Hackers ruso penetraron una agencia federal norteamericana

Es probable que los hackers de Fancy Bear de Rusia hayan penetrado en una agencia federal de EE. UU.

Nuevas pistas indican que APT28 puede estar detrás de una misteriosa intrusión que los funcionarios estadounidenses revelaron la semana pasada.

Wired



Los piratas informáticos de inteligencia militar APT28 de Rusia han estado detrás de algunos de los ataques más grandes de los últimos años. Fotografía: Reuters

Una advertencia de que piratas informáticos no identificados irrumpieron en una agencia del gobierno federal de los EE. UU. y robaron sus datos es suficientemente preocupante. Pero se vuelve aún más perturbador cuando se identifica a esos intrusos no identificados, y parece probable que formen parte de un notorio equipo de ciberespías que trabajan al servicio de la agencia de inteligencia militar de Rusia, la GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad publicó un aviso de que piratas informáticos habían penetrado en una agencia federal de EE. UU. No identificó ni a los atacantes ni a la agencia, pero detalló los métodos de los piratas informáticos y su uso de una forma nueva y única de malware en una operación que robó con éxito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificación del FBI a las víctimas de piratería obtenida por WIRED en julio sugieren una respuesta probable al misterio de quién estaba detrás de la intrusión: parecen ser Fancy Bear, un equipo de piratas informáticos que trabaja para GRU de Rusia. También conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de piratería y filtración dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campaña de intentos de intrusión dirigida a partidos políticos, consultorías y campañas este año.

"Son un actor formidable y aún son capaces de acceder a áreas sensibles".
John Hultquist, FireEye

Las pistas que apuntan a APT28 se basan en parte en una notificación que el FBI envió a los objetivos de una campaña de piratería en mayo de este año, que WIRED obtuvo. La notificación advirtió que APT28 estaba apuntando ampliamente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumeró varias direcciones IP que estaban utilizando en sus operaciones. El investigador de Dragos, Joe Slowik, notó que una dirección IP que identificaba un servidor en Hungría que se utilizó en esa campaña APT28 coincidía con una dirección IP que figura en el aviso de CISA. Eso sugeriría que APT28 utilizó el mismo servidor húngaro en la intrusión descrita por CISA y que al menos uno de los intentos de intrusión descritos por el FBI tuvo éxito.

"Según la superposición de infraestructura, la serie de comportamientos asociados con el evento y el calendario general y la orientación del gobierno de EE. UU., Esto parece ser algo muy similar, si no es parte de, la campaña vinculada a APT28 a principios de este año. ", dice Slowik, ex director del Equipo de Respuesta a Emergencias Informáticas de Los Alamos National Labs.

Aparte de esa notificación del FBI, Slowik también encontró una segunda conexión de infraestructura. Un informe del año pasado del Departamento de Energía advirtió que APT28 había sondeado la red de una organización del gobierno de Estados Unidos desde un servidor en Letonia, enumerando la dirección IP de ese servidor. Y esa dirección IP de Letonia también reapareció en la operación de piratería descrita en el aviso de CISA. Juntos, esas IP coincidentes crean una red de infraestructura compartida que une las operaciones. "Hay superposiciones uno a uno en los dos casos", dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA también parecen superponerse con operaciones ciberdelincuentes conocidas, señala Slowik, como los foros y servidores de fraude rusos utilizados por los troyanos bancarios. Pero sugiere que eso significa que los piratas informáticos patrocinados por el estado de Rusia probablemente estén reutilizando la infraestructura de los ciberdelincuentes, tal vez para crear negación. WIRED se comunicó con CISA, así como con el FBI y el DOE, pero ninguno respondió a nuestra solicitud de comentarios.

Aunque no nombra APT28, el aviso de CISA detalla paso a paso cómo los piratas informáticos llevaron a cabo su intrusión dentro de una agencia federal no identificada. De alguna manera, los piratas informáticos habían obtenido nombres de usuario y contraseñas funcionales para varios empleados, que utilizaron para ingresar a la red. CISA admite que no sabe cómo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, según CISA, ha sido ampliamente explotada en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de línea de comandos para moverse entre las máquinas de la agencia, antes de descargar un malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a las máquinas que controlaban los piratas informáticos, comprimiéndolos en archivos .zip que podrían robar más fácilmente. 

Si bien CISA no puso a disposición de los investigadores una muestra del troyano personalizado de los hackers, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigación de malware VirusTotal desde algún lugar de los Emiratos Árabes Unidos. Al analizar esa muestra, Raiu descubrió que parece ser una creación única construida a partir de una combinación de las herramientas de piratería comunes Meterpreter y Cobalt Strike, pero sin vínculos obvios con piratas informáticos conocidos y ofuscada con múltiples capas de cifrado. "Ese envoltorio lo hace algo interesante", dice Raiu, director del equipo de análisis e investigación global de Kaspersky. "Es algo inusual y raro en el sentido de que no pudimos encontrar conexiones con nada más".

Incluso aparte de sus violaciones en 2016 del Comité Nacional Demócrata y la campaña de Clinton, los piratas informáticos APT28 de Rusia se ciernen sobre las elecciones de 2020. A principios de este mes, Microsoft advirtió que el grupo ha estado aplicando técnicas relativamente simples a gran escala para violar las organizaciones y campañas relacionadas con las elecciones en ambos lados del pasillo político. Según Microsoft, el grupo ha utilizado una combinación de rociado de contraseñas que intenta contraseñas comunes en las cuentas de muchos usuarios y la fuerza bruta de contraseñas que prueba muchas contraseñas en una sola cuenta.

Pero si APT28 es de hecho el grupo de piratas informáticos descrito en el aviso de CISA, es un recordatorio de que también son capaces de realizar operaciones de espionaje más sofisticadas y específicas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirmó de forma independiente Los hallazgos de Slowik vinculan el informe CISA con APT28. "Son un actor formidable y todavía son capaces de acceder a áreas sensibles", dice Hultquist.

APT28, antes de sus operaciones más recientes de pirateo y fuga de los últimos años, tiene una larga historia de operaciones de espionaje que se han dirigido a objetivos militares y gubernamentales de EE. UU., La OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y el FBI que rastrean las campañas de piratería APT28 relacionadas, sugieren que esas operaciones de espionaje continúan hoy.

"Ciertamente no es sorprendente que la inteligencia rusa esté tratando de penetrar en el gobierno de Estados Unidos. Eso es lo que hacen", dice Slowik. "Pero vale la pena identificar que esa actividad no solo continúa, sino que ha tenido éxito".