Ir al contenido principal

Hackers ruso penetraron una agencia federal norteamericana

Es probable que los hackers de Fancy Bear de Rusia hayan penetrado en una agencia federal de EE. UU.

Nuevas pistas indican que APT28 puede estar detr谩s de una misteriosa intrusi贸n que los funcionarios estadounidenses revelaron la semana pasada.

Wired



Los piratas inform谩ticos de inteligencia militar APT28 de Rusia han estado detr谩s de algunos de los ataques m谩s grandes de los 煤ltimos a帽os. Fotograf铆a: Reuters

Una advertencia de que piratas inform谩ticos no identificados irrumpieron en una agencia del gobierno federal de los EE. UU. y robaron sus datos es suficientemente preocupante. Pero se vuelve a煤n m谩s perturbador cuando se identifica a esos intrusos no identificados, y parece probable que formen parte de un notorio equipo de ciberesp铆as que trabajan al servicio de la agencia de inteligencia militar de Rusia, la GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad public贸 un aviso de que piratas inform谩ticos hab铆an penetrado en una agencia federal de EE. UU. No identific贸 ni a los atacantes ni a la agencia, pero detall贸 los m茅todos de los piratas inform谩ticos y su uso de una forma nueva y 煤nica de malware en una operaci贸n que rob贸 con 茅xito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificaci贸n del FBI a las v铆ctimas de pirater铆a obtenida por WIRED en julio sugieren una respuesta probable al misterio de qui茅n estaba detr谩s de la intrusi贸n: parecen ser Fancy Bear, un equipo de piratas inform谩ticos que trabaja para GRU de Rusia. Tambi茅n conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de pirater铆a y filtraci贸n dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campa帽a de intentos de intrusi贸n dirigida a partidos pol铆ticos, consultor铆as y campa帽as este a帽o.

"Son un actor formidable y a煤n son capaces de acceder a 谩reas sensibles".
John Hultquist, FireEye

Las pistas que apuntan a APT28 se basan en parte en una notificaci贸n que el FBI envi贸 a los objetivos de una campa帽a de pirater铆a en mayo de este a帽o, que WIRED obtuvo. La notificaci贸n advirti贸 que APT28 estaba apuntando ampliamente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumer贸 varias direcciones IP que estaban utilizando en sus operaciones. El investigador de Dragos, Joe Slowik, not贸 que una direcci贸n IP que identificaba un servidor en Hungr铆a que se utiliz贸 en esa campa帽a APT28 coincid铆a con una direcci贸n IP que figura en el aviso de CISA. Eso sugerir铆a que APT28 utiliz贸 el mismo servidor h煤ngaro en la intrusi贸n descrita por CISA y que al menos uno de los intentos de intrusi贸n descritos por el FBI tuvo 茅xito.

"Seg煤n la superposici贸n de infraestructura, la serie de comportamientos asociados con el evento y el calendario general y la orientaci贸n del gobierno de EE. UU., Esto parece ser algo muy similar, si no es parte de, la campa帽a vinculada a APT28 a principios de este a帽o. ", dice Slowik, ex director del Equipo de Respuesta a Emergencias Inform谩ticas de Los Alamos National Labs.

Aparte de esa notificaci贸n del FBI, Slowik tambi茅n encontr贸 una segunda conexi贸n de infraestructura. Un informe del a帽o pasado del Departamento de Energ铆a advirti贸 que APT28 hab铆a sondeado la red de una organizaci贸n del gobierno de Estados Unidos desde un servidor en Letonia, enumerando la direcci贸n IP de ese servidor. Y esa direcci贸n IP de Letonia tambi茅n reapareci贸 en la operaci贸n de pirater铆a descrita en el aviso de CISA. Juntos, esas IP coincidentes crean una red de infraestructura compartida que une las operaciones. "Hay superposiciones uno a uno en los dos casos", dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA tambi茅n parecen superponerse con operaciones ciberdelincuentes conocidas, se帽ala Slowik, como los foros y servidores de fraude rusos utilizados por los troyanos bancarios. Pero sugiere que eso significa que los piratas inform谩ticos patrocinados por el estado de Rusia probablemente est茅n reutilizando la infraestructura de los ciberdelincuentes, tal vez para crear negaci贸n. WIRED se comunic贸 con CISA, as铆 como con el FBI y el DOE, pero ninguno respondi贸 a nuestra solicitud de comentarios.

Aunque no nombra APT28, el aviso de CISA detalla paso a paso c贸mo los piratas inform谩ticos llevaron a cabo su intrusi贸n dentro de una agencia federal no identificada. De alguna manera, los piratas inform谩ticos hab铆an obtenido nombres de usuario y contrase帽as funcionales para varios empleados, que utilizaron para ingresar a la red. CISA admite que no sabe c贸mo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, seg煤n CISA, ha sido ampliamente explotada en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de l铆nea de comandos para moverse entre las m谩quinas de la agencia, antes de descargar un malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a las m谩quinas que controlaban los piratas inform谩ticos, comprimi茅ndolos en archivos .zip que podr铆an robar m谩s f谩cilmente. 

Si bien CISA no puso a disposici贸n de los investigadores una muestra del troyano personalizado de los hackers, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigaci贸n de malware VirusTotal desde alg煤n lugar de los Emiratos 脕rabes Unidos. Al analizar esa muestra, Raiu descubri贸 que parece ser una creaci贸n 煤nica construida a partir de una combinaci贸n de las herramientas de pirater铆a comunes Meterpreter y Cobalt Strike, pero sin v铆nculos obvios con piratas inform谩ticos conocidos y ofuscada con m煤ltiples capas de cifrado. "Ese envoltorio lo hace algo interesante", dice Raiu, director del equipo de an谩lisis e investigaci贸n global de Kaspersky. "Es algo inusual y raro en el sentido de que no pudimos encontrar conexiones con nada m谩s".

Incluso aparte de sus violaciones en 2016 del Comit茅 Nacional Dem贸crata y la campa帽a de Clinton, los piratas inform谩ticos APT28 de Rusia se ciernen sobre las elecciones de 2020. A principios de este mes, Microsoft advirti贸 que el grupo ha estado aplicando t茅cnicas relativamente simples a gran escala para violar las organizaciones y campa帽as relacionadas con las elecciones en ambos lados del pasillo pol铆tico. Seg煤n Microsoft, el grupo ha utilizado una combinaci贸n de rociado de contrase帽as que intenta contrase帽as comunes en las cuentas de muchos usuarios y la fuerza bruta de contrase帽as que prueba muchas contrase帽as en una sola cuenta.

Pero si APT28 es de hecho el grupo de piratas inform谩ticos descrito en el aviso de CISA, es un recordatorio de que tambi茅n son capaces de realizar operaciones de espionaje m谩s sofisticadas y espec铆ficas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirm贸 de forma independiente Los hallazgos de Slowik vinculan el informe CISA con APT28. "Son un actor formidable y todav铆a son capaces de acceder a 谩reas sensibles", dice Hultquist.

APT28, antes de sus operaciones m谩s recientes de pirateo y fuga de los 煤ltimos a帽os, tiene una larga historia de operaciones de espionaje que se han dirigido a objetivos militares y gubernamentales de EE. UU., La OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y el FBI que rastrean las campa帽as de pirater铆a APT28 relacionadas, sugieren que esas operaciones de espionaje contin煤an hoy.

"Ciertamente no es sorprendente que la inteligencia rusa est茅 tratando de penetrar en el gobierno de Estados Unidos. Eso es lo que hacen", dice Slowik. "Pero vale la pena identificar que esa actividad no solo contin煤a, sino que ha tenido 茅xito". 

Comentarios

Entradas populares de este blog

¿Kirchnerismo va armando un nuevo eje castro-chavista?

¿Se viene un nuevo eje castro-chavista de la mano del neo kirchnerismo? Por Enrique Guillermo Avogadro - Tribuna de Periodistas Mierda cubana combinada con mierda K... ¿qu茅 puede salir mal? Entre canalladas y confirmaciones “Si no nos despertamos r谩pido, si el acto necesario de abrir los ojos se posterga y se alarga, vasto, titubeante, con los p谩rpados aletargados y morosos, los astutos nos despellejan como rayos a los zombies”. Miguel Wi帽azki Una semana despu茅s de haber sido obligado a quedarse en su casa, ¿c贸mo se siente usted? La mayor铆a comienza a caer en una desesperaci贸n que la lleva a transgredir las normas de la cuarentena, aunque se preocupe por sus parientes que, por ser mayores, est谩n en la principal franja de riesgo. El encierro compulsivo produce graves y siempre nocivos efectos, tal como nos podr铆an contar las j贸venes familias con hijos chicos. Pero cuando mil viejos –todos tienen m谩s de 65 a帽os y, muchos, m谩s de 80- piden con desesperaci贸n que se les otorg...

El enemigo global: Los pesqueros chinos

China arrasa los mares: c贸mo opera la flota de pesca ilegal que depreda con apoyo oficial y su actividad en Argentina  Se trata de una aut茅ntica armada que se mueve de zona en zona agotando la riqueza natural disponible. Sus tripulantes son sometidos a tratos inhumanos Por Patricio Eleisegui iProfesional Ahora est谩 anclada en torno a las islas Gal谩pagos, en Ecuador, pero hacia fin de a帽o el grueso de sus integrantes pondr谩 proa hacia los mares del sur. Con la estrategia definida de concentrar actividades en el l铆mite de la zona econ贸mica exclusiva de Argentina en el Atl谩ntico. El objetivo: saquear la enorme reserva de calamares que todav铆a subsiste en esta parte del mundo, en un negocio de depredaci贸n que a帽o tras a帽o mueve m谩s de 700 millones de d贸lares . Conformada por m谩s de 300 buques, y con apoyo econ贸mico del r茅gimen que lidera Xi Jinping, la flota de pesca en aguas distantes de China re煤ne en un solo actor los peores atributos en cuanto a m茅todos extractivista...

Chile reclama ahora por la plataforma continental otorgada por la ONU a la Argentina

Chile reclam贸 a la Argentina por el mapa de la plataforma continental y gener贸 otro cortocircuito diplom谩tico El gobierno de Pi帽era envi贸 una nota a la Canciller铆a. All铆 objet贸 la extensi贸n de la plataforma continental submarina que la ONU otorg贸 en el 2016 a la Argentina. Felipe Sol谩 enviar谩 al Congreso en los pr贸ximos d铆as un proyecto tendiente a fijar los nuevos l铆mites en los mapas Por Mart铆n Dinatale || Infobae En medio de la puja diplom谩tica por los datos de los n煤meros de la pandemia de coronavirus, los gobiernos de Chile y la Argentina ingresaron en otra disputa mayor vinculada a las delimitaciones fronterizas: la plataforma continental submarina. El ministerio de Relaciones Exteriores de Chile env铆o el 11 de mayo pasado una nota diplom谩tica a la Argentina se帽alando que la plataforma extendida que pretende la Argentina y que fuera avalada en el 2016 por Naciones Unidas “no son oponibles a nuestro pa铆s”. As铆, se suma una nueva disputa entre Chile y la Argentina lueg...