Investigación: Posible amenaza en Chile de APT33

Estos últimos días hemos estado lidiando en CSIRT con casos de compromisos y defacements de sitios web institucionales por varios actores de amenazas distintos. En particular, acabamos de encontrar un shell bien interesante: ALFA TEam Shell, desarrollado por un grupo conocido como ALFA TEaM12. Esta shell es muy popular entre crackers, y es utilizada por actores de amenaza como APT 33. Este grupo ha dirigido sus ataques principalmente a las industrias de energía y aeroespacial.

Diferentes actores de amenaza han comprado o descargado esta shell para ingresar a nuestros sistemas. ¿Se trata de grupos criminales organizados, o simplemente de internautas curiosos que la utilizan?

Cualquiera que sea la respuesta, debemos apuntar a investigaciones a largo plazo, trabajando en conjunto con las policías, CSIRT internacionales, INTERPOL y otras organizaciones.

En el gráfico anterior, mostramos la cantidad de bloqueos de esta shell en la RCE. Hay que tener presente que estos datos son de bloqueos y no de ataques exitosos.

En el siguiente gráfico, identificamos además de qué países provienene los ataques.

Finalmente, el siguiente gráfico muestra el número de intentos de ataque bloqueados en la RCE, divididos por institución. Se muestran sólo las 20 instituciones con más intentos de ataques; los Ministerios de Educación, Desarrollo Social y Medio Ambiente encabezan, lamentablemente, la lista.

Este es sólo el inicio de una investigación que esperamos que rinda fruto en el futuro cercano. Sería ideal poder averiguar quién está financiando estos ataques y descubrir si los equipos que nos atacan son servidores comprados o comprometidos. Si fueron comprados, quién los compró; si están comprometidos, con qué herramientas se realizó esto, y qué tipo de compromiso hubo.