Ir al contenido principal

Hackers ruso penetraron una agencia federal norteamericana

Es probable que los hackers de Fancy Bear de Rusia hayan penetrado en una agencia federal de EE. UU.

Nuevas pistas indican que APT28 puede estar detrás de una misteriosa intrusión que los funcionarios estadounidenses revelaron la semana pasada.

Wired



Los piratas informáticos de inteligencia militar APT28 de Rusia han estado detrás de algunos de los ataques más grandes de los últimos años. Fotografía: Reuters

Una advertencia de que piratas informáticos no identificados irrumpieron en una agencia del gobierno federal de los EE. UU. y robaron sus datos es suficientemente preocupante. Pero se vuelve aún más perturbador cuando se identifica a esos intrusos no identificados, y parece probable que formen parte de un notorio equipo de ciberespías que trabajan al servicio de la agencia de inteligencia militar de Rusia, la GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad publicó un aviso de que piratas informáticos habían penetrado en una agencia federal de EE. UU. No identificó ni a los atacantes ni a la agencia, pero detalló los métodos de los piratas informáticos y su uso de una forma nueva y única de malware en una operación que robó con éxito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificación del FBI a las víctimas de piratería obtenida por WIRED en julio sugieren una respuesta probable al misterio de quién estaba detrás de la intrusión: parecen ser Fancy Bear, un equipo de piratas informáticos que trabaja para GRU de Rusia. También conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de piratería y filtración dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campaña de intentos de intrusión dirigida a partidos políticos, consultorías y campañas este año.

"Son un actor formidable y aún son capaces de acceder a áreas sensibles".
John Hultquist, FireEye

Las pistas que apuntan a APT28 se basan en parte en una notificación que el FBI envió a los objetivos de una campaña de piratería en mayo de este año, que WIRED obtuvo. La notificación advirtió que APT28 estaba apuntando ampliamente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumeró varias direcciones IP que estaban utilizando en sus operaciones. El investigador de Dragos, Joe Slowik, notó que una dirección IP que identificaba un servidor en Hungría que se utilizó en esa campaña APT28 coincidía con una dirección IP que figura en el aviso de CISA. Eso sugeriría que APT28 utilizó el mismo servidor húngaro en la intrusión descrita por CISA y que al menos uno de los intentos de intrusión descritos por el FBI tuvo éxito.

"Según la superposición de infraestructura, la serie de comportamientos asociados con el evento y el calendario general y la orientación del gobierno de EE. UU., Esto parece ser algo muy similar, si no es parte de, la campaña vinculada a APT28 a principios de este año. ", dice Slowik, ex director del Equipo de Respuesta a Emergencias Informáticas de Los Alamos National Labs.

Aparte de esa notificación del FBI, Slowik también encontró una segunda conexión de infraestructura. Un informe del año pasado del Departamento de Energía advirtió que APT28 había sondeado la red de una organización del gobierno de Estados Unidos desde un servidor en Letonia, enumerando la dirección IP de ese servidor. Y esa dirección IP de Letonia también reapareció en la operación de piratería descrita en el aviso de CISA. Juntos, esas IP coincidentes crean una red de infraestructura compartida que une las operaciones. "Hay superposiciones uno a uno en los dos casos", dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA también parecen superponerse con operaciones ciberdelincuentes conocidas, señala Slowik, como los foros y servidores de fraude rusos utilizados por los troyanos bancarios. Pero sugiere que eso significa que los piratas informáticos patrocinados por el estado de Rusia probablemente estén reutilizando la infraestructura de los ciberdelincuentes, tal vez para crear negación. WIRED se comunicó con CISA, así como con el FBI y el DOE, pero ninguno respondió a nuestra solicitud de comentarios.

Aunque no nombra APT28, el aviso de CISA detalla paso a paso cómo los piratas informáticos llevaron a cabo su intrusión dentro de una agencia federal no identificada. De alguna manera, los piratas informáticos habían obtenido nombres de usuario y contraseñas funcionales para varios empleados, que utilizaron para ingresar a la red. CISA admite que no sabe cómo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, según CISA, ha sido ampliamente explotada en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de línea de comandos para moverse entre las máquinas de la agencia, antes de descargar un malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a las máquinas que controlaban los piratas informáticos, comprimiéndolos en archivos .zip que podrían robar más fácilmente. 

Si bien CISA no puso a disposición de los investigadores una muestra del troyano personalizado de los hackers, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigación de malware VirusTotal desde algún lugar de los Emiratos Árabes Unidos. Al analizar esa muestra, Raiu descubrió que parece ser una creación única construida a partir de una combinación de las herramientas de piratería comunes Meterpreter y Cobalt Strike, pero sin vínculos obvios con piratas informáticos conocidos y ofuscada con múltiples capas de cifrado. "Ese envoltorio lo hace algo interesante", dice Raiu, director del equipo de análisis e investigación global de Kaspersky. "Es algo inusual y raro en el sentido de que no pudimos encontrar conexiones con nada más".

Incluso aparte de sus violaciones en 2016 del Comité Nacional Demócrata y la campaña de Clinton, los piratas informáticos APT28 de Rusia se ciernen sobre las elecciones de 2020. A principios de este mes, Microsoft advirtió que el grupo ha estado aplicando técnicas relativamente simples a gran escala para violar las organizaciones y campañas relacionadas con las elecciones en ambos lados del pasillo político. Según Microsoft, el grupo ha utilizado una combinación de rociado de contraseñas que intenta contraseñas comunes en las cuentas de muchos usuarios y la fuerza bruta de contraseñas que prueba muchas contraseñas en una sola cuenta.

Pero si APT28 es de hecho el grupo de piratas informáticos descrito en el aviso de CISA, es un recordatorio de que también son capaces de realizar operaciones de espionaje más sofisticadas y específicas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirmó de forma independiente Los hallazgos de Slowik vinculan el informe CISA con APT28. "Son un actor formidable y todavía son capaces de acceder a áreas sensibles", dice Hultquist.

APT28, antes de sus operaciones más recientes de pirateo y fuga de los últimos años, tiene una larga historia de operaciones de espionaje que se han dirigido a objetivos militares y gubernamentales de EE. UU., La OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y el FBI que rastrean las campañas de piratería APT28 relacionadas, sugieren que esas operaciones de espionaje continúan hoy.

"Ciertamente no es sorprendente que la inteligencia rusa esté tratando de penetrar en el gobierno de Estados Unidos. Eso es lo que hacen", dice Slowik. "Pero vale la pena identificar que esa actividad no solo continúa, sino que ha tenido éxito". 

Etiquetas

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Kirchnerismo va armando un nuevo eje castro-chavista?

¿Se viene un nuevo eje castro-chavista de la mano del neo kirchnerismo? Por Enrique Guillermo Avogadro - Tribuna de Periodistas Mierda cubana combinada con mierda K... ¿qué puede salir mal? Entre canalladas y confirmaciones “Si no nos despertamos rápido, si el acto necesario de abrir los ojos se posterga y se alarga, vasto, titubeante, con los párpados aletargados y morosos, los astutos nos despellejan como rayos a los zombies”. Miguel Wiñazki Una semana después de haber sido obligado a quedarse en su casa, ¿cómo se siente usted? La mayoría comienza a caer en una desesperación que la lleva a transgredir las normas de la cuarentena, aunque se preocupe por sus parientes que, por ser mayores, están en la principal franja de riesgo. El encierro compulsivo produce graves y siempre nocivos efectos, tal como nos podrían contar las jóvenes familias con hijos chicos. Pero cuando mil viejos –todos tienen más de 65 años y, muchos, más de 80- piden con desesperación que se les otorg...
Publicar un comentario
Leer más

El enemigo global: Los pesqueros chinos

China arrasa los mares: cómo opera la flota de pesca ilegal que depreda con apoyo oficial y su actividad en Argentina  Se trata de una auténtica armada que se mueve de zona en zona agotando la riqueza natural disponible. Sus tripulantes son sometidos a tratos inhumanos Por Patricio Eleisegui iProfesional Ahora está anclada en torno a las islas Galápagos, en Ecuador, pero hacia fin de año el grueso de sus integrantes pondrá proa hacia los mares del sur. Con la estrategia definida de concentrar actividades en el límite de la zona económica exclusiva de Argentina en el Atlántico. El objetivo: saquear la enorme reserva de calamares que todavía subsiste en esta parte del mundo, en un negocio de depredación que año tras año mueve más de 700 millones de dólares . Conformada por más de 300 buques, y con apoyo económico del régimen que lidera Xi Jinping, la flota de pesca en aguas distantes de China reúne en un solo actor los peores atributos en cuanto a métodos extractivista...
1 comentario
Leer más

Chile reclama ahora por la plataforma continental otorgada por la ONU a la Argentina

Chile reclamó a la Argentina por el mapa de la plataforma continental y generó otro cortocircuito diplomático El gobierno de Piñera envió una nota a la Cancillería. Allí objetó la extensión de la plataforma continental submarina que la ONU otorgó en el 2016 a la Argentina. Felipe Solá enviará al Congreso en los próximos días un proyecto tendiente a fijar los nuevos límites en los mapas Por Martín Dinatale || Infobae En medio de la puja diplomática por los datos de los números de la pandemia de coronavirus, los gobiernos de Chile y la Argentina ingresaron en otra disputa mayor vinculada a las delimitaciones fronterizas: la plataforma continental submarina. El ministerio de Relaciones Exteriores de Chile envío el 11 de mayo pasado una nota diplomática a la Argentina señalando que la plataforma extendida que pretende la Argentina y que fuera avalada en el 2016 por Naciones Unidas “no son oponibles a nuestro país”. Así, se suma una nueva disputa entre Chile y la Argentina lueg...
Publicar un comentario
Leer más