Si bien los centros de datos a menudo hacen ruido acerca de la estricta seguridad alrededor de sus perímetros y, en algunos casos, incluso señalan la presencia de guardias armados, es raro que ocurra algo parecido a un conflicto.
En las pocas veces que ha habido algún tipo de acción en el sitio, generalmente ha sido dirigida por las fuerzas del orden y sin resistencia.
Pero si bien los centros de datos rara vez son materia de películas de acción, son regularmente la fuente de actividades ilegales, y el cambio a la nube hace que sea mucho más difícil para las fuerzas del orden rastrear y eliminar la infraestructura del delito cibernético.
Redadas en centros de datos: Rara vez materia de películas de acción
Si bien las redadas en los centros de datos son bastante comunes, generalmente son asuntos tranquilos con poco alboroto. Un par de agentes u oficiales con una orden judicial son más probables que un equipo SWAT derribando la puerta.
“Para ser honesto, las órdenes de allanamiento o las redadas en los proveedores de hospedaje no son tan glamorosas”, dice Matt Swenson, jefe de división de la División Cibernética del Centro de Delitos Cibernéticos de Investigaciones de Seguridad Nacional. “Por lo general, solo se entra a un centro de datos con una orden de registro que dice que está legalmente autorizado para buscar en el servidor XYZ, y el proveedor encontrará dónde está alojado. Luego se hace una copia de los datos y la llevamos con nosotros. Esto lo hacemos con bastante regularidad.
Sin embargo, aunque la mayoría de las redadas se realizan en silencio, ha habido ejemplos de importantes actividades policiales en los centros de datos a lo largo de los años, así como búsquedas que aparecieron en la prensa.
En particular, la instalación 'CyberBunker' en Traben-Trarbach, Alemania occidental, fue allanada por más de 600 policías en septiembre de 2019. Ocho personas fueron condenadas en 2021.
Construido por el ejército de Alemania Occidental en la década de 1970, el sitio fue utilizado por la división meteorológica de la Bundeswehr hasta 2012. Un año después, se vendió a Herman-Johan Xennt, quien dijo a los lugareños que construiría un negocio de alojamiento web allí. Los servicios ilegales supuestamente alojados en el centro de datos alemán eran Cannabis Road, Fraudsters, Flugsvamp, Flight Vamp 2.0, orangechemicals y lo que entonces era el segundo mercado de narcóticos más grande del mundo.
Si bien es menos maliciosa que las drogas, la policía sueca allanó Pirate Bay más de una vez en un esfuerzo por cerrar el sitio, incluso una vez en 2006 cuando unos 65 policías suecos entraron a un centro de datos en Estocolmo, y nuevamente en 2014. Durante la redada de 2006 , se incautaron servidores pertenecientes a varias otras empresas, incluida una agencia de noticias de la oposición rusa y GameSwitch, un host de servidor de juegos británico. El sitio todavía está en funcionamiento hoy. Aparentemente, en el momento de la redada de 2014, Pirate Bay requería solo 21 máquinas virtuales (VM) para funcionar; 182 GB de RAM, 94 núcleos de CPU y 620 GB de almacenamiento.
Un ejemplo similar fue Kim Dotcom de Megaupload. La policía de Nueva Zelanda arrestó a Dotcom y a otros tres ejecutivos de Megaupload en una mansión en las afueras de Auckland en 2012. Los informes sugieren que docenas de policías armados se abalanzaron sobre la propiedad en helicópteros alrededor de las 7 a. m. de la mañana de la fiesta de cumpleaños de Dotcom, incluidos varios miembros de la élite de Nueva Zelanda fuerza terrorista.
Dotcom permanece en Nueva Zelanda y continúa operando Mega. Mathias Ortmann y Bram van der Kolk, quienes fueron arrestados durante la redada de 2012, llegaron recientemente a un acuerdo para evitar ser extraditados a los Estados Unidos a cambio de enfrentar cargos en Nueva Zelanda.
En 2014, agentes de la Administración para el Control de Drogas (DEA) de EE.UU. y del Servicio de Impuestos Internos (IRS) allanaron un centro de datos de Albuquerque, Nuevo México, administrado por un proveedor local llamado Big Byte. La DEA también registró el resort Pagosa Springs en Albuquerque, también propiedad de la misma familia. No se realizaron arrestos en la instalación, que todavía está en funcionamiento hoy. No se presentaron cargos contra los propietarios, aunque un pariente de los propietarios se declaró culpable de presentar un impuesto federal sobre la renta falso.
En 2011, el FBI allanó un sitio de colocación en Virginia en busca de servidores que se usaran para piratear la CIA y otras instituciones y corporaciones importantes. La agencia se apoderó de los servidores de la empresa de hosting con sede en Suiza DigitalOne.
El mismo año, Tailor Made Servers con sede en Dallas fue allanado con la esperanza de encontrar a los cabecillas de los ataques cibernéticos de ese mes en PayPal. Como parte de la misma investigación, la policía alemana ejecutó una orden de allanamiento de las oficinas de una empresa de hosting alemana.
Más recientemente, en octubre de 2021, la policía de Corea del Sur allanó un centro de datos de SK Corp que había sufrido un gran incendio. La policía local confiscó documentos relacionados con el incendio, que fue causado por una batería y derribó el servicio de mensajería KakaoTalk e interrumpió gran parte del país.
Trabajar con las fuerzas del orden público para derribar la infraestructura del delito cibernético
La mayoría de los proveedores de nube y colocación se interesan poco en lo que sus clientes realmente hacen con el hardware o las instancias en las instalaciones de un proveedor, e incluso los proveedores en los principales mercados de centros de datos pueden usarse para alojar infraestructura ciberdelincuente.
El año pasado, se descubrió que una campaña de malware iraní que atacaba objetivos en todo el mundo estaba alojada en centros de datos de colocación holandeses. La firma cibernética BitDefender descubrió que la infraestructura de comando y control (C2) de dos cepas de malware vinculadas a ciberdelincuentes persistentes avanzadas (APT) atribuidas a Irán estaban alojadas en los Países Bajos. El servidor estaba siendo alojado por la empresa estadounidense de alojamiento Monstermeg, que brinda servicios desde el centro de datos AMS1 Amsterdam de Evoswitch en Haarlem, y el malware había estado presente allí desde abril de 2020.
El propietario de Monstermeg, Kevin Kopp, le dijo a Argos que la compañía no sabía que este malware estaba en el servidor, a pesar de tener dos escáneres que deberían detectar este tipo de malware, pero cooperó en la investigación y le dio a Argos acceso a la información en el servidor. Desde entonces, han dejado de trabajar con el inquilino que anteriormente utilizaba esa máquina.
“Vemos cosas alojadas en proveedores de conciertos como AWS y DigitalOcean. Vemos mucha infraestructura alojada en grandes proveedores de servicios de Internet como OVHcloud en el Reino Unido y Francia y en toda Europa, y muchos proveedores más pequeños que están siendo utilizados”, explica Swenson.
Swenson que 'la mayoría de las grandes empresas' son muy cooperativas y responden a la gran mayoría de los procesos legales. Sin embargo, la naturaleza internacional del delito cibernético significa que las fuerzas del orden público de EE.UU. a menudo tienen que lidiar con actores e infraestructura con sede en el extranjero, lo que puede complicar las cosas.
“Cuando estamos trabajando en un caso dentro de los Estados Unidos y las infraestructuras se hospedan en el extranjero, confiamos en la cooperación de gobiernos extranjeros para responder al proceso legal”, dice Swenson. “Pero el proceso no es rápido, particularmente en el extranjero, y muchas veces no tenemos meses para esperar.
“Si ese país no responde o no responde al proceso legal de EE.UU., no hay nada que podamos hacer realmente para obtener una copia de ese servidor. Se está alojando mucha infraestructura en Rusia y Bielorrusia, y simplemente no podemos obtener mucha cooperación. Muchos ciberdelincuentes lo saben, por lo que atacan específicamente la infraestructura en países que son intocables para las fuerzas del orden de los EE.UU.
Sin embargo, Swenson señala que el FSB cooperará con los EE. UU. si se trata de una investigación de explotación infantil en línea.
Difícil, pero se producen derribos
Si bien es difícil y lleva mucho tiempo, se producen derribos importantes de infraestructura ilegal.
El año pasado, cuatro hombres se declararon culpables en los EE.UU. de conspirar para participar en una organización corrupta influenciada por mafiosos (RICO) y se enfrentan a 20 años de prisión por proporcionar servicios de alojamiento a prueba de balas a los ciberdelincuentes. Según el Departamento de Justicia, entre 2008 y 2015, el grupo alquiló direcciones, servidores y dominios de Protocolo de Internet (IP) desde los cuales los ciberdelincuentes realizaron ataques, incluida la distribución de malware, botnets y troyanos bancarios.
El malware alojado por la organización incluía Zeus, SpyEye, Citadel y Blackhole Exploit Kit.
La Operación Onymous fue un esfuerzo concertado de agencias como el FBI, Seguridad Nacional y Europol para enfrentarse a los mercados de la deep web. A través de la cooperación con las fuerzas policiales de 17 países, se eliminaron mercados notorios como Silk Road 2.0, Cloud 9 e Hydra.
Artem Vaulin, fundador de KickAss Torrents, fue arrestado después de que los investigadores cotejaran una dirección IP que utilizó para una transacción de iTunes con una dirección IP utilizada para iniciar sesión en la página de Facebook de KAT. El FBI también se hizo pasar por un anunciante y obtuvo detalles de una cuenta bancaria asociada con el sitio.
Si bien la mayor parte del mundo está buscando formas de alargar el ciclo de vida del hardware y reutilizar los servidores, a raíz de las redadas y las incautaciones, poco hardware sobrevive una vez que finaliza la investigación.
“Si se utiliza para cometer un delito, será borrado y destruido”, dice Swenson. “Cuando comencé, a principios de la década de 2000, solíamos limpiar muchas computadoras y luego reutilizarlas. Pero ya no lo hacemos. Así que casi todo ahora se borra y se destruye”.
Swenson dice que una de las razones de esto es por motivos de seguridad preventivos, en caso de que el hardware tenga presente un malware particularmente resistente que pueda sobrevivir a una limpieza de hardware.
Criptominería : peligroso pero útil
La criptominería puede ser rentable pero peligrosa para los delincuentes. Un tiroteo en un centro de datos de criptominería en Abjasia, un estado separatista reconocido como parte de Georgia, provocó la muerte de un hombre durante un intento de robo por parte de hombres armados.
En febrero de 2021, la policía nacional de España allanó un edificio que pensaban que se estaba utilizando para cultivar marihuana, solo para descubrir que se trataba de una operación ilegal de minería de criptomonedas.
"Hemos incautado una gran cantidad de equipos que se utilizan para extraer criptografía", explica Swenson. “Muchas veces, los delincuentes de la deep web tendrán un negocio secundario en el que están criptominando. Pero no es tan común como lo era hace unos años, creo que los aficionados han sido expulsados".
Sin embargo, es más común el uso de criptomonedas para pagar el alojamiento y ocultar su identidad si hay una investigación por parte de la policía.
“Vemos mucho movimiento en el pago de infraestructura a través de criptomonedas”, dice Swenson. “Muchos de los proveedores de alojamiento ahora aceptan varias formas de criptomonedas y eso puede agregar una capa de anonimato porque ya no tienen que proporcionar una tarjeta de crédito o una cuenta bancaria; simplemente pueden moverlo de una billetera que ha sido completamente bloqueada sin ningún tipo de información que pueda usarse para la atribución del ciberdelincuente.
El cibercrimen se traslada a la nube
Si bien la infraestructura de malware y ciberdelincuencia continúa viviendo en centros de datos físicos, gran parte de ella se ha abstraído y virtualizado en la nube. Y de la misma manera que las empresas legítimas recurren a la nube para reducir la cantidad de hardware local que necesitan administrar, los delincuentes están copiando esa tendencia.
“[La instalación alemana] es el único 'centro de datos ilegal' que he visto y oído personalmente en el sentido físico”, dice Andrew Barratt, consultor principal de Adversary Ops en la firma de pruebas de penetración Coalfire.
“Y sospecho que es realmente difícil de hacer y pasar desapercibido; hay un montón de cosas logísticas realmente aburridas que hacen que sea difícil ejecutar operaciones sin convertirse en una gran bandera roja para muchas personas muy rápidamente.
“Pero hemos visto que los intrusos más sofisticados están aprovechando en gran medida los entornos de nube comprometidos donde su enfoque se trata más de construir centros de datos virtuales que pueden aprovechar la infraestructura por la que no tienen que pagar”.
Los informes de amenazas de Unit42 sugieren que Cloaked Ursa, un grupo de actores de amenazas afiliado al gobierno ruso, usó los servicios de almacenamiento en la nube de Google Drive, así como Dropbox, una empresa que hizo la transición de la nube a sus propios centros de datos. En 2019 y 2020, RiskIQ (desde que lo adquirió Microsoft) informó que los ataques de robo de tarjetas de crédito de Magecart se lanzaban repetidamente desde cubos del Servicio de almacenamiento simple (AWS S3) de Amazon Web Services mal configurados.
Según Malwarebytes, el malware entregado a través de la nube aumentó en un 68 por ciento en 2021. El brazo de investigación de Lumen, Black Lotus Labs, publicó recientemente una investigación que apunta a más de 12.000 servidores que ejecutan controladores de dominio de Microsoft que alojan los servicios de Active Directory de la compañía y que se usan regularmente para magnificar la tamaño de los ataques de denegación de servicio distribuido (DDoS).
Estos ataques se denominan ataques de "living off the land" y pueden ser más difíciles de detectar y detener, ya que las empresas suelen incluir en la lista blanca a empresas legítimas como Google, Amazon y Microsoft. El acceso a cuentas en la nube con créditos ya disponibles para adquirir más recursos informáticos se puede vender a un precio elevado, informa IBM.
Barratt de Coalfire dice que no es raro ver cuentas en la nube secuestradas y utilizadas para extraer criptomonedas. Un informe de 2021 de Google dijo: "El 86 por ciento de las instancias comprometidas de Google Cloud se utilizaron para realizar minería de criptomonedas, una actividad con fines de lucro que requiere muchos recursos en la nube".
El Grupo NSO, que es menos un grupo de ciberdelincuencia y más una empresa de piratería patrocinada por el estado a sueldo, se alojó anteriormente fuera de la infraestructura de AWS hasta que fue expulsado de la plataforma a raíz de un informe de Amnistía sobre sus operaciones.
Numerosos gobiernos de todo el mundo utilizan el spyware Pegasus de NSO para espiar a los medios de comunicación, figuras políticas de la oposición, activistas y trabajadores de ONG, diplomáticos y otros. También se sabe que NSO utiliza Digital Ocean, Linode, OVHCloud, UpCloud, Neterra, Aruba, Choopa y CloudSigma.
La dificultad a la que se enfrentan las empresas para gestionar una infraestructura virtualizada, multinube y cada vez más sin servidor también está creando enormes oportunidades para los ciberdelincuentes.
“La mayoría de las empresas carecen de conciencia de lo que hay en su entorno, o incluso de dónde se extienden sus joyas de la corona”, dice Joel Fulton, director ejecutivo de la empresa emergente de seguridad Lucidum y anteriormente CISO de Splunk. “Y los malos están construyendo infraestructura ahora para que pueda ser transitorio”.
Esta combinación de expansión habilitada para la nube e infraestructura cada vez más efímera proporciona un refugio seguro desde el cual los atacantes pueden desarrollar, almacenar y lanzar ataques.
“Los ciberdelincuentes necesitan un lugar para almacenar su software y un entorno seguro para distribuirlo”, dice Fulton. “Y esos podrían ser la nube, las instancias EC2, los cubos S3, por ejemplo, que nunca están bien monitoreados; encontrarán universidades y organizaciones sin fines de lucro y grandes empresas que no controlan su expansión, y se instalarán allí para armar los kits, practicar sus hazañas, ejecutarlas en sistemas no monitoreados y refinar la herramienta”.
Fulton dice que los delincuentes también utilizan cada vez más instancias en la nube de corta duración de cuentas legítimas secuestradas para sondear y escanear los perímetros y las defensas de la red, y luego lanzar ataques.
“Los atacantes que hacen uso de la nube lo hacen porque los convierte en un objetivo en constante movimiento”, dice Fulton. “Con los grupos de ajuste de escala automático, la capacidad de respuesta elástica puede ser de 20.000 o más computadoras, se activan en segundos y, a veces, solo duran unos minutos. Y las empresas no tienen la capacidad de saber que los 20.000 son suyos o qué contienen.
“Si, por ejemplo, un servidor 'legítimo' que solo existe durante tres minutos lo investiga en busca de vulnerabilidades, es rápido, nadie puede notarlo. Usaría una de esas instancias de corta duración para recolectar mis herramientas y posicionarlas previamente”.
Ese cambio a la nube ha cambiado la forma en que las fuerzas del orden abordan y manejan las investigaciones, y ha visto un cambio masivo en los tipos de dispositivos incautados durante redadas e investigaciones.
“Empecé como analista forense digital a mediados de la década de 2000 y entonces no existía la nube. Todo se almacenaba localmente y veíamos muchas unidades externas y cosas por el estilo”, dice Swenson. Hoy en día es casi lo contrario, y una cantidad mínima de datos se almacena localmente.
“Donde solíamos entrar y apoderarnos de un montón de torres de computadoras, ahora hay muchos iPads, Chromebooks y teléfonos que luego se conectan a la nube y no almacenan nada localmente”.
Ese cambio ha hecho que las investigaciones sean mucho más difíciles para las fuerzas del orden desde una perspectiva legal, ya que los datos alojados en la nube a menudo pueden escapar de las órdenes judiciales.
“La nube ha hecho que las cosas sean más problemáticas para nosotros desde una perspectiva legal: si tengo una orden de allanamiento para una casa y computadoras en una residencia, no necesariamente tengo la autoridad para obtener los datos de un proveedor de la nube porque no existe en la residencia física real. Escribo una orden por separado para el almacenamiento en la nube o la agrego a una orden si vamos a una residencia. Es solo una cuestión de averiguar dónde se aloja y luego agregar un proceso legal adicional a lo que hacemos”.