'Hackers' amb horari d'oficina

Queden enrere els temps en què el hacker era un tipus inquiet que actuava de matinada per intentar entrar en sistemes aliens, sol i per motivacions que anaven des del repte intel·lectual, la curiositat o el gamberrisme, i en casos directament de delinqüència, el profit econòmic. El perfil del cibercriminal (ja no hacker clàssic) és ara moltes vegades un professional que compleix un horari, està a les ordres d’un altre i els seus motius passen pel xantatge, l’espionatge i el sabotatge polític.  

¿Els motius? La cada vegada més creixent implicació de la ciberdelinqüència organitzada i les noves accions d’alguns governs per utilitzar els atacs informàtics com una nova arma de guerra.

«Hi ha tres tipus de delinqüents informàtics: els activistes, les organitzacions criminals i des de fa uns quatre o cinc anys, els estats», sosté Vesku Turtia, CEO de Fireeye a Espanya. «Els primers solen actuar per motivacions polítiques o ideològiques, com fan Anonymous; les cibermàfies tenen estructures, tasques diàries, plans d’atac i de negoci per guanyar diners. Fan una feina prèvia molt important. I hem vist casos d’informàtics d’empreses lícites que treballaven per a organitzacions criminals sense que els seus caps ho sabessin», assenyala. La Guàrdia Civil reclamava fa poc més recursos per lluitar contra aquesta ciberdelinqüència.

En el cas dels governs, hi ha motivacions com «esponsoritzar el ciberespionatge per beneficiar les seves pròpies empreses, com ha fet la Xina; o Corea del Nord, que busca provocar conflictes. També hi ha el grup APT34 que, esponsoritzat per l’Iraq, ha atacat centrals nuclears del Pròxim Orient amb malware», afegeix Turtia.

Pistes falses sobre l'autoria

Un repàs a alguns d’aquests grups el va fer David Barroso, el CEO de Countercraft, una de les companyies que van participar en les Jornades del CCN-CERT la setmana passada a Madrid. L’analista va evidenciar com molts grups emmascaren la seva activitat intentant disseminar pistes falses sobre l’autoria, però l’horari, la coincidència amb dates assenyalades al calendari o l’idioma del codi els posen en evidència.

«Atribuir avui és gairebé impossible perquè els delinqüents intenten enganyar sobre qui hi ha al darrere de cada atac», va sostenir Barroso, que va posar com a exemple que molts atacs són atribuïts a la Xina quan al darrere hi ha grups russos. Un dels més sonats, el dels informatius del canal francès Tele 5, es va atribuir a gihadistes i després va resultar que al darrere hi havia el grup rus ATP28, un dels grups amb horari d’oficina.

‘Wannacry'

Notícies relacionades

"No es tracta que particulars i hotels omplin les seves piscines"

Una dessalinitzadora flotant al port de BCN evitarà portar vaixells amb aigua

«L’actual submon de ciberdelinqüents ha virat cap a serveis automatitzats, que ofereixen l’oportunitat de participar en activitats il·lícites a un nombre creixent de principiants», explica Andrei Barysevich, de la consultora Recorded Future. Així s’explica també una característica comuna als nous atacs de cibercriminals, i és el reciclatge de codis informàtics i les eines desenvolupades per altres. En el cas de Wannacry, el ransomware que s’autoreplicava aprofitant una vulnerabilitat del protocol de correu electrònic de Microsoft i que va provocar danys en empreses de tot el món, part del codi es va aprofitar després a Petya/NotPetya, però orientat amb altres fins, en aquest cas, dirigit a empreses ucraïneses.

Barroso també va recordar casos com el dels malware Stutnex, que es van poder atribuir a Israel, entre altres qüestions, perquè no s’activaven ni divendres ni dissabte. «Els horaris són una pista, però cal tenir en compte la geopolítica. S’ha d’esperar un error, i el cometran perquè són humans», assenyala.