FBI y CISA descubren tácticas empleadas por hackers de inteligencia rusos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el Departamento de Seguridad Nacional (DHS) y la Oficina Federal de Investigaciones (FBI) publicaron el lunes un nuevo aviso conjunto como parte de sus últimos intentos de exponer las tácticas, técnicas y procedimientos. (TTP) adoptadas por el Servicio de Inteligencia Exterior de Rusia (SVR) en sus ataques contra entidades estadounidenses y extranjeras.

Mediante el empleo de «artefactos comerciales de intrusión sigilosa dentro de redes comprometidas», dijeron las agencias de inteligencia, «la actividad SVR, que incluye el reciente compromiso de la cadena de suministro de SolarWinds Orion, se dirige principalmente a redes gubernamentales, organizaciones de análisis de políticas y grupos de expertos, y empresas de tecnología de la información y busca recopilar información de inteligencia”.

El actor cibernético también está siendo rastreado bajo diferentes nombres, incluidos Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium. El desarrollo se produce cuando EE. UU. sancionó a Rusia y fijó formalmente el ataque de SolarWinds y la campaña de ciberespionaje relacionada a agentes gubernamentales que trabajan para SVR.

APT29, desde que surgió en el panorama de amenazas en 2013, ha estado vinculado a una serie de ataques orquestados con el objetivo de obtener acceso a las redes de las víctimas, moverse dentro de los entornos de las víctimas sin ser detectado y extraer información confidencial. Pero en un cambio notable en las tácticas en 2018, el actor pasó de implementar malware en las redes de destino a atacar los servicios de correo electrónico basados ​​en la nube, un hecho que se vio reflejado en el ataque de SolarWinds, en el que el actor aprovechó los binarios de Orion como un vector de intrusión para explotar Microsoft Office 365. entornos.

Se dice que esta similitud en el comercio posterior a la infección con otros ataques patrocinados por SVR, incluida la forma en que el adversario se movió lateralmente a través de las redes para obtener acceso a las cuentas de correo electrónico, desempeñó un papel muy importante en la atribución de la campaña SolarWinds al servicio de inteligencia ruso. , a pesar de una notable desviación en el método utilizado para ganar un punto de apoyo inicial.

«Apuntar a los recursos de la nube probablemente reduzca la probabilidad de detección mediante el uso de cuentas comprometidas o configuraciones incorrectas del sistema para mezclarse con el tráfico normal o no monitoreado en un entorno que las organizaciones víctimas no defienden, monitorean o comprenden bien», señaló la agencia.

Entre algunas de las otras tácticas utilizadas por APT29 se encuentran el rociado de contraseñas (observado durante un compromiso de 2018 de una gran red sin nombre), la explotación de fallas de día cero contra dispositivos de red privada virtual (como CVE-2019-19781) para obtener acceso a la red , y el despliegue de un malware Golang llamado WELLMESS para saquear la propiedad intelectual de múltiples organizaciones involucradas en el desarrollo de la vacuna COVID-19.

Además de CVE-2019-19781, se sabe que el actor de amenazas obtiene puntos de apoyo iniciales en los dispositivos y redes de las víctimas al aprovechar CVE-2018-13379, CVE-2019-9670, CVE-2019-11510 y CVE-2020-4006. También en la mezcla está la práctica de obtener servidores privados virtuales a través de identidades falsas y criptomonedas, y confiar en números de teléfono VoIP temporales y cuentas de correo electrónico haciendo uso de un servicio de correo electrónico anónimo llamado cock.li.

«El FBI y el DHS recomiendan a los proveedores de servicios que fortalezcan sus sistemas de validación y verificación de usuarios para prohibir el uso indebido de sus servicios», decía el aviso, al tiempo que instaba a las empresas a proteger sus redes de un software confiable comprometido.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática