Como parte de su actual invasión de Ucrania, la inteligencia rusa contrató una vez más los servicios del grupo de piratas informáticos Nobelium/APT29, esta vez para espiar a los ministerios de relaciones exteriores y diplomáticos de los estados miembros de la OTAN, así como a otros objetivos en la Unión Europea y África. .
El momento también encaja con una serie de ataques a la infraestructura canadiense, que también se cree que están relacionados con Rusia.
El Servicio de Contrainteligencia Militar Polaco y el equipo CERT en Polonia emitieron una alerta el 13 de abril, junto con indicadores de compromiso, advirtiendo a los posibles objetivos de la campaña de espionaje sobre la amenaza. Nobelio, como el grupo es designado por Microsoft, también llamado APT29 de Mandiant, no es nuevo en el juego de espionaje del estado-nación, el grupo estaba detrás del infame Ataque a la cadena de suministro de SolarWinds Hace casi tres años.
Ahora, APT29 está de regreso con un conjunto completamente nuevo de herramientas de malware y órdenes de marcha informadas para infiltrarse en el cuerpo diplomático de países que apoyan a Ucrania, explicaron el ejército polaco y la alerta CERT.
APT29 está de vuelta con nuevos pedidos
En todos los casos, la amenaza persistente avanzada (APT) comienza su ataque con un correo electrónico de phishing selectivo bien concebido, según la alerta polaca.
“Se enviaron correos electrónicos haciéndose pasar por embajadas de países europeos a personal seleccionado en puestos diplomáticos”, explicaron las autoridades. “La correspondencia contenía una invitación a una reunión o a trabajar juntos en documentos”.
Luego, el mensaje indicaría al destinatario que haga clic en un enlace o descargue un PDF para acceder al calendario del embajador u obtener detalles de la reunión; ambos envían a los objetivos a un sitio malicioso cargado con el "script de firma" del grupo de amenazas, que el informe identifica como “Explorador de envidias”.
"Lat utiliza la técnica de contrabando de HTML, mediante la cual un archivo malicioso colocado en la página se decodifica usando JavaScript cuando la página se abre y luego se descarga en el dispositivo de la víctima”, agregaron las autoridades polacas. “Esto hace que el archivo malicioso sea más difícil de detectar en el lado del servidor donde está almacenado”.
El sitio malicioso también envía a los objetivos un mensaje asegurándoles que descargaron el archivo correcto, según la alerta.
“Los ataques de phishing selectivo tienen éxito cuando las comunicaciones están bien escritas, utilizan información personal para demostrar familiaridad con el objetivo y parecen provenir de una fuente legítima”, explica Patrick Harr, director ejecutivo de SlashNext, a Dark Reading sobre la campaña. “Esta campaña de espionaje cumple con todos los criterios para el éxito”.
Un correo electrónico de phishing, por ejemplo, se hizo pasar por la embajada polaca y, curiosamente, a lo largo de la campaña observada, la herramienta Envyscout se modificó tres veces con mejoras de ofuscación, señalaron las autoridades polacas.
Una vez comprometido, el grupo usa versiones modificadas del descargador de Snowyamber, Halfrig, que se ejecuta Golpe de cobalto como código incrustado, y Quarterrig, que comparte código con Halfrig, dijo la alerta polaca.
“Estamos viendo un aumento en estos ataques en los que el mal actor usa múltiples etapas en una campaña para ajustar y mejorar el éxito”, agrega Harr. “Emplean técnicas de automatización y aprendizaje automático para identificar qué está evadiendo la detección y modificar los ataques posteriores para mejorar el éxito”.
Los gobiernos, los diplomáticos, las organizaciones internacionales y las organizaciones no gubernamentales (ONG) deben estar en alerta máxima por este y otros esfuerzos de espionaje ruso, según las autoridades polacas de ciberseguridad.
“El Servicio de Contrainteligencia Militar y CERT.PL recomiendan encarecidamente que todas las entidades que puedan estar en el área de interés del actor implementen cambios de configuración para interrumpir el mecanismo de entrega que se utilizó en la campaña descrita”, dijeron los funcionarios.
Ataques vinculados a Rusia contra la infraestructura de Canadá
Además de las advertencias de los funcionarios de seguridad cibernética polacos, durante la semana pasada, el primer ministro de Canadá, Justin Trudeau, hizo declaraciones públicas sobre una reciente serie de Ciberataques vinculados a Rusia dirigido a la infraestructura canadiense, incluyendo Ataques de denegación de servicio en hidro-Québec, servicio eléctrico, el sitio web de la oficina de Trudeau, el Puerto de Quebecy Banco Laurentiano. Trudeau dijo que los ataques cibernéticos están relacionados con el apoyo de Canadá a Ucrania.
"Un par de ataques de denegación de servicio en sitios web del gobierno, dejándolos inactivos durante unas horas, no harán que reconsideremos nuestra postura inequívoca de hacer lo que sea necesario durante el tiempo que sea necesario para apoyar a Ucrania”, dijo Trudeau. , de acuerdo a los informes.
El jefe del Centro Canadiense para la Seguridad Cibernética, Sami Khoury, dijo en una conferencia de prensa la semana pasada que si bien la infraestructura de Canadá no sufrió daños, "la amenaza es real". acceso a los canadienses, brindar atención médica o, en general, operar cualquiera de los servicios sin los cuales los canadienses no pueden prescindir, debe proteger sus sistemas”, dijo Khoury. “Monitoree sus redes. Aplicar mitigaciones.”
Los esfuerzos de Rusia contra el cibercrimen continúan
A medida que la invasión rusa de Ucrania entra en su segundo año, Mike Parkin de Vulcan Cyber dice que las campañas recientes no deberían ser una sorpresa.
“La comunidad de ciberseguridad ha estado observando las consecuencias y los daños colaterales del conflicto en Ucrania desde que comenzó, y sabemos que los actores de amenazas rusos y prorrusos estaban activos contra objetivos occidentales”. dice Parkin. “Teniendo en cuenta los niveles de actividad ciberdelincuente con los que ya estábamos lidiando, [estas son] solo algunas herramientas nuevas y objetivos nuevos, y un recordatorio para asegurarnos de que nuestras defensas estén actualizadas y configuradas correctamente”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks
