El grupo Sandworm, detrás de las campañas de desinformación y piratería electoral y responsable de un corte de energía en Ucrania en 2016, ahora tiene como objetivo los servidores de correo electrónico.
Un raro aviso de la Agencia de Seguridad Nacional (NSA) de EE. UU., que advierte sobre ataques de la inteligencia militar rusa en servidores de correo electrónico vulnerables, probablemente no disuadirá al grupo de ciberespionaje del estado-nación de atacar objetivos de interés, dicen los expertos en seguridad cibernética.
El jueves, la NSA dijo a las organizaciones que una vulnerabilidad explotable de forma remota en el agente de transferencia de correo EXIM, que viene instalado de forma predeterminada en algunas versiones de Linux, está siendo atacada por "actores cibernéticos rusos del Centro Principal de GRU para Tecnologías Especiales (GTsST), número de puesto de campo 74455"; de lo contrario conocido como el grupo Sandworm. El grupo Sandworm es uno de los dos principales grupos de operaciones cibernéticas de la inteligencia militar rusa.
Pero aparte de convencer a las organizaciones objetivo de que tomen las medidas adecuadas para proteger sus sistemas, es probable que el aviso no detenga los ataques, dice Greg Lesnewich, investigador de inteligencia de amenazas en Recorded Future.
“Hemos intentado nombrar y avergonzar a los operadores individuales y la unidad; obviamente, se han intentado sanciones”, dice. “Creo que las agencias de inteligencia rusas tienen una alta tolerancia al riesgo y se sienten bastante envalentonadas para hacer lo que están haciendo, por lo que no estoy del todo seguro de qué podríamos hacer para disuadirlas de realizar estas actividades”.
El proyecto advertencia no es un buen augurio para el último ciclo electoral estadounidense. Con la política ya polarizada y la desinformación siendo utilizada regularmente por partidos políticos y rivales extranjeros, la revelación de que la inteligencia rusa probablemente haya obtenido acceso a los servidores de correo electrónico de algunas organizaciones gubernamentales y empresas es preocupante.
Además, el hecho de que una agencia de inteligencia de EE. UU. levante una bandera debería dar credibilidad a la información y puede estimular la acción, dice Lesnewich.
“Principalmente, es para ayudar a las empresas y entidades estadounidenses, y potencialmente a algunas del Reino Unido, Australia y Canadá, a parchear estos servidores para evitar que ocurran incidentes”, dice. “Además, al nombrar la unidad GRU asociada a la actividad, están poniendo recursos y una advertencia para ayudar al público. Estamos en un año electoral, y esta actividad de GRU ha estado implicada en la intromisión electoral tanto en los EE. UU. como en el extranjero”.
Registro de ataque
Durante al menos 15 años, el grupo Sandworm, también conocido como Iridium, Electrum, BlackEnergy y Voodoo Bear – ha comprometido una variedad de objetivos políticos, sembrado desinformación y recopilado inteligencia sobre los rivales e intereses de Rusia. En dos ocasiones provocó cortes de energía en Ucrania y atacó los Juegos Olímpicos de Invierno de 2018 con el ataque del Destructor Olímpico. El grupo también comenzó a enfocarse en implementar malware de Android para apuntar a objetivos de Corea del Sur y Ucrania mediante la creación de aplicaciones de imitación que se parecían a otras aplicaciones, en un caso comprometiendo una cuenta de desarrollador, según el Grupo de Análisis de Amenazas de Google.
La agencia del gobierno ruso detrás de los ataques, conocida como la Dirección Principal del Estado Mayor General de las Fuerzas Armadas (GRU), es uno de los actores estatales más conocidos en Internet, afirmó la consultora global Booz Allen Hamilton en un comunicado. análisis en profundidad de los ataques de gusanos de arena Publicado en marzo de 2020.
“El GRU no es la única agencia del gobierno ruso que lleva a cabo operaciones cibernéticas, pero es la organización de operaciones cibernéticas más minuciosamente documentada y consistentemente implicada públicamente en Rusia”, según el análisis de 84 páginas. “En los últimos años, los Estados Unidos, sus aliados y sus socios han atribuido repetida, explícita e inequívocamente numerosos eventos cibernéticos, personas encubiertas y nombres de grupos de la industria de la seguridad a la GRU”.
La vulnerabilidad EXIM (CVE-2019-10149) es trivial de explotar y solo requiere que se envíe un comando especialmente diseñado en el archivo "CORREO DE" de un mensaje, advirtió la NSA en el último aviso. “Cuando CVE-2019-10149 se explota con éxito, un actor puede ejecutar el código de su elección”, dijo la NSA.
El código descargado de dominios vinculados a Sandworm y ejecutado en servidores explotados agrega usuarios privilegiados, desactiva la seguridad de algunas redes, modifica la configuración de SSH para permitir el acceso remoto de los atacantes y ejecuta otro código para comprometer aún más la red, indicó el aviso de la NSA.
EXIM es un agente de transferencia de correo popular, los servidores que barajan el correo electrónico en Internet, con casi 5.3 millones de computadoras que ejecutan el software. Al menos el 30% de esos servidores ejecutan versiones EXIM vulnerables, según datos de Servicio de inteligencia de Internet Shodan.io.
Los atacantes comenzaron a apuntar al software en agosto de 2019 y descargaron scripts de dominios y servidores que se sabe que pertenecen al grupo Sandworm, declaró la NSA en su aviso. La advertencia de la agencia es un "movimiento trifecta raro" porque la NSA está sacando a la luz a un actor de amenazas en particular, advirtiendo sobre una vulnerabilidad y lanzando indicadores de compromiso, dice
“Es una especie de algo sin precedentes para ellos publicar, lo que sugiere que estos operadores han alcanzado objetivos de interés dentro de los EE. UU. o dentro de un aparato de inteligencia extranjero amigo”, dice. “Y eso significa que debe haber casos de algunos objetivos jugosos que están usando el servidor de correo EXIM para que se preocupen”.
La atribución es útil en este caso porque el acceso a los servidores de correo electrónico es un paso crítico en una operación ciberdelincuente común conocida como compromiso de correo electrónico comercial (BEC), pero no se sabe que el grupo ruso use tales tácticas. Bajo el esquema lucrativo, los estafadores usan un servidor de correo electrónico comprometido para interceptar mensajes y facturas enviadas entre un proveedor y sus clientes. Al usar el acceso para solicitar cambios en la información de la cuenta bancaria, los atacantes han desviado los pagos a sus propias cuentas, lo que resulta en BEC encabezando la lista de daños por operaciones cibercriminales.
Contenido relacionado:
Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading, MIT's Technology Review, Popular Science y Wired News. Cinco premios para periodismo, incluyendo Mejor fecha límite ... Ver Biografía completa
Lecturas recomendadas:
Más Información
