Al parecer el Servicio de Inteligencia Exterior de Rusia dirige varios grupos de hackers, que estarían detrás de algunos ciberataques de alto perfil como este último realizado a Microsoft a finales del 2023, esto según las autoridades de seguridad de E.E.U.U.
Para ponerlo en contexto, en enero del 2024 Microsoft reveló que los correos de los altos ejecutivos de su compañía fueron objeto de un ataque informático; es decir que, piratearon a uno de los grandes del sector TI.
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, los responsables son un grupo de hackers vinculado con la inteligencia rusa. A estos piratas informáticos se les conoce bajo varios alias como Cozy Bear, Dukes y Apt29.
¿Recuerda que hace poco le contaba qué eran las ciberoperaciones? Esto que va a leer a continuación es un claro ejemplo del cómo podría verse una operación de este tipo, en medio de una cyberwar.
¿Cómo ocurrió en ciberataque a Microsoft por parte de la inteligencia rusa?
La intrusión fue detectada en noviembre del 2023 y parece que el objetivo era revisar las cuentas corporativas de correo electrónico, para obtener información sobre el mismo grupo de hackers que realizaba este ciberataque de alto perfil.
La compañía identificó a este grupo de hackers como Midnight Blizzard y estableció que lo que hicieron, además de revisar las cuentas corporativas del equipo de liderazgo senior, fue revisar las de los empleados de ciberseguridad y grupos legales, y robar correos y documentos en general.
Este ataque tiene un antecedente importante, según relató The New York Times, Microsoft ha trabajado con empresas de ciberseguridad y gobiernos para investigar los ataques cibernéticos perpetuados por este grupo de hackers.
Para lograr el ataque, los hackers usaron la técnica de pulverización de contraseñas o password spray attack. Se trata de una táctica básica en la que se prueban contraseñas comunes en diversas cuentas.
Al usar esta táctica, el grupo de hackers logró identificar una “cuenta antigua que se había creado para un sistema de prueba y usó los permisos de esta para acceder a las cuentas de correo corporativas”, según informó Microsoft a través de un comunicado.
Ciberataques de los hackers de la inteligencia rusa se han especializado
Las autoridades estadounidenses como el CISA, Department of Homeland Security (DHS), The Federal Bureau of Investigation (FBI) han estado evaluando los ciberataques del Servicio de Inteligencia Exterior de Rusia. Y señalan que estos no son nuevos y datan por lo menos del 2008.
Para las autoridades estadounidenses es muy evidente que Rusia es y seguirá siendo una de sus principales amenazas cibernéticas, como lo mencionó la oficina del director de la Inteligencia Nacional en el 2023.
“Rusia está enfocada particularmente en mejorar sus habilidades para afectar infraestructura crítica, incluyendo cables submarinos y sistemas de control industrial, tanto de los Estados Unidos como de sus países aliados”, esto de acuerdo con las declaraciones de la Inteligencia Nacional referenciadas por la CISA.
Lo interesante es que estos ciberataques de alto perfil se han ido especializando y han ido cambiando sus tácticas, para obtener información de las entidades, empresas y organizaciones atacadas. Aunque las técnicas más comunes sigan siendo usadas.
¿Cuáles son las tácticas, técnicas y procedimientos del Servicio de Inteligencia ruso (SVR) en sus ciberataques?
Al parecer han estado usando básicamente en los ataques de alto perfil técnicas como ransomware y malware. Sin embargo, de acuerdo con CISA, últimamente también usan técnicas como:
Pulverización de contraseñas o password spray attack: además de usar la técnica con Microsoft en el 2023, la utilizaron en otro ataque en el 2018. Intentaron con una pequeña cantidad de contraseñas en intervalos poco frecuentes. Utilizaron además una gran cantidad de direcciones IP, incluso las del país de la víctima.
Aprovechar la vulnerabilidad de día cero con un exploit: La inteligencia rusa usó en otro incidente el exploit día cero o zero-day exploit CVE-2019-19781, en contra de una red virtual privada (VPN) para obtener acceso. Aprovechó la explotación que expuso las credenciales del usuario.
Los hackers además lograron establecer puntos de apoyo en varios sistemas que carecían de configuración para requerir autenticación multifactor. También intentaron acceder a recursos en la web “en áreas específicas de la red en línea con información de interés para un servicio de inteligencia extranjero”, explicó CISA.
WELLMESS Malware: los gobiernos de Reino Unido, Canadá y Estados Unidos en el 2020 le atribuyeron las intrusiones que sufrieron, por el malware WELLMESS, al grupo de hackers APT20.
Este malware está escrito en lenguaje de programación Go y al parecer el objetivo estaba centrado en atacar a COVID-19.19 desarrollo de vacunas. Le apuntaron al repositorio de investigación de vacunas y a los servidores Active Directory de cada organización.
Vectores de intrusión a través de software de monitoreo: De nuevo en el 2020 y usando el software de red de SolarWinds modificado como un vector de intrusión, los hackers rusos ampliaron su acceso a diversas redes.
Cuando obtuvieron acceso se enfocaron en entrar a las cuentas de correo electrónico, asociadas a personal de TI. Al parecer lo hicieron para monitorearlos y recopilar información útil sobre ellos y determinar si habían detectado intrusiones, para evadir las acciones de desalojo.
¿Qué otros ciberataques de alto perfil han ejecutado los hackers rusos?
El Center for Strategic & International Studies (CSIS) cuenta con una línea de tiempo en la que se registran todos los ciberincidentes ocurridos desde el 2006. Lo interesante es que se enfocan en los ciberataques dirigidos a agencias gubernamentales, empresas de defensa, de alta tecnología o delitos económicos.
También recopilan incidentes que han generado pérdidas de más de un millón de dólares. A continuación le presentaré algunos de los ciberincidentes de alto perfil referenciados ejecutados por hackers rusos o que han sido sancionados, en el primer trimestre del 2024.
Una campaña de ciberespionaje contra embajadas
Febrero del 2024
Hackers rusos lanzaron una campaña de espionaje contra las embajadas de Georgia, Polonia, Ucrania e Irán desde el 2023. Se aprovecharon de un error en un servidor de correo para contagiar un malware en los servidores de las embajadas y recopilar información sobre asuntos políticos europeos e iraníes y de actividades militares.
Ransomware contra el proveedor de servicios digitales de Suecia
Enero del 2024
Piratas informáticos rusos atacaron con ransomware al único proveedor de servicios digitales gubernamentales de Suecia. Lograron afectar 120 oficinas gubernamentales, justo cuando el país se preparaba para unirse a la OTAN.
Gobierno australiano pierde 2,5 millones de documentos en ciberataque
Enero del 2024
Este ha sido el ataque cibernético gubernamental más grande que ha sufrido Australia. De nuevo, los piratas informáticos rusos atacaron a 65 departamentos y agencias del gobierno australiano. Robaron 2.5 millones de documentos y se infiltraron a través de un bufete de abogados que trabajaba con el gobierno.
Australia identifica a hacker ruso que robó información de 9,7 clientes de Medibank
Enero del 2024
El gobierno de dicho país, además de identificar al hacker Ruso Aleksandr Ermakov como el responsable de robar la información de 9.7 millones de clientes a Medibank (el mayor proveedor privado de seguros médicos del país en el 2022) lo sancionó.
Esto marca un hito, porque es la primera vez que se imponen sanciones cibernéticas contra una persona desde que establecieron el marco en el 2021. Además, Estados Unidos y Reino Unido también sancionaron al hacker.
Agentes rusos piratean cámaras web residenciales en Kiev
Enero del 2024
En esta oportunidad, agentes rusos piratearon las cámaras web residenciales en Kiev, Ucrania, como una táctica de cyberwar. Esto con el fin de recopilar información sobre los sistemas de defensa de Kiev, antes de lanzar un ataque con misiles en la ciudad.
Para esto, cambiaron los ángulos de las cámaras, lo que les permitió recopilar información sobre las instalaciones de infraestructura críticas cercanas y transmitir las imágenes por Youtube.
En tiempos de guerra, este tipo de ataques a infraestructuras críticas, de gobierno y de tecnología se volverán mucho más comúnes. Por ello, será necesario que no solo las instituciones de gobierno cuenten con buenos modelos de ciberseguridad y que apliquen las mejores tácticas de threat hunting, sino que se mantengan atentos a cualquier tipo de intrusión.
Cuenteme, ¿será que latinoamérica estaría preparada para un ciberataque como estos?