sobre las operaciones que efectúan los actores de amenazas en el ciberespacio, ya que en escenarios de guerra híbrida o, en cualquier caso, de presencia de conflictos en zona gris, dichos actores pueden modificar sustancialmente su escenario de operaciones y dirigirse a países enemigos a los que el estado no puede dirigirse directamente sin esperar represalias o sanciones internacionales. Esto ha ocurrido de hecho con la tríada Irán, APT34 y Estados Unidos, pues generalmente APT34 se dirige a países contrarios pero próximos a Irán, dentro de Oriente Medio, coincidiendo cronológicamente la incorporación de Estados Unidos como uno de sus adversarios con el momento en el que el gobierno de Estados Unidos acabó con la vida de Qasem Soleimani en la ciudad de Bagdad, dos años después de que comenzase una significativa escalada en el conflicto tras la decisión de Donald Trump de quebrantar el acuerdo nuclear acordado en 2019 y después de que se produjese una nueva oleada de sanciones contra la nación.
No obstante, este actor de amenazas, a diferencia de otros, no ha disminuido su actividad contra sus objetivos tradicionales ni ha modificado la finalidad de sus campañas, el ciberespionaje, sino que con el tiempo ha ido incorporando a su listado de objetivos aquellos sectores o ámbitos geográficos de interés para las entidades gubernamentales a las que proporcione soporte, que a su vez suministran a APT34 mayor capacidad de influencia en el ciberespacio. Por este mismo motivo no es de extrañar que actores de amenazas extranjeros como Lab Dookhtegan y Turla tratasen de socavar su actividad, lo que inevitablemente ha influido en la diversificación y amplificación de su arsenal de herramientas, con el que se pretende proporcionar continuidad al grupo y evadir la detección por parte de investigadores y soluciones de seguridad.
APT34 deja entrever la magnitud y sofisticación del arsenal de herramientas que poseen los actores de amenazas avanzados, así como la amplitud de Tácticas, Técnicas y Procedimientos que utilizan para desarrollar campañas de ciberataques de gran envergadura y alcance. Esta circunstancia refuerza la teoría que indica que, de manera general, los actores de amenazas persiguen objetivos que ayudan a los intereses gubernamentales de las naciones de las que emanan, pues para alcanzar tal dimensión resulta preciso contar con multitud de recursos a los que muy difícilmente podría tener acceso un actor particular solitario.
Con una elevada probabilidad, teniendo en cuenta la trayectoria del actor de amenazas APT34, este grupo continuará en activo durante prolongados periodos de tiempo, pues ha mostrado en distintos momentos su capacidad de confrontar adversidades como la filtración de buena parte de su capacidad operativa, teniendo que reinventarse para poder continuar operando y siendo relevante en el ámbito de las ciberamenazas. Además, resulta altamente probable que continúe inmiscuyéndose a medio y largo plazo en la actividad de organizaciones del sector gubernamental, de telecomunicaciones, o relacionadas con infraestructuras críticas dentro de países de Oriente Medio, aunque eventualmente podría trasladar su escenario de operaciones a otros ámbitos en función de las necesidades de información estratégicas de Irán, con cuyos intereses se encontrará alineado en cualquier caso.