Hackers rusos Fancy Bear probablemente irrumpieron en una agencia federal

SONY DSC

Boris SV | imágenes falsas

Una advertencia de que piratas informáticos no identificados irrumpieron en una agencia del gobierno federal de EE. UU. Y robaron sus datos es lo suficientemente preocupante. Pero se vuelve aún más perturbador cuando esos intrusos no identificados son identificados y parecen ser parte de un notorio equipo cibernético que trabaja al servicio de la agencia de inteligencia militar rusa, GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad publicó una advertencia de que los piratas informáticos habían penetrado en una agencia federal de EE. UU. No identificó ni a los atacantes ni a la agencia, pero detalló los métodos de los hackers y su uso de una forma nueva y única de malware en una operación que robó con éxito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificación del FBI a las víctimas de piratería obtenida por WIRED en julio sugieren una respuesta probable al misterio de quién estaba detrás de la intrusión: parecen ser Fancy Bear. un equipo de piratas informáticos que trabaja para el GRU de Rusia. También conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de piratería y filtración dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campaña de intentos de intrusión contra partidos políticos, empresas de consultoría y campañas este año.

Las pistas que apuntan a APT28 se basan en parte en una notificación que el FBI envió a los objetivos de una campaña de piratería en mayo de este año, que WIRED obtuvo. La notificación advirtió que APT28 estaba apuntando a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumeró varias direcciones IP que estaban usando en sus operaciones. El investigador de Dragos, Joe Slowik, señaló que una dirección IP que identifica un servidor en Hungría utilizada en esa campaña APT28 coincidía con una dirección IP que figura en el aviso CISA. Esto sugeriría que APT28 usó el mismo servidor húngaro en la intrusión descrita por CISA y que al menos uno de los intentos de intrusión descritos por el FBI tuvo éxito.

«Según la superposición de infraestructura, la variedad de comportamientos asociados con el evento y el calendario y los objetivos generales del gobierno de los EE. UU., Esto parece ser algo muy similar, si no parte de, la campaña relacionada con APT28 al principio. este año ”, dice Slowik, ex director del equipo de respuesta a emergencias cibernéticas de Los Alamos National Labs.

Además de esa notificación del FBI, Slowik también encontró una segunda conexión con la infraestructura. Un informe del Departamento de Energía del año pasado advirtió que APT28 había sondeado la red de una organización del gobierno de EE. UU. Desde un servidor en Letonia, enumerando la dirección IP de ese servidor. Y esa dirección IP de Letonia también reapareció en el truco descrito en el aviso de CISA. Juntas, las IP coincidentes crean una red de infraestructura compartida que une las operaciones. «Hay superposiciones uno a uno en ambos casos», dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA también parecen superponerse con operaciones ciberdelincuentes conocidas, señala Slowik, como foros de fraude rusos y servidores utilizados por troyanos bancarios. Pero sugiere que esto significa que los piratas informáticos rusos patrocinados por el estado probablemente estén reutilizando la infraestructura del ciberdelincuente, posiblemente para crear negación. WIRED contactó a CISA, FBI y DOE, pero nadie respondió a nuestra solicitud de comentarios.

Si bien no menciona APT28, el aviso de CISA detalla cómo los piratas informáticos llevaron a cabo su intrusión en una agencia federal no identificada. Los piratas informáticos habían obtenido de alguna manera nombres de usuario y contraseñas funcionales para varios empleados, que utilizaban para acceder a la red. CISA admite que no sabe cómo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, según CISA, ha sido ampliamente explotada en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de línea de comandos para navegar por las máquinas de la agencia antes de descargar malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a máquinas controladas por piratas informáticos, comprimiéndolos en archivos .zip que podrían robar más fácilmente.

Aunque CISA no puso a disposición de los investigadores una muestra del troyano personalizado hacker, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigación de malware VirusTotal en algún lugar de los Emiratos Árabes Unidos. Al analizar esa muestra, Raiu descubrió que parece ser una creación única construida a partir de una combinación de las herramientas de piratería comunes Meterpreter y Cobalt Strike, pero sin vínculos obvios con piratas informáticos conocidos y ofuscada por múltiples capas de cifrado. «Esta envoltura lo hace bastante interesante», dice Raiu, director del equipo de análisis e investigación global de Kaspersky. «Es un poco inusual y raro en el sentido de que no hemos podido encontrar conexiones con nada más».

Incluso aparte de las violaciones de 2016 del Comité Nacional Demócrata y la campaña de Clinton, los piratas informáticos rusos APT28 se ciernen sobre las elecciones de 2021. A principios de este mes, Microsoft advirtió que el grupo implementó técnicas a gran escala y relativamente simples. violar las organizaciones y campañas electorales en ambos lados del corredor político. Según Microsoft, el grupo utilizó una combinación de rociado de contraseñas que prueba contraseñas comunes en las cuentas de muchos usuarios y descifrado de contraseñas que prueba muchas contraseñas en una sola cuenta.

Pero si APT28 es de hecho el grupo de hackers que aparece en el aviso de CISA, es un recordatorio de que también son capaces de realizar operaciones de espionaje más sofisticadas y específicas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, quien no confirmó de forma independiente que los hallazgos de Slowik vinculen el informe CISA con APT28. «Soy un jugador excelente y todavía tengo acceso a áreas sensibles», dice Hultquist.

APT28, antes de sus operaciones más recientes de pirateo y fuga en los últimos años, tiene una larga historia de operaciones de espionaje dirigidas a objetivos militares y gubernamentales de Estados Unidos, la OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y las campañas de piratería APT28 relacionadas con el seguimiento del FBI, sugieren que esas operaciones de espionaje continúan hasta el día de hoy.

«No es de extrañar que los servicios de inteligencia rusos estén tratando de infiltrarse en el gobierno de Estados Unidos. Esto es más o menos lo que hacen», dice Slowik. «Pero vale la pena identificar que este negocio no solo continúa, sino que ha tenido éxito».

Esta historia apareció originalmente en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *