Los hackers estatales rusos apuntan a las campañas de Biden y Trump, advierte MSFT


  Un traje de negocios no hace que este hombre amenazador sea menos amenazador.
Ampliar / Vladimir Putin.

Fancy Bear: el grupo de piratas informáticos del estado ruso que le trajo los ataques de aplastar y filtrar Microsoft advierte contra el Comité Nacional Demócrata y la Agencia Mundial Antidopaje, el gusano NotPetya, que genera miles de millones de dólares en todo el mundo. Y el compromiso del filtro VPN de 500.000 enrutadores dirigido a organizaciones involucradas en las elecciones de EE. UU. Y el Reino Unido

Durante un período de dos semanas el mes pasado, el grupo intentó atacar a más de 6,900 cuentas de 28 organizaciones, dijo Microsoft. Entre septiembre de 2019 y junio pasado, Fancy Bear apuntó a decenas de miles de cuentas pertenecientes a empleados de más de 200 organizaciones. Los piratas informáticos utilizan dos técnicas, una llamada "fuerza bruta" y la otra llamada "rociado de contraseñas", para obtener las credenciales de Office365 de los objetivos. Hasta ahora, ninguno de los ataques ha tenido éxito.

Los investigadores de seguridad de un gran número de empresas coinciden en gran medida en que Fancy Bear trabaja en nombre del GRU, el servicio de inteligencia militar ruso. El GRU está vinculado a más de una década de campañas de piratería avanzada, incluidas varias que han dañado gravemente la seguridad nacional. Los miembros de la industria usan una variedad de nombres coloridos para referirse al grupo. Además de Fancy Bear, también hay Pawn Storm, Sofacy, Sednit y Tsar Team. El nombre de Microsoft para el equipo es estroncio.

"El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) observó una serie de ataques llevados a cabo por estroncio entre septiembre de 2019 y hoy", escribió Tom Burt, vicepresidente corporativo de Microsoft, en una publicación publicada el jueves. "Al igual que en 2016, Strontium está lanzando campañas para recopilar credenciales de personas o comprometer sus cuentas, presumiblemente para ayudar a recopilar información o en caso de un mal funcionamiento".

Strontium es uno de los tres grupos de piratería informática patrocinados por el gobierno que lo están haciendo. Microsoft dijo que iría a las elecciones de 2020. El circonio, que se cree que funciona para la República Popular China, se ha "dirigido a figuras de alto perfil en relación con las elecciones, incluidas personas relacionadas con la campaña presidencial de Joe Biden y líderes prominentes de la comunidad para la Asuntos". Phosphorus, que según los investigadores trabaja en nombre de la República Islámica de Irán, continúa apuntando a los informes personales de personas vinculadas a la campaña de reelección del presidente Donald Trump.

Big Bad Bear

Si bien las campañas de los tres grupos presentan un riesgo, Fancy Bear's One es la mayor amenaza dadas las habilidades y técnicas avanzadas del grupo y el historial de hacks descarados y peligrosos. En un artículo de Microsoft adjunto con detalles técnicos sobre la campaña Fancy Bear Hacking, se dice que el grupo ha optimizado y automatizado significativamente sus procesos desde 2016.

Hace cuatro años, Fancy Bear se basó en gran medida en el spear phishing, o en el envío de correos electrónicos de apariencia convincente, por parte de personal falso de Google u otras organizaciones conocidas. Los correos electrónicos que se sabe que se dirigieron al presidente de la campaña presidencial de Hillary Clinton, John Podesta, informaron falsamente a los destinatarios que sus cuentas habían sido comprometidas. Luego, los Spearphish les ordenaron que iniciaran sesión en un sitio falso y cambiaran sus contraseñas.

Ahora, Fancy Bear se basa principalmente en herramientas que realizan la propagación de contraseñas y el forzamiento brutal. El cambio facilita el trabajo a mayor escala y de forma anónima. Las herramientas se distribuyen en un grupo de alrededor de 1.100 direcciones IP, la mayoría de las cuales pertenecen al servicio de anonimización de Tor. En el artículo técnico del jueves, los investigadores de Microsoft escribieron:

Este grupo de infraestructura ha evolucionado con el tiempo, con un promedio de 20 IP que se agregan y eliminan por día. La herramienta STRONTIUM cambia los intentos de autenticación entre este grupo de IP aproximadamente una vez por segundo. Dada la amplitud y rapidez de esta técnica, es probable que STRONTIUM haya adaptado su herramienta para utilizar un servicio de anonimización para disfrazar su actividad, evadir el seguimiento y evitar la atribución.

Equilibrio de carga

Durante los ataques entre el 19 de agosto y el 3 de septiembre, Microsoft observó un promedio diario de 1.294 direcciones IP de más de 500 bloques de direcciones y 250 números de sistemas autónomos. Algunos de los bloques de red se utilizaron con más frecuencia que otros. La sobreutilización de los bloques de red brindó a los investigadores la oportunidad de rastrear las actividades de Fancy Bear utilizando el servicio de anonimización. Microsoft utilizó esta consulta de Azure Sentinel para identificar los intentos de autenticación fallidos de los tres bloques de direcciones más utilizados y agruparlos según los agentes de usuario que intentan iniciar sesión.

Las dos técnicas que usa Fancy Bear son:

  • El spray de contraseña intenta encontrar combinaciones válidas de nombre de usuario y contraseña. Suele haber unos cuatro intentos por hora en el transcurso de días o semanas. Casi todos los intentos provienen de una dirección IP diferente.
  • Fuerza bruta, que cierra una cuenta objetivo con alrededor de 300 intentos de inicio de sesión por hora durante varias horas o días.

¿Qué, estoy preocupado?

Dado que debido a las secuelas del hack de Fancy Bear en 2016, uno podría pensar que la mayoría de los destinos de alto valor han adoptado desde entonces la autenticación de múltiples factores, donde la persona que inició sesión inicia sesión con la contraseña correcta y prueba de propiedad de un dispositivo o plantilla. una huella dactilar u otros datos biométricos. Pero según Microsoft, estaría equivocado. Las cifras que la empresa publicó en octubre pasado muestran que menos del 10 por ciento de las cuentas de las grandes empresas utilizan algún tipo de MFA. Según Microsoft, la autenticación multifactor ha frustrado la mayoría de los ataques de recopilación de credenciales.

La publicación técnica del jueves también recomendó que las organizaciones objetivo de alta calidad monitoreen los registros para detectar errores de autenticación.

"Al monitorear la actividad de inicio de sesión en sus cuentas, busque cualquier tipo de patrón discernible en estas autenticaciones fallidas y realice un seguimiento a lo largo del tiempo", aconsejaron los investigadores. El rociado de contraseñas es una táctica cada vez más común por parte de los actores estatales. "

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *