CESAR AUGUSTO ZARATE

C4M4L30N
@C4M4L30N_CAZ
WWW.SWATSECURITYIT.COM

Definiciones BASICAS

CIBERGUERRA: Guerra informtica, guerra digital o

ciberguerra, en ingls cyberwar, se refiere al
desplazamiento de un conflicto, en principio de carcter
blico, que toma el ciberespacio y las tecnologas de la
informacin como escenario principal, en lugar de los
campos
de
batalla
convencionales.
...http://es.wikipedia.org/wiki/Ciberguerra
CIBERDEFENSA: Capacidad del Estado para prevenir y
contrarrestar toda amenaza o incidente de naturaleza
ciberntica que afecte la soberana nacional .
https://www.dnp.gov.co/LinkClick.aspx?fileticket=lf5n8mSOuM%3D&tabid=1260
CIBERSEGURIDAD: Capacidad del Estado para
minimizar el nivel de riesgo al que estn expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza
ciberntica.

ANTECEDENTES

ESCENARIO MUNDIAL

ESCENARIO
MUNDIAL

ESCENARIO
MUNDIAL

ESCENARIO
MUNDIAL

ESCENARIO
MUNDIAL

ESCENARIO
MUNDIAL

ESCENARIO
MUNDIAL

ESCENARIO
MUNDIAL
COLOMBIA

En el Marco de la polmica Ley Lleras, Hacktivistas

Colombianos apoyados por la comunidad de Anonymus
lanzaron lo que se llamo la Operacin Colombia, fue un
ataque sistemtico a 30 sitios web del estado
Colombiano el da 20 de julio de 2013, se le denomino:
La Operacin Colombia

Aunque en el 2011 se haba trazado la estrategia de ciberseguridad del

estado colombiano por medio del documento COMPES 3701, a partir de
este ataque se refuerza la estrategia de ciberseguridad y defensa y se
comienza a legislar sobre este aspecto.

Campo de batalla: Sitios Web del Gobierno Colombiano

Causa:
Independencia de Colombia

Operacin Colombia

Batalla:

Ciber ataque a gran escala, contra 30 sitios del gobierno

Colombiano el da 20 de julio de 2013.

Resultado:

La mayora de los sitios fueron apagados o modificados en su

apariencia (defacement).

13

Operacin Colombia
Ataques En Capa De Aplicacin WEB:
Directorio Traversal ataque de aplicaciones web para obtener acceso a
archivos protegidos con contrasea, archivos que pueden ser ms tarde
craqueados fuera de lnea.
Ataques de Fuerza Bruta en el pcAnywhere service buscar cuentas
protegidas por contrasea dbiles permite a los atacantes remotos ganar
el acceso a los servidores de las vctimas.
Ataques de SQL Injection : - Ataques a aplicaciones web para obtener
acceso al servidor remoto.
Escaneo de vulnerabilidades a las aplicaciones WEB.
DDoS en capa de aplicacin:
Ataques de Aplicacin: hemos visto principalmente ataques HTTP de
inundacin
DDoS en capa de red:
SYN floods, UDP floods, ICMP floods
Trfico iregular (invalid TCP flags, source port zero, invalid L3/L4 header)
TCP port scans
14

Como Se Vivi El Ataque?

15

Operacin Colombia

Operacin Colombia

Operacin Colombia

ESTONIA

Dinmica de la
Ciberguerra

http://www.digitalattackmap.com/
http://map.ipviking.com/

INICIOS DE LA
CIBERGUERRA
THE
BIG
BROTHER
Echeleon es considerada la mayor red de
espionaje
y
anlisis
para
interceptar
comunicaciones electrnicas de la historia
(Inteligencia de seales, en ingls: Signals
intelligence, SIGINT)
Controlada inicialmente por la comunidad
UKUSA (USA, UK, Canada, Australia y Nueva
Zelanda). Hoy en dia esta RED es manejada por
USA, UK, ISRAEL.
ECHELON puede capturar comunicaciones por
radio
y
satlite,
llamadas
de telfono, faxes y correos electrnicos en
casi todo el mundo e incluye anlisis
automtico
y
clasificacin
de
las
interceptaciones. Se estima que ECHELON
intercepta ms de tres mil millones de
comunicaciones cada da.

Evolucin

PRISM es un programa del Gobierno estadounidense, que puede ser considerado

como parte de la red ECHELON. Es divulgada su existencia por los medios de
comunicacin en junio de 2013, y se caracteriza por capturar los datos de compaas
como Google, Apple, Microsoft o Facebook, aunque todas ellas niegan su
participacin activa

Echeleon

Ciberconflictos
Activos

ATAQUE DE VIRUS GAUSS

OBJETIVO: robar datos confidenciales, como

credenciales bancarias online, contraseas del
navegador y configuraciones del sistema.

Gauss recoge datos sobre las vctimas con la intencin de enviarlo a los
atacantes, los datos que contienen tambin incluye informacin sobre las
interfaces de red, caractersticas de BIOS y detalles de la unidad del
computador. Es infecta dispositivos USB con el robo de datos de componentes
que explotar el (CVE-2010-2568) la vulnerabilidad LNK, el mismo utilizado por
Stuxnet y Flame.

Stuxnet Predecesor De Gauss

Se asume que fue creado a medias
por el gobierno de los USA e Israel,
para conseguir acabar con el
programa
de
enriquecimiento
de Uranio de Irn
El gusano Stuxnet se difunda
utilizando varios 0days utilizando los
pendrives como medio de infeccin,
ya que los equipos de las centrales
nucleares
estaban
aislados
de Internet.
Una vez infectado uno de los equipos
de la red, STUXNET manipulaba
valores
en
los
sensores
que
alimentaban el sistema SCADA,
haciendo creer a los ingenieros que
algo iba mal en la central, de tal forma
que al final lanzaron las medidas de
proteccin,
anulando
su
funcionamiento.

Estructura Modular De GAUSS

SHAMOON

Con el nombre de "W32.Disttrack" o "W32.EraseMBR" dentro del sistema, el virus posee un archivo
ejecutable que contiene la palabra "wiper" as como la palabra "ArabianGulf".
Las palabras recuerdan al software malintencionado conocido como Wiper que llev al
descubrimiento de Flame, otro virus desarrollado por los gobiernos de Estados Unidos e Israel con
el fin de atacar y terminar con el programa nuclear de Irn.
"Este es un software malintencionado que corrompe los archivos de la computadora que ha sido
infectada y sobrescribe el Registro Maestro de Inicio (MBR) con el fin de inutilizar la computadora
infectada," explic la firma de seguridad informtica Symantec.
El virus consiste en tres componentes:
1.- Dropper - el componente principal y fuente de la infeccin original.
2.-Wiper - este mdulo es responsable por la funcionalidad de destruccin de la amenaza.
3.-Reporter - este mdulo es responsable de reportar la informacin sobre la infeccin de vuelta al
atacante.

...

Se estima que el Tercer Departamento tiene una plantilla de 130.000 personas Su

misin principal dentro de una estrategia de ciberguerra es la de proteger todos los
sistemas de informacin militares y gubernamentales, por lo que se les engloba
dentro de la parte de activos dedicados a la CND (Computer Network Defense) [15].
tambin est realizando labores de recopilacin de inteligencia (CNE, Computer
Network Exploitation) y se le atribuyen algunas capacidades de CNA (Computer
Network Attack).

LA UNIDAD 61398
La Unidad 61398, mantiene en su base de operaciones el grupo Comment Crew que
es un grupo de Hackers mas grandes de china, segn informe de la firma de seguridad
privada Mandiant; segn este Informe el cdigo de la unidad de Hackers es APT-1

La unidad APT-1 es responsable de alrededor de 141 Ataques a entidades en todo el

Mundo y segn Mandiant la Unidad APT-1 cuenta con apoyo directo del Gobierno
chino para perpetrar una amplia campaa de espionaje ciberntico a largo plazo.

China tiene un nuevo ejrcito,

compuesto
por
30
hombres preparados para la
guerraciberntica. (Hackers de
Elite).
El objetivo con este equipo es
capacitar y mejorar la seguridad de
las fuerzas militares de China, para
proteger el pas y al PLA (Ejrcito
Popular de Liberacin) contra
ataques del ciberespacio. Esta
informacin fue indicada por el
portavoz del Ministerio de Defensa
de China, Geng Yansheng, el cual
mencionaba que este equipo
contar con un presupuesto de
USD$1.54 Millones de dlares
para realizar sus labores

El Ejrcito Azul

Recursos Civiles

China ha desarrollado en relativamente pocos aos una gran capacidad cientfica y tecnolgica,
que se traduce en una buena cantidad de Universidades y Centros de I+D.
Un punto a destacar sera el desarrollo de Kylin (el sistema operativo empleado en todos los
sistemas de alta seguridad chinos, sobre todo del PLA y el MSS) por parte de la NUDT (National
University of Defense Technology ), lo que indica en gran medida la relacin existente entre la
universidad y el gobierno
Las empresas de base tecnolgica, sobre todo de equipamiento de telecomunicaciones, estn
fuertemente relacionadas con el gobierno chino en base a subvenciones, contratos
gubernamentales y proyectos de investigacin.
Huawei
ZTE (Zhongxing Telecom Technology Corp):Dentro de EE.UU. ZTE ha sufrido las mismas
sospechas por parte del gobierno, que han sido acentuadas desde que se descubri una
backdoor (puerta trasera) en dos de sus modelos de terminal mvil ms vendidos (Score y
Skate)
Datang Telecommunications : especializndose en cableado y equipamiento de redes pticas
de telecomunicaciones y de grandes redes mviles.
Grupos del underground de la seguridad informtica: Los grupos del underground de la
seguridad informtica en China llevan un extenso periodo de tiempo operando dentro y fuera
del pas, teniendo su primera aparicin documentada en los ataques a la web de la Casa Blanca a
raz del bombardeo errneo de la embajada china en Belgrado durante la guerra de los Balcanes.
Honker Union : Ataque al sitio de Disidente Tibetano, y Ataques a Sitios USA porel incidente
Belgrado.
NCPH (Network Crack Program Hacker) -. GinWui Rootkit (Mayo-2006) DoD USA, Exploits
MsO, Spear Phishing
LuckyCat: Ataques a Japon e India a:
Aeroespacio, Energia, Ingenieria, Navegacion, Actividades Militares, Activismo Tibetano

Modelo de ataque APT-1

Operaciones Realizadas

Operacin Titan Rain (2003)

Operacin Ghost Net (2008)
Operacin Night Dragon (2009)
Operacin Aurora (2010)
Operacin Shadows in the cloud (2010)
Ataque a RSA (2011)
Ataque a Lockheed Martin (2011)
Operacin Shady Rat (2011)
Operacin Byzantine Hades (2011): se
realiz entre 2003 y 2008

TITAN RAIN (2003)

GHOSNET

NIGHT DRAGON

AURORA

SHADOWS IN THE CLOUD

RSA - 2011

BYZANTINE HADES

solo se ha empezado a obtener informacin de la misma hace relativamente

poco.
Teniendo como objetivos sistemas gubernamentales estadounidenses,
franceses y alemanes, mantiene el mismo esquema de spearphishing +
vulnerabilidad + RAT + exfiltracin de informacin.

VARIOS

Corea del Norte crea una

unidad elite de 3000 Hackers
Corea del Sur impulsa un
programa de Ciber guerra de
elite y recluta sus unidades en
las Universidades, incentivando
con concursos y dinero.
Irn Prepara estudiantes de
secundaria para interceptar y
hackear los Drones.
USA mantiene una unidad elite
por 15 aos que se llama TAO
bajo tutela de la NSA para
atacar especficamente a China.

El ciberespacio es un nuevo territorio,

con sus caractersticas particulares y
sus posibilidades. Como cualquier
nuevo
territorio,
existen
partes
interesadas en posicionarse de forma
prominente y en reclamar una buena
parte del mismo para s mismos.
El peligro del uso de la ciberguerra y el
ciberespionaje tiene dos vertientes: el
primero, el uso de Ciber-Armas que
puedan quedar fuera del control del
propietario y causar graves daos
colaterales, de una forma similar a un
misil que se desva y termina cayendo
sobre objetivos civiles.
El segundo peligro principal es la
negabilidad del uso de las mismas, que
puede
intensificar
las
tensiones
existentes entre naciones y llegar a
provocar una escalada del conflicto que
termine en daos a sistemas civiles o
en un posible conflicto armado.

CONCLUSIONES

FUENTES
http://www.elladodelmal.com/2013/01/incidentes-de-ciberguerra-y.html
https://www.dnp.gov.co/LinkClick.aspx?fileticket=lf5n8mSOuM%3D&tabid=1260
http://www.slideshare.net/ansanz/capacidades-de-china-para-laciberguerra
http://latam.kaspersky.com/sobre-kaspersky/centro-deprensa/comunicados-de-prensa/kaspersky-lab-identifica-laoperaci%C3%B3n-%E2%80%9Coctubr
http://intelreport.mandiant.com/
http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica
http://www.muyinteresante.es/tecnologia/articulo/iesto-es-la-ciberguerra
http://www.isaca.org/Education/Conferences/Documents/Latin-CACS2013-Presentations/133.pdf