Mire más allá de los &#395 grandes&#39 en ciberataques



No disregard las operaciones cibernéticas fuera de los intereses de EE. UU. Y Europa, dice el investigador. Podemos aprender mucho de los métodos utilizados por los atacantes que no se encuentran entre los sospechosos habituales.

Los investigadores de ciberseguridad occidentales deberían seguir más de cerca las operaciones cibernéticas asociadas con los conflictos locales del mundo genuine en regiones que tienden a no generar atención en los EE. UU. Y Europa para prepararse mejor para futuros ataques, dijo un investigador de seguridad de la firma de inteligencia de amenazas DomainTools el noviembre. 25.

En un análisis público, Joe Slowik, investigador de seguridad senior de la empresa, rastreó documentos con enlaces y códigos maliciosos que apuntaban a los participantes en el conflicto de dos meses entre Azerbaiyán y Armenia. Un solo documento llevó a otros, así como a una red de dominios asociados y direcciones de correo electrónico, lo que demuestra que el conflicto regional había generado operaciones cibernéticas dirigidas a grupos dentro de esos dos países.

Si bien algunos investigadores de ciberseguridad han atribuido los ataques a un actor de amenazas conocido como Cloud Atlas, que se ha relacionado con la inteligencia rusa, el grupo podría ser un actor más pequeño, ya que las conexiones con la actividad rusa anterior no son fuertes, dice Slowik. Los investigadores tienden a centrarse en los cinco grandes actores de la actividad cibernética: China, Irán, Corea del Norte, Rusia y Estados Unidos, dice.

«Esa es una visión miope, y en gran medida está matizada por un modelo de amenaza centrado en entidades norteamericanas y europeas», dice. «Nosotros, como investigadores, debemos centrarnos en estos eventos más pequeños y localizados, porque hay muchas más entidades que juegan en estos juegos que los 5 grandes en los que tendemos a centrarnos con la exclusión de otras entidades».

Los ciberataques discretos que rodearon el conflicto entre Azerbaiyán y Armenia, también conocido como el Conflicto de Nagorno-Karabaj para la región en el centro de la disputa: resaltar el crecimiento de las operaciones cibernéticas como una táctica cada vez más común en cualquier conflicto, sin importar el tamaño, Slowik declarado en el análisis público.

En Brasil, atacantes desconocidos atacaron al Tribunal Exceptional de Justicia de la nación con un gran ciberataque que interrumpirá los casos durante al menos una semana. según informes. En agosto, el ejército paquistaní acusó a la inteligencia india de atacar los teléfonos móviles de los funcionarios en una campaña de piratería y espionaje. Y en abril, Vietnam presuntamente atacó objetivos chinos para recopilar información sobre la pandemia y la investigación del coronavirus en evolución.

Los investigadores de seguridad y las empresas deberían prestar más atención a estos ataques, incluso si no afectan directamente las operaciones, dice Slowik.

«Creo que estamos perdiendo mucha actividad al no investigar conflictos regionales más pequeños que no involucran a Estados Unidos o entidades estadounidenses», dice. «Nosotros, como investigadores, debemos centrarnos en estos eventos más pequeños y localizados, porque hay muchas más entidades que juegan en estos juegos que los 5 grandes, y tendemos a excluir otras amenazas potenciales».

Si bien la cobertura electoral y la lucha por los fondos de transición han dominado los titulares en los Estados Unidos durante los últimos tres meses, el conflicto de Nagorno-Karabaj se reinició en septiembre y terminó el 10 de noviembre, lo que provocó que Azerbaiyán recuperara el territorio que se había separado a fines de la década de 1980. Tanto Rusia como Turquía obtuvieron ventajas significativas para ayudar a resolver el conflicto, con Rusia proporcionando fuerzas de paz para vigilar a los antiguos estados soviéticos.

Sin embargo, los actores más pequeños de la región también se volvieron más activos. Los piratas informáticos griegos supuestamente desfiguraron el sitio internet del Parlamento turco, así como decenas de sitios azerbaiyanos, que Turquía apoya, como parte de una disputa de larga duración entre los países. En agosto, el Servicio Nacional de Inteligencia de Grecia contrató a más profesionales de ciberseguridad para reforzar sus capacidades, según informes.

Sin embargo, como evidencia de la aplicabilidad de la inteligencia de estos conflictos menores, Slowik señala el hecho de que los documentos utilizados por los ciberatactores en el conflicto entre Azerbaiyán y Armenia no son detectados como maliciosos por muchos escáneres de malware.

Si bien muchos profesionales de la ciberseguridad argumentan que los atacantes tienen la ventaja, a menudo a través de la máxima «los defensores tienen que tener la razón todo el tiempo, los atacantes solo tienen que tener razón una vez», Slowik adopta una postura diferente, una que requiere la mejor información.

«Los defensores tienen una ventaja porque los atacantes siempre tienen que jugar en nuestro terreno para tener éxito, pero para asegurar la defensa, debemos ser conscientes de cómo los atacantes se están adaptando con el tiempo», dice. «Al tener un alcance amplio, obtenemos una mejor imagen del arte del atacante, en lugar de perdernos desarrollos que podrían dejarnos abiertos a vectores de intrusión que no esperábamos».

Y para mantener ese amplio alcance, los investigadores deberían centrarse en algo más que en los 5 grandes, dice.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking through, MIT&#39s Know-how Critique, Well known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first