Microsoft, CrowdStrike, Palo Alto y Google de Alphabet anunciaron la
creación de un
glosario público de grupos de Actores de Amenazas y ciberdelincuentes patrocinados por Estados, en un intento por disipar la confusión sobre la variedad de apodos no
oficiales que se les asignan.
Las empresas manifestaron su esperanza de involucrar a otros socios de la
industria y al gobierno de Estados Unidos en el esfuerzo por identificar a los
principales responsables del turbio mundo del espionaje digital.
«Creemos que esto acelerará nuestra respuesta y defensa colectivas contra
estos actores de amenazas», declaró Vasu Jakkal, vicepresidente corporativo de Seguridad de Microsoft.
Por ejemplo, Microsoft utiliza una taxonomía de nombres para actores de
amenazas, relacionada con el clima.
Queda por ver la relevancia final de esta iniciativa. Las empresas de
ciberseguridad llevan mucho tiempo asignando nombres en clave a los grupos de
Actores de Amenazas (TA), ya que atribuir a los hackers a un país u
organización puede ser difícil y los investigadores necesitan una forma de
describir a quién se enfrentan.
Algunos nombres son sencillos y funcionales, como el grupo de hackers «APT1»,
expuesto por la firma de ciberseguridad Mandiant, o el grupo «TA453»,
rastreado por Proofpoint. Otros tienen más color y misterio, como el grupo
«Earth Lamia», rastreado por TrendMicro, o el «Equation Group»,
descubierto por Kaspersky.
Los apodos evocadores de CrowdStrike —«Cozy Bear» para un grupo de
hackers rusos, o «Kryptonite Panda» para un grupo de hackers chinos—
han tendido a ser los más populares, y otros también han adoptado el mismo
tipo de apodos poco convencionales. En 2016, por ejemplo, la empresa
Secureworks (ahora propiedad de Sophos) comenzó a usar el nombre
«Iron Twilight» para los atacantes rusos que anteriormente rastreaba
como «TG-4127». Microsoft renovó recientemente sus apodos, pasando de
los formales y temáticos como «Rubidium» a otros con temática
meteorológica como «Lemon Sandstorm» o «Sangria Tempest».
Pero la proliferación de alias extravagantes ya ha provocado una sobrecarga.
Cuando el gobierno estadounidense publicó un informe sobre
intentos de hackeo contra las elecciones de 2016 , generó confusión al incluir 48 apodos distintos atribuidos a una
mezcla de grupos de hackers rusos y programas maliciosos, como
«Sofacy», «Pawn Storm», «CHOPSTICK», «Tsar Team» y
«OnionDuke».
Michael Sikorski, director de tecnología de la unidad de inteligencia de
amenazas de Palo Alto, afirmó que la iniciativa fue revolucionaria.
«Las diferentes convenciones de nomenclatura para los mismos actores de
amenazas generan confusión justo cuando los defensores necesitan
claridad», afirmó.
Juan Andrés Guerrero-Saade, director ejecutivo de Inteligencia e Investigación
de Seguridad de la firma de ciberseguridad SentinelOne, se mostró escéptico
ante la iniciativa, afirmando que la cruda realidad del sector de la
ciberseguridad era que las empresas acumulaban información.
«A menos que eso cambie, esto es pura fantasía de marketing de marca sobre
la realidad empresarial».
Sin embargo, Adam Meyers, vicepresidente sénior de operaciones antiadversario
de CrowdStrike, afirmó que la medida ya había resultado exitosa, al ayudar a
sus analistas a conectar a un grupo llamado «Salt Typhoon» por
Microsoft con uno llamado «Operator Panda» por CrowdStrike.
Fuente: Reuters