(por Alessandro Rugolo) También este año en Tallin (pero de hecho en toda Europa) se llevará a cabo, como es habitual, el mayor ejercicio Cibernético del mundo: Locked Shield. Usando la información de los ejercicios anteriores y haciendo un mínimo de OSINT, veamos en qué podría enfocarse.
¿Qué sabemos?
- sabemos que el año pasado el ejercicio se llevó a cabo entre 24 y 28 April;
- sabemos que el taller titulado "Desafío forense bloqueado por los escudos" se llevará a cabo entre 15 y 17 el próximo mes de mayo, en el que se analizarán los resultados del ejercicio y se presentarán posibles soluciones para los aspectos forenses.
- sabemos que el año pasado las fechas fueron más o menos similares.
Para empezar, aunque todavía no hay noticias oficiales, espero que el ejercicio se lleve a cabo en las mismas fechas, probablemente entre 23 y 27 en abril o, como mucho, en la semana siguiente.
Para entender qué se enfocará, me referiré a los temas que serán tratados en el "Desafío Forense", los que ya están disponibles aunque sean muy genéricos y en los principales desafíos que el mundo Cyber ha tenido que enfrentar en el último año.
Veamos si surge algo útil del análisis. Entre el 15 y el 17 de mayo durante el "Desafío Forense de Escudos Bloqueados" se tratarán los siguientes aspectos:
Análisis de tráfico malicioso
Análisis del sistema de archivos Ntfs
Análisis de archivos
Varios análisis de artefactos del SO
Análisis de comportamiento del usuario
Identificación de malware
Mientras que durante el año nos enfrentamos a los siguientes problemas principales:
- NotPetya y WannaCry;
- Espectro y fusión.
Entre las amenazas emergentes encontramos:
- posibles variantes de WannaCry, Spectre y Meltdown;
- Ataques "Cryptomining fantasmal";
- piratería de nubes;
- tácticas de ingeniería social;
- nuevas tácticas de ataque de denegación de servicio;
- vulnerabilidad de la zona de pruebas;
- Proceso Doppelganging.
Entre las nuevas tecnologías tenemos en su lugar:
- computadora cuántica y criptografía cuántica;
- identidad digital en blockchain;
- IoT.
No encontré nada en Internet sobre el escenario de ejercicio, pero es probable que el sistema para defenderlo sea un sistema del tamaño de una nación que usa tecnologías conocidas, basadas en la nube y tal vez con identidades digitales y un cryptomata en blockchain. No sería sorprendente que incluso dispositivos genéricos (IoT) se encontraran en la red, que notoriamente no están diseñados para ser seguros.
Ahora, poniendo en funcionamiento el sistema anterior, puedo hacer algunas suposiciones sobre cómo podría llevarse a cabo el ejercicio y sobre algunos tipos de ataques que los equipos Blue podrían tener que enfrentar.
En primer lugar, al ver que en la sesión de mayo “Forensics Challenge” hay la entrada “análisis de comportamiento del usuario”, me hace pensar que el ataque comenzará desde usuarios internos, quizás infectados a través de adjuntos de correo electrónico que contienen código malicioso. Por lo tanto, los equipos azules deberán centrarse en el análisis de comportamiento (IoT) de usuarios y dispositivos.
Probablemente el malware podría explotar la técnica de inyección llamada Process Doppelganging, que surgió al final de 2017, lo que justificaría también la indicación de realizar análisis en el sistema de archivos NTFS.
El objetivo final del atacante podría ser aprovechar los recursos computacionales distribuidos para ganar dinero a través de actividades mineras fantasmales.
Naturalmente, todo esto no es más que especulación basada en la escasa información disponible. Una cosa es cierta, pronto habrá el ejercicio y luego, una vez más, los equipos azules y los equipos rojos se enfrentarán en el campo Cyber.
