Los hackers rusos de Fancy Bear probablemente irrumpieron en una agencia federal


SONY DSC

Boris SV | imágenes falsas

Una advertencia de que piratas informáticos no identificados irrumpieron en una agencia federal de EE. UU. Y robaron sus datos es bastante preocupante. Se vuelve aún más preocupante cuando se identifica a estos intrusos no identificados, y probablemente son parte de un infame equipo de ciberespías que trabajan para la agencia de inteligencia militar rusa GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad publicó un aviso de que los piratas informáticos habían irrumpido en una agencia federal de EE. UU. Ni los atacantes ni la agencia fueron identificados, pero detallaron los métodos utilizados por los piratas informáticos y su uso de una forma nueva y única de malware en un proceso que robó con éxito los datos del objetivo. Las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificación del FBI a las víctimas de piratería recibida por WIRED en julio sugieren una respuesta probable al misterio de quién estaba detrás de la intrusión: parece ser Fancy Bear to Act, un equipo de hackers que trabajaba para el GRU de Rusia. El grupo, también conocido como APT28, fue responsable de todo, desde operaciones de piratería y filtración dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campaña de intentos de interferencia contra partidos políticos, empresas consultoras y campañas ese año. .

Las referencias a APT28 se basan en parte en una notificación que el FBI envió a los objetivos de una campaña de piratería en mayo de este año que recibió WIRED. La notificación advirtió que APT28 está apuntando principalmente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumeró varias direcciones IP que utilizaron para sus operaciones. El investigador de Dragos, Joe Slowik, señaló que una dirección IP que identificó un servidor utilizado en Hungría en esta campaña APT28 coincidía con una dirección IP que figura en el aviso CISA. Esto indicaría que APT28 utilizó el mismo servidor húngaro en la intervención descrita por CISA, y que al menos uno de los intentos de intervención descritos por el FBI tuvo éxito.

«Dada la superposición en la infraestructura, la variedad de comportamientos involucrados en el evento y el momento y la dirección generales del gobierno de los Estados Unidos, esto parece muy similar, si no parte de, a la campaña relacionada con APT28 a principios de este año. » «dice Slowik, ex jefe del Equipo de Respuesta a Emergencias Informáticas en Los Alamos National Labs.

Además de esta notificación del FBI, Slowik también encontró una segunda conexión de infraestructura. Un informe del Departamento de Energía del año pasado advirtió que APT28 estaba investigando la red de una organización del gobierno de EE. UU. Desde un servidor en Letonia y enumerando la dirección IP de ese servidor. Y esta dirección IP de Letonia también reapareció durante la operación de piratería descrita en el informe CISA. Juntas, estas IP coincidentes forman una red de infraestructura compartida que conecta los procesos entre sí. «En ambos casos hay una superposición de uno a uno», dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA también parecen superponerse con ciberdelincuentes conocidos, como señala Slowik, como los foros de fraude rusos y los servidores utilizados por los troyanos bancarios. Pero sugiere que los piratas informáticos patrocinados por el estado de Rusia probablemente estén reutilizando la infraestructura del ciberdelincuente, tal vez para crear negación. WIRED se comunicó con CISA, así como con el FBI y el DOE, pero ninguno respondió a nuestra solicitud de comentarios.

Aunque no se menciona APT28, la recomendación de CISA detalla paso a paso cómo los piratas informáticos se infiltraron en una agencia federal no identificada. De alguna manera, los piratas informáticos habían recibido nombres de usuario y contraseñas funcionales para varios empleados que se utilizaron para obtener acceso a la red. CISA admite que no sabe cómo se obtuvieron estas credenciales, pero el informe especula que los atacantes pueden haber explotado una falla de seguridad conocida en Pulse Secure VPN que, según CISA, está muy extendida en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de línea de comandos para cambiar entre las computadoras de la agencia antes de descargar cualquier malware personalizado. Luego usaron este malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a computadoras controladas por los piratas informáticos, comprimiéndolos en archivos ZIP que eran más fáciles de robar para ellos.

Si bien CISA no proporcionó a los investigadores una muestra del troyano personalizado de los piratas informáticos, el investigador de seguridad Costin Raiu dijo que los atributos del malware coincidían con otro ejemplo cargado en el repositorio de investigación de malware VirusTotal desde algún lugar de los Emiratos Árabes Unidos. . Al analizar este ejemplo, Raiu descubrió que era una creación única, que consistía en una combinación de las populares herramientas de piratería Meterpreter y Cobalt Strike, pero sin conexiones obvias con piratas informáticos conocidos y disfrazada con múltiples capas de cifrado. «Ese empaque lo hace algo interesante», dijo Raiu, director del equipo de análisis e investigación global de Kaspersky. «Es inusual y raro en el sentido de que no pudimos encontrar una conexión con nada más».

Además de sus violaciones al Comité Nacional Demócrata de 2016 y la campaña de Clinton, los piratas informáticos APT28 de Rusia se enfrentan a las elecciones de 2020. A principios de este mes, Microsoft advirtió que el grupo había implementado técnicas relativamente simples y a gran escala para atacar organizaciones y campañas relacionadas con las elecciones para abrirse paso a ambos lados del corredor político. Según Microsoft, el grupo utilizó una combinación de rociado de contraseñas, que usa contraseñas comunes en las cuentas de muchos usuarios, y fuerza bruta de contraseñas, que intenta intentar muchas contraseñas para una sola cuenta.

Pero si APT28 es de hecho el grupo de piratería descrito en el aviso de CISA, es un recordatorio de que también son capaces de realizar operaciones de espionaje más sofisticadas y específicas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirmó de forma independiente los hallazgos de Slowik. vinculando el informe CISA con APT28. «Eres un actor formidable y aún puedes acceder a áreas sensibles», dice Hultquist.

Antes de sus recientes operaciones de piratería y fuga en los últimos años, APT28 tiene una larga historia de operaciones de espionaje dirigidas a objetivos de los gobiernos y militares de los EE. UU., La OTAN y Europa del Este. El informe de CISA, así como los resultados de las campañas de piratería APT28 relacionadas con el seguimiento del DOE y el FBI, sugieren que estas operaciones de espionaje continúan hasta el día de hoy.

«Ciertamente no es sorprendente que el servicio secreto ruso intente penetrar en el gobierno de Estados Unidos. Así es como lo hacen», dice Slowik. «Vale la pena señalar, sin embargo, que tales actividades no solo continúan sino que también han tenido éxito».

Esta historia apareció originalmente en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *