Es probable que los hackers de Fancy Bear de Rusia hayan penetrado en una agencia federal de EE. UU.
Nuevas
pistas indican que APT28 puede estar detr谩s de una misteriosa intrusi贸n
que los funcionarios estadounidenses revelaron la semana pasada.
Wired
Los piratas inform谩ticos de inteligencia militar APT28 de Rusia han estado detr谩s de algunos de los ataques m谩s grandes de los 煤ltimos a帽os. Fotograf铆a: Reuters
Una advertencia de que piratas inform谩ticos no identificados irrumpieron en una agencia del gobierno federal de los EE. UU. y robaron sus datos es suficientemente preocupante. Pero se vuelve a煤n m谩s perturbador cuando se identifica a esos intrusos no identificados, y parece probable que formen parte de un notorio equipo de ciberesp铆as que trabajan al servicio de la agencia de inteligencia militar de Rusia, la GRU.
La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad public贸 un aviso de que piratas inform谩ticos hab铆an penetrado en una agencia federal de EE. UU. No identific贸 ni a los atacantes ni a la agencia, pero detall贸 los m茅todos de los piratas inform谩ticos y su uso de una forma nueva y 煤nica de malware en una operaci贸n que rob贸 con 茅xito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificaci贸n del FBI a las v铆ctimas de pirater铆a obtenida por WIRED en julio sugieren una respuesta probable al misterio de qui茅n estaba detr谩s de la intrusi贸n: parecen ser Fancy Bear, un equipo de piratas inform谩ticos que trabaja para GRU de Rusia. Tambi茅n conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de pirater铆a y filtraci贸n dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campa帽a de intentos de intrusi贸n dirigida a partidos pol铆ticos, consultor铆as y campa帽as este a帽o.
"Son un actor formidable y a煤n son capaces de acceder a 谩reas sensibles".
John Hultquist, FireEye
Las pistas que apuntan a APT28 se basan en parte en una notificaci贸n que el FBI envi贸 a los objetivos de una campa帽a de pirater铆a en mayo de este a帽o, que WIRED obtuvo. La notificaci贸n advirti贸 que APT28 estaba apuntando ampliamente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumer贸 varias direcciones IP que estaban utilizando en sus operaciones. El investigador de Dragos, Joe Slowik, not贸 que una direcci贸n IP que identificaba un servidor en Hungr铆a que se utiliz贸 en esa campa帽a APT28 coincid铆a con una direcci贸n IP que figura en el aviso de CISA. Eso sugerir铆a que APT28 utiliz贸 el mismo servidor h煤ngaro en la intrusi贸n descrita por CISA y que al menos uno de los intentos de intrusi贸n descritos por el FBI tuvo 茅xito.
"Seg煤n la superposici贸n de infraestructura, la serie de comportamientos asociados con el evento y el calendario general y la orientaci贸n del gobierno de EE. UU., Esto parece ser algo muy similar, si no es parte de, la campa帽a vinculada a APT28 a principios de este a帽o. ", dice Slowik, ex director del Equipo de Respuesta a Emergencias Inform谩ticas de Los Alamos National Labs.
Aparte de esa notificaci贸n del FBI, Slowik tambi茅n encontr贸 una segunda conexi贸n de infraestructura. Un informe del a帽o pasado del Departamento de Energ铆a advirti贸 que APT28 hab铆a sondeado la red de una organizaci贸n del gobierno de Estados Unidos desde un servidor en Letonia, enumerando la direcci贸n IP de ese servidor. Y esa direcci贸n IP de Letonia tambi茅n reapareci贸 en la operaci贸n de pirater铆a descrita en el aviso de CISA. Juntos, esas IP coincidentes crean una red de infraestructura compartida que une las operaciones. "Hay superposiciones uno a uno en los dos casos", dice Slowik.
De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA tambi茅n parecen superponerse con operaciones ciberdelincuentes conocidas, se帽ala Slowik, como los foros y servidores de fraude rusos utilizados por los troyanos bancarios. Pero sugiere que eso significa que los piratas inform谩ticos patrocinados por el estado de Rusia probablemente est茅n reutilizando la infraestructura de los ciberdelincuentes, tal vez para crear negaci贸n. WIRED se comunic贸 con CISA, as铆 como con el FBI y el DOE, pero ninguno respondi贸 a nuestra solicitud de comentarios.
Aunque no nombra APT28, el aviso de CISA detalla paso a paso c贸mo los piratas inform谩ticos llevaron a cabo su intrusi贸n dentro de una agencia federal no identificada. De alguna manera, los piratas inform谩ticos hab铆an obtenido nombres de usuario y contrase帽as funcionales para varios empleados, que utilizaron para ingresar a la red. CISA admite que no sabe c贸mo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, seg煤n CISA, ha sido ampliamente explotada en todo el gobierno federal.
Luego, los intrusos utilizaron herramientas de l铆nea de comandos para moverse entre las m谩quinas de la agencia, antes de descargar un malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a las m谩quinas que controlaban los piratas inform谩ticos, comprimi茅ndolos en archivos .zip que podr铆an robar m谩s f谩cilmente.
Si bien CISA no puso a disposici贸n de los investigadores una muestra del troyano personalizado de los hackers, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigaci贸n de malware VirusTotal desde alg煤n lugar de los Emiratos 脕rabes Unidos. Al analizar esa muestra, Raiu descubri贸 que parece ser una creaci贸n 煤nica construida a partir de una combinaci贸n de las herramientas de pirater铆a comunes Meterpreter y Cobalt Strike, pero sin v铆nculos obvios con piratas inform谩ticos conocidos y ofuscada con m煤ltiples capas de cifrado. "Ese envoltorio lo hace algo interesante", dice Raiu, director del equipo de an谩lisis e investigaci贸n global de Kaspersky. "Es algo inusual y raro en el sentido de que no pudimos encontrar conexiones con nada m谩s".
Incluso aparte de sus violaciones en 2016 del Comit茅 Nacional Dem贸crata y la campa帽a de Clinton, los piratas inform谩ticos APT28 de Rusia se ciernen sobre las elecciones de 2020. A principios de este mes, Microsoft advirti贸 que el grupo ha estado aplicando t茅cnicas relativamente simples a gran escala para violar las organizaciones y campa帽as relacionadas con las elecciones en ambos lados del pasillo pol铆tico. Seg煤n Microsoft, el grupo ha utilizado una combinaci贸n de rociado de contrase帽as que intenta contrase帽as comunes en las cuentas de muchos usuarios y la fuerza bruta de contrase帽as que prueba muchas contrase帽as en una sola cuenta.
Pero si APT28 es de hecho el grupo de piratas inform谩ticos descrito en el aviso de CISA, es un recordatorio de que tambi茅n son capaces de realizar operaciones de espionaje m谩s sofisticadas y espec铆ficas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirm贸 de forma independiente Los hallazgos de Slowik vinculan el informe CISA con APT28. "Son un actor formidable y todav铆a son capaces de acceder a 谩reas sensibles", dice Hultquist.
APT28, antes de sus operaciones m谩s recientes de pirateo y fuga de los 煤ltimos a帽os, tiene una larga historia de operaciones de espionaje que se han dirigido a objetivos militares y gubernamentales de EE. UU., La OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y el FBI que rastrean las campa帽as de pirater铆a APT28 relacionadas, sugieren que esas operaciones de espionaje contin煤an hoy.
"Ciertamente no es sorprendente que la inteligencia rusa est茅 tratando de penetrar en el gobierno de Estados Unidos. Eso es lo que hacen", dice Slowik. "Pero vale la pena identificar que esa actividad no solo contin煤a, sino que ha tenido 茅xito".
Comentarios
Publicar un comentario