Conozca cuáles son las amenazas globales de ciberseguridad expuestas por Mandiant
domingo, 3 de septiembre de 2023
Mandiant recolecta información de distintas plataformas de telemetría, como FireEye, pero también de foros subterráneos
El Economista - Ciudad de México
Fundada y dirigida por Kevin Mandia, un exoficial del Ejército estadounidense, Mandiant recolecta información de distintas plataformas de telemetría, como FireEye, pero también de foros subterráneos; de aquellos mercados donde los ciberdelincuentes compran y venden cosas; e incluso, llegan a comprometer a ciberdelincuentes, con el fin de monitorear la infraestructura de su adversario.
Las amenazas persistentes avanzadas desarrolladas por grupos patrocinados por estados-nación están entre las más importantes amenazas a la ciberseguridad de los países, de acuerdo con la compañía de inteligencia de amenazas Mandiant, la cual fue adquirida por Google Cloud, en 2022.
Fundada y dirigida por Kevin Mandia, un exoficial del Ejército estadounidense que aprovechó los conocimientos adquiridos en la Oficina de Investigaciones Especiales de la Fuerza Aérea para fundar una compañía de inteligencia de amenazas de ciberseguridad, Mandiant recolecta información de distintas plataformas de telemetría, como FireEye, pero también de foros subterráneos; de aquellos mercados donde los ciberdelincuentes compran y venden cosas; e incluso, llegan a comprometer a ciberdelincuentes, con el fin de monitorear la infraestructura de su adversario.
Estas son 3 amenazas de ciberseguridad listadas por Mandiant durante el Google Cloud Next 2023
Rusia
De acuerdo con Sandra Joyce, jefa de Inteligencia de Amenazas de Mandiant, con el inicio de la invasión a Ucrania, Rusia está implementando importantes operaciones de desinformación de tres distintas maneras:
- Mediante narrativas que generen una brecha entre los propios ucranianos.
- A través de narrativas que intentan generar una brecha entre la OTAN, sus socios y los ucranianos.
- Al manipular las cifras del desempeño ruso en el campo de batalla real, es decir, cuando reporta menos bajas, por ejemplo.
Otras de las actividades rusas que encontró la compañía fue que mientras que las unidades de infantería se iban moviendo, tomaban control de las redes, lo que indica que contaban con equipos de acción cibernética en el campo de batalla.
“Vimos que Rusia usó malware destructivo y disruptivo y más operaciones en los primeros cuatro meses que en los últimos ocho años. Fue en ese primer período (de la invasión) cuando estaban tratando agresivamente de causar tanta interrupción como fuera posible, algo que ya ha disminuido”, dijo Joyce.
China
Para Kevin Mandiant, en los últimos doce meses, es la primera vez que China ha tomado la delantera en cuanto a innovación ofensiva en materia de ciberseguridad. Los grupos auspiciados por el Estado-chino han comenzado a poner más atención a la seguridad operativa.
De acuerdo con Joyce, para la compañía ha sido un desafío rastrear a las amenazas persistentes avanzadas chinas, ya que utilizan infraestructura ofuscada y son capaces de aprovechar vulnerabilidades de día cero muy rápido.
“China, en su marcha hacia el estatus de superpotencia, ha abrazado realmente la idea de que el ciberespacio es una herramienta muy poderosa. Han creado estas capacidades y no tienen miedo de usarlas”, dijo.
No obstante, si bien China ha dado muestras de sus capacidades ofensivas en el ciberespacio, no ha exhibido sus capacidades destructivas, como sí lo han hecho Rusia, con NotPetya o Corea del Norte, con Wannacry.
“No lo hemos visto desde China. No significa que no puedan hacerlo. No significa que no tengan la tecnología. Y creo que esa es una elección realmente interesante por parte de ellos y una pregunta de inteligencia muy interesante que estamos investigando continuamente”, dijo.
Corea del Norte
De acuerdo con los directivos de Mandiant, Corea del Norte está tomando al toro por los cuernos en lo que a robo y transferencia de criptoactivos se refiere. Dado que el país se encuentra fuera de los canales diplomáticos y económicos, ha abrazado la idea de que el ciberespacio es una herramienta poderosa.
“Hay un grupo llamado APT 43 y este grupo está robando carteras de criptomonedas y luego las utilizan para obtener servicios de alquiler de hash. Es decir, están minando nuevas criptomonedas y obteniendo criptomonedas limpias que no tienen conexión con la cadena de bloques original”, dijo Joyce.
Son grupos norcoreanos los que más frecuentemente cuentan entre sus objetivos a instituciones, principalmente financieras, en la región latinoamericana. APT38 es uno de ellos, de acuerdo con Joyce, para quien se trata de una región en la que cada vez se ven más ciberataques.