El viernes, la República Checa y Alemania revelaron que fueron el objetivo de una campaña de ciberespionaje a largo plazo llevada a cabo por el actor estatal-nación vinculado a Rusia conocido como APT28, lo que generó condena por parte de la Unión Europea (UE), la Organización del Tratado del Atlántico Norte (OTAN), el Reino Unido y los Estados Unidos.
El Ministerio de Asuntos Exteriores de la República Checa indicó en un comunicado que ciertas entidades no nombradas en el país fueron atacadas utilizando una vulnerabilidad de seguridad en Microsoft Outlook que salió a la luz a principios del año pasado.
“Los ciberataques dirigidos a entidades políticas, instituciones estatales e infraestructuras críticas no solo son una amenaza para la seguridad nacional, sino que también interrumpen los procesos democráticos en los que se basa nuestra sociedad libre”, afirmó el Ministerio de Asuntos Exteriores (MFA).
La vulnerabilidad de seguridad en cuestión es CVE-2023-23397, un fallo crítico de escalada de privilegios en Outlook que ya ha sido parcheado y que podría permitirle a un adversario acceder a hash de Net-NTLMv2 y luego usarlos para autenticarse mediante un ataque de relé.
El Gobierno Federal de Alemania atribuyó al actor amenaza un ataque cibernético dirigido al Comité Ejecutivo del Partido Socialdemócrata utilizando la misma vulnerabilidad de Outlook durante un “período relativamente largo”, lo que le permitió “comprometer numerosas cuentas de correo electrónico”.
Entre los sectores industriales objetivo de la campaña se encuentran la logística, armamento, la industria aérea y espacial, servicios de TI, fundaciones y asociaciones ubicadas en Alemania, Ucrania y Europa, con el Bundesregierung también implicando al grupo en el ataque de 2015 al parlamento federal alemán (Bundestag).
APT28, vinculado a la Unidad Militar 26165 de la agencia de inteligencia militar GRU de la Federación Rusa, también es rastreado por la comunidad más amplia de ciberseguridad bajo los nombres BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422.
A finales del mes pasado, Microsoft atribuyó al grupo de piratería la explotación de un componente del sistema de impresión de Microsoft Windows (CVE-2022-38028, puntuación CVSS: 7.8) como un día cero para enviar un malware personalizado previamente desconocido llamado GooseEgg para infiltrarse en organizaciones gubernamentales, no gubernamentales, educativas y del sector de transporte de Ucrania, Europa Occidental y Norteamérica.
La OTAN afirmó que las acciones híbridas de Rusia “constituyen una amenaza para la seguridad aliada”. El Consejo de la Unión Europea también opinó, afirmando que la “maliciosa campaña cibernética muestra el continuo patrón de comportamiento irresponsable de Rusia en el ciberespacio.”
“La reciente actividad del grupo cibernético GRU ruso APT28, incluido el ataque al ejecutivo del Partido Socialdemócrata alemán, es el último ejemplo de un patrón conocido de comportamiento de los Servicios de Inteligencia Rusos para socavar los procesos democráticos en todo el mundo”, dijo el gobierno del Reino Unido.
El Departamento de Estado de EE. UU. describió a APT28 como conocido por participar en actividades “maliciosas, nocivas, desestabilizadoras y disruptivas” y que está comprometido con la “seguridad de nuestros aliados y socios, y en mantener el orden internacional basado en reglas, incluido en el ciberespacio.”
A principios de febrero, una acción coordinada de aplicación de la ley desarticuló una botnet compuesta por cientos de routers pequeños de oficina y hogar (SOHO) en EE. UU. y Alemania que se cree que los actores de APT28 utilizaron para ocultar sus actividades maliciosas, como la explotación de CVE-2023-23397 contra objetivos de interés.
Según un informe de la empresa de ciberseguridad Trend Micro de esta semana, la botnet criminal de proxy de terceros data de 2016 y consta de más que solo routers de Ubiquiti, abarcando otros routers basados en Linux, Raspberry Pi y servidores virtuales privados (VPS).
“El actor de amenazas [detrás de la botnet] logró mover algunos de los bots de EdgeRouter desde el servidor C&C [comando y control] que fue desmantelado el 26 de enero de 2024, a una infraestructura de C&C recién establecida a principios de febrero de 2024”, dijo la compañía, agregando que las restricciones legales y los desafíos técnicos impidieron una limpieza exhaustiva de todos los routers atrapados.
La actividad de amenazas cibernéticas patrocinada por el estado ruso – robo de datos, ataques destructivos, campañas DDoS y operaciones de influencia – también se espera que represente un grave riesgo para elecciones en regiones como Estados Unidos, Reino Unido y la UE por parte de varios grupos como APT44 (también conocido como Sandworm), COLDRIVER, KillNet, APT29 y APT28, según una evaluación publicada por Mandiant, subsidiaria de Google Cloud, la semana pasada.
“En 2016, APT28 vinculado a GRU comprometió a los objetivos de la organización del Partido Demócrata de EE. UU., así como a la cuenta personal del presidente de la campaña del candidato presidencial demócrata y organizó una campaña de filtraciones antes de las elecciones presidenciales de EE. UU. de 2016”, dijeron los investigadores Kelli Vanderlee y Jamie Collier.
Además, datos de Cloudflare y NETSCOUT muestran un aumento en los ataques DDoS dirigidos a Suecia tras su aceptación en la alianza de la OTAN, reflejando el patrón observado durante la adhesión de Finlandia a la OTAN en 2023.
“Los principales culpables de estos ataques incluyen a los grupos de hackers NoName057, Anonymous Sudan, Russian Cyber Army Team y KillNet”, dijo NETSCOUT. “Todos estos grupos están motivados políticamente y apoyan los ideales rusos”.
Estos desarrollos ocurren mientras que agencias gubernamentales de Canadá, el Reino Unido y Estados Unidos han publicado un nuevo folleto conjunto para ayudar a asegurar las organizaciones de infraestructura crítica de ataques continuos lanzados por hacktivistas pro-rusos contra sistemas de control industrial (ICS) y sistemas de tecnología operativa a pequeña escala (OT) desde 2022.
“La actividad de hacktivistas pro-rusos parece estar limitada principalmente a técnicas poco sofisticadas que manipulan equipos de ICS para crear efectos molestos”, dijeron las agencias. “Sin embargo, las investigaciones han identificado que estos actores son capaces de técnicas que representan amenazas físicas contra entornos de OT inseguros y mal configurados”.
Los objetivos de estos ataques incluyen organizaciones en los sectores de infraestructura crítica de América del Norte y Europa, incluidos sistemas de agua y saneamiento, presas, energía y sectores de alimentos y agricultura.
Los grupos de hacktivistas han sido observados obteniendo acceso remoto explotando conexiones expuestas a internet, así como contraseñas predeterminadas asociadas con interfaces hombre-máquina (HMI) comunes en dichos entornos, seguido de la intervención en parámetros críticos, desactivación de mecanismos de alarma y bloqueo de operadores al cambiar contraseñas administrativas.
Las recomendaciones para mitigar la amenaza incluyen fortalecer las interfaces hombre-máquina, limitar la exposición de los sistemas de OT a internet, usar contraseñas fuertes y únicas, e implementar la autenticación multifactor para todo el acceso a la red OT.
“Estos hacktivistas buscan comprometer sistemas de control industrial (ICS) modulares expuestos a internet a través de sus componentes de software, como interfaces hombre-máquina (HMIs), mediante la explotación de software de acceso remoto de computación virtual (VNC) y contraseñas predeterminadas”, señaló la alerta.