El grupo de amenaza alineado con Rusia conocido como vida de invierno fue descubierto explotando vulnerabilidades de secuencias de comandos entre sitios (XSS) en servidores de correo web Roundcube en toda Europa en octubre, y ahora sus víctimas están saliendo a la luz.
El grupo atacó principalmente la infraestructura gubernamental, militar y nacional en Georgia, Polonia y Ucrania, según el informe del Grupo Insikt de Recorded Future sobre la campaña publicado hoy.
El informe también destacó objetivos adicionales, incluida la Embajada de Irán en Moscú, la Embajada de Irán en los Países Bajos y la Embajada de Georgia en Suecia.
Utilizando sofisticadas técnicas de ingeniería social, la APT (que Insikt llama TAG-70 y que también se conoce como TA473 y UAC-0114) utilizó un Explotación de día cero de Roundcube para obtener acceso no autorizado a servidores de correo específicos en al menos 80 organizaciones distintas, que van desde los sectores de transporte y educación hasta organizaciones de investigación química y biológica.
Se cree que la campaña se desplegó para recopilar inteligencia sobre asuntos políticos y militares europeos, potencialmente para obtener ventajas estratégicas o socavar la seguridad y las alianzas europeas, según Insikt.
Se sospecha que el grupo lleva a cabo campañas de ciberespionaje al servicio de los intereses de Bielorrusia y Rusia, y ha estado activo desde al menos diciembre de 2020.
Las motivaciones geopolíticas de Winter Vivern para el ciberespionaje
La campaña de octubre estuvo vinculada a la actividad anterior de TAG-70 contra los servidores de correo del gobierno de Uzbekistán, informada por Insikt Group en febrero de 2023.
Una motivación obvia para el ataque ucraniano es el conflicto con Rusia.
“En el contexto de la guerra en curso en Ucrania, los servidores de correo electrónico comprometidos pueden exponer información confidencial sobre el esfuerzo y la planificación bélica de Ucrania, sus relaciones y negociaciones con sus países socios mientras busca asistencia militar y económica adicional, [lo que] expone a terceros que cooperan con el gobierno ucraniano en privado y revelar fisuras dentro de la coalición que apoya a Ucrania”, señaló el informe Insikt.
Mientras tanto, el enfoque en las embajadas iraníes en Rusia y los Países Bajos podría estar vinculado a un motivo para evaluar los compromisos diplomáticos y las posiciones de política exterior en curso de Irán, particularmente considerando la participación de Irán en el apoyo a Rusia en el conflicto en Ucrania.
De manera similar, el espionaje dirigido a la Embajada de Georgia en Suecia y al Ministerio de Defensa de Georgia probablemente se deriva de objetivos comparables impulsados por la política exterior, especialmente porque Georgia ha revitalizado su búsqueda de membresía en la Unión Europea y de la OTAN después de la incursión de Rusia en Ucrania a principios de 2022.
Otros objetivos notables incluyeron organizaciones involucradas en las industrias de logística y transporte, lo cual es revelador teniendo en cuenta el contexto de la guerra en Ucrania, ya que las redes logísticas sólidas han demostrado ser cruciales para que ambas partes mantengan su capacidad de luchar.
La defensa contra el ciberespionaje es difícil
Las campañas de ciberespionaje se han intensificado: a principios de este mes, una sofisticada APT rusa lanzado una campaña de ataque PowerShell dirigida contra el ejército ucraniano, mientras que otra APT rusa, Turla, atacó a ONG polacas utilizando un nuevo malware de puerta trasera.
Ucrania también ha lanzó sus propios ciberataques contra Rusia, apuntando a los servidores del proveedor de servicios de Internet de Moscú M9 Telecom en enero, en represalia por la violación respaldada por Rusia del operador de telefonía móvil Kyivstar.
Pero el informe del Grupo Insikt señaló que defenderse contra ataques como estos puede ser difícil, especialmente en el caso de la explotación de vulnerabilidades de día cero.
Sin embargo, las organizaciones pueden mitigar el impacto del compromiso cifrando los correos electrónicos y considerando formas alternativas de comunicaciones seguras para la transmisión de información particularmente confidencial.
También es crucial garantizar que todos los servidores y el software estén parcheados y actualizados, y que los usuarios sólo deben abrir correos electrónicos de contactos confiables.
Las organizaciones también deben limitar la cantidad de información confidencial almacenada en los servidores de correo practicando una buena higiene y reduciendo la retención de datos, y restringir la información y las conversaciones confidenciales a sistemas de alto nivel más seguros siempre que sea posible.
El informe también señaló que la divulgación responsable de las vulnerabilidades, particularmente aquellas explotadas por actores de APT como TAG-70, es crucial por varias razones.
Un analista de inteligencia de amenazas de Insikt Group de Recorded Future explicó por correo electrónico que este enfoque garantiza que las vulnerabilidades se parcheen y rectifiquen rápidamente antes de que otros las descubran y abusen de ellas, y permite la contención de exploits por parte de atacantes sofisticados, evitando daños más amplios y rápidos.
"En última instancia, este enfoque aborda los riesgos inmediatos y fomenta mejoras a largo plazo en las prácticas globales de ciberseguridad", explicó el analista.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
