Ciberataques contra el sector de la defensa. Un nuevo frente bélico

El nivel de sofisticación e impacto de los ciberataques contra el sector de la obliga a las organizaciones a mejorar su ciberresiliencia frente a las amenazas persistentes avanzadas

A comienzos de 2024, Ucrania anunció que Rusia había hackeado cámaras de videovigilancia y las había empleado para espiar los sistemas de defensa aérea del país e infraestructura crítica en su capital. Tanto en la guerra de Ucrania como en el conflicto entre Israel y Hamás, los ciberataques contra el sector de la defensa juegan un papel fundamental en la estrategia militar.

Más allá de los conflictos bélicos en marcha, lo cierto es que los ciberataques contra el sector de la defensa se han convertido en una de las grandes amenazas de hoy en día para la seguridad global. Grupos delictivos altamente preparados, financiados por estados como Rusia, Corea del Norte o Irán, y con una gran cantidad de recursos económicos a su alcance tienen en su punto de mira a empresas del sector de la defensa y a las entidades esenciales para la defensa de los estados.

La preocupación generada por los ciberataques contra el sector de la defensa ha llevado a la Unión Europea a poner en marcha una política europea de ciberdefensa (EU Policy on Cyber Defence), focalizada en crear mecanismos de colaboración entre el sector público y el privado y entre los diferentes países de la Unión y estandarizar las pruebas de ciberseguridad.

Mientras que al otro lado del Atlántico, a finales de marzo de 2024, el Departamento de Defensa de Estados Unidos publicó una estrategia de ciberseguridad para mejorar la ciberresiliencia de la industria de la defensa que incluye hasta 12 objetivos que van desde la mejora de la colaboración entre el sector público y el privado a la evaluación de las capacidades defensivas y la optimización de la respuesta a incidentes.

A continuación, vamos a desgranar algunas de las claves de los ciberataques contra el sector de la defensa y cómo las organizaciones pueden mejorar su resiliencia ante las amenazas persistentes avanzadas (APT).

1. Ataques de cadena de suministro: Los proveedores tecnológicos en el ojo del huracán

Al igual que sucede en otros ámbitos, muchos ataques contra el sector de la defensa se llevan a cabo explotando vulnerabilidades presentes en la cadena de suministro de las organizaciones.

Por ejemplo, a principios de marzo la National Security Agency (NSA) de Estados Unidos informó de que un grupo de ciberdelincuentes vinculado con China, conocido como UNC5325, explotó vulnerabilidades presentes en el software de VPN de acceso remoto de la compañía Ivanti para atacar a empresas del sector de la defensa estadounidense.

Asimismo, unos días antes, en febrero de 2024, las agencias de inteligencia de Alemania y Corea del Sur hicieron público que habían detectado una campaña de ciberespionaje contra el sector de la defensa a nivel global, auspiciada por Corea del Norte. ¿Con qué objetivos? Robar información sobre tecnología militar puntera:

• Modernizar las armas del ejército norcoreano.
• Desarrollar nuevas capacidades militares.

Uno de los dos casos explicados por las agencias de inteligencia consistió en un ataque de cadena de suministro. Un agente norcoreano fue capaz de introducirse en los sistemas de un centro de investigación de tecnologías marítimas tras atacar con éxito a la empresa encargada del mantenimiento de los servidores de dicho centro.

Tras obtener las credenciales de acceso al servidor del centro de investigación, el criminal fue capaz de descargar malware en el servidor, realizar movimientos laterales, y persistir desde la cuenta robada, distribuyendo también parches maliciosos.

2. Ingeniería social y malware: Un peligroso dúo que no pasa de moda

El otro caso que hicieron público las agencias de inteligencia de Alemania y Corea del Sur estaba protagonizado por el grupo de ciberdelincuentes norcoreano Lazarus, que ha puesto en marcha su táctica Operation Dreamjob contra compañías de múltiples sectores y países, incluido el sector de la defensa.

De hecho, en septiembre de 2023, ya se había publicado que Lazarus había atacado con éxito a un profesional de una compañía aeroespacial española gracias a esta táctica que combina ingeniería social y malware.

Los delincuentes crean perfiles falsos en redes sociales y portales de empleo y entablan una comunicación con la víctima que puede alargarse durante días, semanas e incluso meses, hasta que logran construir una relación de confianza. Llegado este punto, los criminales envían un PDF con una teórica oferta al profesional. Sin embargo, este archivo está infectado con un malware que permite al grupo infiltrarse en la red corporativa de la empresa en la que trabaja el profesional.

Esta táctica nos permite vislumbrar cómo el uso combinado de ingeniería social y malware está detrás de numerosos ciberataques contra el sector de la defensa. Sin ir más lejos, a finales de marzo de 2024, salió a la luz que diversas organizaciones de India vinculadas con el sector de la defensa y otros ámbitos estratégicos como el energético fueron víctimas de una campaña que empleó técnicas de ingeniería social para infectar con malware redes corporativas y exfiltrar casi 9 GB de datos.

Asimismo, también en febrero de 2024 se dio a conocer que un grupo de ciberespionaje chino había sido capaz de infectar con malware dispositivos del Ministerio de Defensa de los Países Bajos para acceder a información confidencial sobre I+D+i.

3. Usar dispositivos IoT para robar propiedad intelectual y acceder a información crítica

El caso con el que abrimos este artículo evidencia una tendencia en alza: los ataques que explotan vulnerabilidades en los dispositivos IoT.

La expansión del uso de estos dispositivos en las empresas y las instituciones públicas los ha convertido en objetivos atractivos para los grupos delictivos que buscan espiar a la industria defensiva y obtener información estratégica sobre la seguridad de los estados y sus servicios de inteligencia.

Muchos dispositivos inteligentes que se emplean en las organizaciones presentan vulnerabilidades, como reveló el equipo de Innovación de Tarlogic al diseñar BSAM, una metodología auditar los dispositivos que usan la tecnología Bluetooth para comunicarse y detectar brechas de seguridad en este estándar global.

Así, además del uso de malware para infiltrarse en sistemas corporativos, robar información o causar disrupciones en la actividad, las compañías de los sectores críticos como la defensa deben contemplar la posibilidad de que los actores hostiles hackeen dispositivos y los usen para:

• Sustraer propiedad intelectual e industrial. Como ya señalamos antes, algunos de los ciberataques contra el sector de la defensa buscan obtener información sobre tecnología puntera de altísimo valor.
• Descubrir investigaciones en curso.
• Acceder a información crítica para la defensa de los estados.
• Obtener datos de inteligencia de gran relevancia geopolítica.

4. Los grupos APT y la geopolítica

Hace unas semanas el Departamento de Justicia de Estados Unidos presentó cargos contra un ciudadano iraní por haber cometido ciberataques contra el sector de la defensa estadounidense, incluyendo tanto organismos gubernamentales como contratistas de defensa, con el objetivo de robar información sensible.

Al mismo tiempo, se hizo público que un grupo delictivo vinculado a la Guardia Revolucionaria iraní está detrás de una campaña de ciberespionaje contra compañías del sector de la defensa de Oriente Medio (Israel, Emiratos Árabes Unidos, Turquía). Gracias al uso de dos backdoors eran capaces de obtener credenciales de acceso a sistemas corporativos y ejecutar otros malware para espiar a las organizaciones.

Los diferentes casos que hemos recogido en este artículo nos permiten visualizar dos aspectos clave relacionados con los ciberataques contra el sector de la defensa:

• Los llevan a cabo grupos de ciberdelincuentes con una amplia experiencia y bastos conocimientos que diseñan sus propias tácticas, técnicas y procedimientos (TTPs) y desarrollan malware cada vez más sofisticado y difícil de detectar, contener y erradicar.
• Estos grupos están vinculados a estados enfrentados en el tablero geopolítico con las democracias occidentales: Irán, Rusia, Corea del Norte, China… Lo que les permite acceder a los recursos necesarios para poner en marcha amenazas persistentes avanzadas.

Por todo ello, los grupos APT esponsorizados por estados se han convertido en una amenaza crítica para el sector público, pero también para la industria de la defensa, que deben implementar estrategias de ciberseguridad avanzadas y optar por un enfoque proactivo frente a esta clase de amenazas.

5. El auge de la industria europea de la defensa y su protección

Los conflictos bélicos actuales y las disputas geopolíticas y económicas han puesto el foco en las políticas de defensa. Por eso, en el seno de la Unión Europea se han aprobado diversos acuerdos en los últimos años para fortalecer la colaboración en materia militar e incrementar la inversión en defensa.

En los próximos años, la industria de la defensa va a ser crítica y junto a otros sectores como el aeroespacial está llamada a liderar el desarrollo de proyectos de innovación e investigación.

Teniendo en cuenta este escenario, incrementar la resiliencia del sector resultará de vital importancia para proteger su propiedad intelectual e impedir que actores hostiles tengan acceso a información crítica para la seguridad europea.

Por eso, dentro de la estrategia de incrementar las capacidades defensivas de los sectores críticos contra los ciberataques, que se llevó al terreno normativo con la aprobación de la directiva NIS2, se está poniendo el foco, también, en la necesidad de prevenir los ciberataques contra el sector de la defensa de la Unión.

6. Mejorar la ciberresiliencia de las organizaciones frente a los ciberataques contra el sector de la defensa

¿Qué pueden hacer las organizaciones del sector de la defensa para incrementar su fortaleza ante las amenazas persistentes avanzadas? Contar con servicio de Mejora de Resiliencia ante APT que combine:

• Las capacidades ofensivas de los servicios de Red Team, simulando escenarios APT para comprobar cómo responden las capacidades defensivas de una organización.
• Servicios de Threat Hunting Proactivo que investigue las técnicas maliciosas, identifique oportunidades de mejora y contribuya a optimizar los mecanismos de detección y respuesta en el endpoint.

Gracias a la Mejora de Resiliencia ante APT es posible evaluar de manera objetiva el nivel de resiliencia de una organización ante ataques sofisticados, dirigidos y persistentes como los que llevan a cabo los grupos APT, así como el riesgo de sufrir esta clase de ataques.

Además, permiten analizar los procedimientos de detección, mitigación y respuesta de estas amenazas y fortalecer la formación y capacitación de los equipos defensivos como el Blue Team.

6.1. De la gestión de vulnerabilidades a la respuesta a incidentes

Asimismo, las organizaciones deben contar con servicios de ciberseguridad esenciales hoy en día como:

• Gestión de vulnerabilidades y detección de vulnerabilidades emergentes.
• Auditorías de seguridad de sus activos IT: webs, aplicaciones móviles, dispositivos IoT como los equipos que emplean Bluetooth, infraestructuras cloud… Así como test de ingeniería social.
• Servicio de respuesta a incidentes proactivo para responder a un ataque en menos de 1 hora, contener a los actores maliciosos, minimizar el impacto de sus actividades y proteger la continuidad de negocio.

En definitiva, los ciberataques contra el sector de la defensa son una de las tendencias más importantes del panorama actual tanto por las organizaciones que son atacadas, como por las capacidades y recursos de los grupos APT y sus objetivos.

Por eso, es fundamental que las entidades públicas y la industria de la defensa mejoren su resiliencia ante los ataques dirigidos y sofisticados y protejan al máximo la información que poseen y que resulta crítica tanto en términos económicos como en lo relativo a la seguridad.