Explotando datos de APT for fun and (no) profit (IV): conclusiones
Hemos obtenido algunos datos para soltar frases en las charlas de APT (por favor, no olvidéis usarlos junto a las frases de “El Arte de la Guerra”, de Sun Tzu, que nunca pasa de moda, y comentar lo del eslabón más débil de la cadena y demás :). Con algo de tiempo, podemos obtener conclusiones más o menos interesantes, o más o menos estúpidas, en relación a las actividades, intereses, orígenes… de los grupos APT. Y explotando otros datasets (¿vamos a por MITRE ATT&CK?) podemos ampliar o complementar estas conclusiones.
Algunos de los datos que podemos concluir después de este pequeño análisis:
- Parece claro que Rusia juega en la Liga de Campeones de las APT; es el país líder en todo tipo de actividades hostiles, desde el sabotaje hasta el espionaje o la delincuencia económica.
- El líder de todos los grupos APT es también ruso: Turla, operando desde hace casi un cuarto de siglo (y en este caso sí que podemos confirmar que sigue vivo) y con un abanico de objetivos impresionante.
- El grupo al que los analistas prestan más atención es también ruso: APT28, el más investigado y, casi por este motivo, el que más nombres diferentes tiene.
- El número de actores con capacidades CNA se está incrementando en los últimos años, de nuevo con Rusia a la cabeza.
- Aparte de los actores habituales, dos países han estado particularmente activos durante los últimos años: Irán y Corea del Norte.
- Sería interesante identificar un nuevo parámetro para cada actor, similar a “visto por última vez”, que nos permita saber cuánto tiempo un grupo ha estado activo, o si lo está en estos momentos.
- Usar diferentes nombres, en función de quién lo llama, para el mismo grupo es un caos a la hora de procesar datos; en este sentido, el esfuerzo de MISP para identificar un UUID por grupo es de agradecer (https://github.com/MISP/misp-galaxy/blob/main/clusters/threat-actor.json#L2434), como bien nos ha indicado @adulau en Twitter.
- Con algo de imaginación y gnuplot puedes tener tu propio Magic Quadrant de APT 🙂
- Importante: esto es un simple post, no un artículo científico. No esperes verdades absolutas, no discutibles y que sienten cátedra aquí.
- Y la última conclusión: AWK es nuestro amigo. Recordad:
La entrada Explotando datos de APT for fun and (no) profit (IV): conclusiones aparece primero en Security Art Work.
Powered by WPeMatico