por Contenidos
La agencia de inteligencia militar de Rusia, GRU, ha llevado a cabo muchos de los actos de piratería cibernética más agresivos de la historia: gusanos destructivos, apagones y, lo más cerca posible de los estadounidenses, una operación de piratería y fuga a gran escala diseñada para afectar el resultado de las elecciones presidenciales estadounidenses de 2016. Ahora, el GRU parece haber golpeado nuevamente las redes de EE. UU., En una serie de intrusiones no reportadas anteriormente que se han dirigido a organizaciones que van desde agencias gubernamentales hasta infraestructura crítica.
Desde diciembre de 2018 hasta al menos mayo de este año, el grupo de hackers GRU conocido como APT28 o Fancy Bear llevó a cabo una extensa campaña de piratería contra objetivos estadounidenses, según una notificación del FBI enviada a las víctimas de las violaciones en mayo y obtenida por WIRED Según el FBI, los hackers de GRU intentaron penetrar principalmente en los servidores de correo de las víctimas, Microsoft Office 365 y cuentas de correo electrónico y servidores VPN. Los objetivos incluían “una amplia gama de organizaciones con sede en Estados Unidos, agencias gubernamentales estatales y federales e instituciones educativas”, dice la notificación del FBI. Y las migas de pan técnicas incluidas en esa advertencia revelan que los piratas informáticos APT28 también se han dirigido al sector energético de EE. UU., Aparentemente como parte del mismo esfuerzo.
La revelación de una ola de piratería de GRU potencialmente en curso en los Estados Unidos es particularmente preocupante a la luz de las operaciones pasadas de GRU, que a menudo fueron más allá del mero espionaje e incluyeron fugas vergonzosas de correo electrónico o incluso ciberataques disruptivos. Los piratas informáticos APT28, en particular, han sido objeto de cargos en Estados Unidos relacionados con operaciones de pirateo y filtración dirigidas tanto a las elecciones estadounidenses de 2016 como a la Agencia Mundial Antidopaje. Este último ataque fue en aparente represalia por el Comité Olímpico Internacional que prohibió a Rusia de los Juegos Olímpicos de 2018 por usar drogas para mejorar el rendimiento.
“Aunque no todas las razones son claras, podemos emitir juicios basados en la naturaleza del objetivo visto a través de acusaciones pasadas”, escribió un portavoz del FBI en un comunicado en respuesta a la solicitud de WIRED de comentarios adicionales sobre la notificación enviada a las víctimas del piratería APT28. El FBI también afirma que la campaña de piratería del GRU probablemente ha continuado en los últimos meses. “Esta es una amenaza avanzada persistente”, agregó el portavoz, refiriéndose al acrónimo APT del que se nombra APT28. “Hay una expectativa de actividad continua”.
Según la notificación a las víctimas del FBI, los piratas informáticos APT28 han obtenido acceso a las redes a través de correos electrónicos de phishing enviados a cuentas de correo electrónico personales y corporativas. También utilizaron ataques de rociado de contraseñas, en los que los piratas informáticos prueban contraseñas comunes en muchas cuentas, así como ataques de fuerza bruta que adivinan una larga lista de contraseñas en una o un número limitado de cuentas.
Unos días después de que el FBI notificó a las víctimas a principios de mayo, la NSA emitió una advertencia pública de que Sandworm, un grupo separado pero estrechamente vinculado de hackers de GRU, estaba explotando una vulnerabilidad en los servidores de correo Exim para atacar víctimas El FBI le dijo a WIRED que no tenía conexión entre la explotación de Exim y la campaña APT28.
“Robaron buzones enteros”
Un miembro del personal de una organización interesada le dijo a WIRED que el personal de TI no había visto signos de éxito en un ataque de phishing, pero aún así descubrió que los piratas informáticos habían accedido a su servidor de correo electrónico. “Una vez que estuvieron en el servidor, robaron buzones completos”, dice el personal, que le pidió a WIRED que no revelara su identidad o la organización para la que trabajan.
Finalmente, el FBI informó a la organización que APT28 realmente había violado. “La preocupación natural es, ¿soy el próximo John Podesta?” El personal dice, refiriéndose al director de campaña de Hillary Clinton, cuyos correos electrónicos fueron robados y filtrados por APT28 antes de las elecciones de 2016. “Lea la notificación de la víctima y descubra cuántas organizaciones diferentes probablemente fueron atacadas, simplemente enfatiza que lo que nos preocupaba en 2016 es algo que Rusia está literalmente haciendo mientras hablamos “.
El FBI se negó a comentar cuántas víctimas pudo haber apuntado la campaña APT28 o cuántos de estos intentos tuvieron éxito. Pero la firma de seguridad FireEye dice que se enteró de un “puñado” de organizaciones de víctimas que han sido comprometidas por piratas informáticos que utilizan las mismas direcciones IP enumeradas por APT28 en la notificación de las víctimas del FBI. En estos casos, los piratas informáticos parecen no tener sistemas infectados con malware, dice Ben Read, analista de ciberespionaje en FireEye, en lugar de usar las credenciales robadas para navegar por la red corporativa como lo harían los empleados. “Fue un toque bastante ligero”, dice Read.
Si bien ni FireEye ni el FBI revelarían las identidades de las víctimas APT28, al menos uno de los objetivos del grupo parece haber sido en el sector energético de los Estados Unidos. Un consultor del Departamento de Energía publicado en enero advirtió que en la víspera de Navidad del año pasado, alguien sondeó las páginas de inicio de sesión de una “entidad energética estadounidense” de una dirección IP que APT28 había utilizado previamente. El FBI también incluyó la misma dirección IP entre las utilizadas por los piratas informáticos APT28 hasta mayo, lo que confirma que APT28 probablemente estaba detrás de ese incidente.
“Este es un punto de datos relativo”
Las intrusiones en el sector energético representarían un cambio en la selección de objetivos para APT28, dice Joe Slowik, investigador de seguridad de la compañía de seguridad del sistema de control industrial Dragos, quien identificó la conexión entre el asesoramiento del DOE y la notificación a las víctimas del FBI. “Solo teniendo en cuenta lo que entendemos sobre cómo opera APT28 y su victimología típica, identificar ese grupo que interactúa con el sector energético de los Estados Unidos sería sustancialmente diferente de cómo se ha comportado este grupo anteriormente”, dice.
Si bien aparentemente es una nueva empresa para APT28, el GRU en su conjunto tiene un historial de piratería de infraestructura crítica. El grupo de hackers GRU Sandworm colocó malware en las redes de servicios de electricidad de EE. UU. En 2014, luego llevó a cabo los primeros apagones inducidos por los ciberataques en Ucrania en 2015 y 2016. La idea de que APT28 ahora también podía oler los objetivos del sector energético de los Estados Unidos, o eso es Sandworm, dado que los dos grupos se han unido en el pasado, es inquietante, dice Slowik. “Este es un punto de datos”, dice Slowik. “Es la primera vez en mucho tiempo que este grupo se dirige a la infraestructura crítica de Estados Unidos”.
Una nueva campaña de piratería de GRU dirigida a organizaciones estadounidenses en 2021 también plantea el espectro de otra ronda de interferencia electoral, dada la notoria campaña de interferencia electoral de GRU en 2016. Los funcionarios de inteligencia de EE. UU. Han advertido desde el principio Este año, Rusia intentó interferir en la política electoral de los Estados Unidos nuevamente para ayudar a reelegir al presidente Trump. Pero el FBI y FireEye afirman no haber visto signos de que esta serie particular de intrusiones APT28 estuviera relacionada con las próximas elecciones presidenciales.
En cambio, dice FireEye’s Read, la campaña muestra que el interés general de GRU en los objetivos de EE. UU. No ha terminado, aunque su final no está claro. “Estados Unidos sigue siendo el principal antagonista de Rusia en su mente. Es un recordatorio importante de que esto todavía está sucediendo”, dice Read. “Es difícil saber si se trata de una escalada significativa. Pero obviamente no es algo bueno”.
Esta historia apareció originalmente en wired.com.
