Las 12 principales fallas de seguridad que los piratas informáticos rusos están explotando en la naturaleza

Hackers espías rusos

Los ciberoperadores afiliados al Servicio de Inteligencia Extranjera de Rusia (SVR) han cambiado sus tácticas en respuesta a revelaciones públicas previas de sus métodos de ataque, según un nuevo aviso publicado conjuntamente por las agencias de inteligencia del Reino Unido y EE. UU. el viernes.

«Los operadores cibernéticos de SVR parecen haber reaccionado […] al cambiar sus TTP en un intento de evitar más esfuerzos de detección y remediación por parte de los defensores de la red «, dijo el Centro Nacional de Seguridad Cibernética (NCSC).

Estos incluyen la implementación de una herramienta de código abierto llamada Sliver para mantener su acceso a las víctimas comprometidas, así como aprovechar las fallas de ProxyLogon en los servidores de Microsoft Exchange para realizar actividades posteriores a la explotación.

El desarrollo sigue a la atribución pública de los actores vinculados a SVR al ataque a la cadena de suministro de SolarWinds el mes pasado. El adversario también se rastrea bajo diferentes nombres, como Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium.

La atribución también estuvo acompañada de un informe técnico que detalla cinco vulnerabilidades que el grupo APT29 de SVR estaba utilizando como puntos de acceso iniciales para infiltrarse en entidades estadounidenses y extranjeras.

«El SVR se dirige a organizaciones que se alinean con los intereses de la inteligencia extranjera rusa, incluidos los objetivos gubernamentales, de grupos de expertos, políticos y energéticos, así como objetivos con plazos más definidos, por ejemplo, la vacuna contra el COVID-19 en 2020», dijo el NCSC.

Esto fue seguido por una guía separada el 26 de abril que arrojó más luz sobre las técnicas utilizadas por el grupo para orquestar intrusiones, contando el rociado de contraseñas, explotando fallas de día cero contra dispositivos de redes privadas virtuales (por ejemplo, CVE-2019-19781) para obtener el acceso a la red y la implementación de un malware Golang llamado WELLMESS para saquear la propiedad intelectual de múltiples organizaciones involucradas en el desarrollo de la vacuna COVID-19.

Ahora, según el NCSC, se han agregado siete vulnerabilidades más a la mezcla, al tiempo que señala que es probable que APT29 convierta «rápidamente» en armas las vulnerabilidades públicas recientemente lanzadas que podrían permitir el acceso inicial a sus objetivos.

«Los defensores de la red deben asegurarse de que los parches de seguridad se apliquen inmediatamente después de los anuncios de CVE para los productos que administran», dijo la agencia.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática