HayCanal.com

Operaciones de ciberespionaje contra organizaciones militares y gubernamentales

Operaciones de ciberespionaje contra organizaciones militares y gubernamentales

Campañas recientes ven al grupo APT28 volviendo a realizar operaciones secretas de recopilación de inteligencia en Europa y Sudamérica.

Después de aparecer en los titulares de los periódicos durante 2016 debido a su participación en ataques cibernéticos contra una organización involucrada en las elecciones presidenciales de los EE. UU., APT28 (también conocido como Swallowtail y Fancy Bear) continuó sus operaciones durante 2017 y 2018, informa el equipo de investigación de ataques de Symantec Security Response, un grupo de expertos en seguridad cuya misión es investigar los ataques dirigidos, impulsar la protección de los productos de Symantec,  y ofrecer análisis que ayuden a los clientes a responder a los ataques.

El grupo de hackers, que según el Departamento de Seguridad Nacional de EE. UU. (DHS) y la Oficina Federal de Investigaciones (FBI) está vinculado al gobierno ruso, regresó a las operaciones de recopilación de inteligencia de bajo perfil durante 2017 y hasta principios de 2018, apuntando a un rango de objetivos militares y gubernamentales en Europa y Sudamérica.

Historia de ataques desestabilizadores

APT28 ha estado activo por lo menos desde enero de 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ciberataques s en el período previo a la elección presidencial de EE. UU.

A partir de la primavera de 2016, el APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un elevado volumen de correos electrónicos. La información comprometida se filtró más tarde online.

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas. En consonancia con su cambio a tácticas más abiertas, el grupo pareció asumir el crédito público por el ataque, filtrando la información en un sitio web con el nombre de "Fancy Bears", un nombre en clave de la industria que ya era ampliamente utilizado para el grupo.

Volver a las sombras

Después de recibir una cantidad de atención sin precedentes en 2016, APT28 ha continuado montando operaciones durante 2017 y 2018. Sin embargo, las actividades del grupo desde principios de 2017 se han vuelto más encubiertas y parecen estar motivadas principalmente por la recopilación de información.

Las organizaciones seleccionadas por APT28 durante 2017 y 2018 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

Desarrollo continuo de herramientas

APT28 utiliza una serie de herramientas para comprometer sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda fase, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.

Además de esto, como informaron nuestros colegas en ESET recientemente, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, ello permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Posibles enlaces a otras operaciones de espionaje

Otro grupo de ataque, Earworm (también conocido como Zebrocy), ha estado activo al menos desde mayo de 2016 y participa en lo que parecen ser operaciones de recopilación de información de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental. El grupo utiliza correos electrónicos de phishing para comprometer sus objetivos e infectarlos con malware.

Earworm utiliza dos herramientas de malware. Trojan.Zekapab es un componente descargador que es capaz de realizar funciones básicas de reconocimiento y descargar malware adicional a la computadora infectada. Trojan.Zekapab se instala en las computadoras infectadas seleccionadas y puede tomar capturas de pantalla, ejecutar archivos y comandos, cargar y descargar archivos, realizar operaciones de registro y sistema de archivos, y realizar tareas de información del sistema. En ocasiones, Earworm también ha instalado herramientas adicionales en las computadoras infectadas para el registro de teclas y la captura de contraseñas.

Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EE. UU. Para APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.

Una amenaza en curso

Ahora está claro que después de estar implicado en los ataques a las elecciones presidenciales de los EE. UU. a fines de 2016, APT28 no se dejó intimidar por la publicidad resultante y continúa organizando nuevos ataques con sus herramientas existentes. Después de su incursión en ataques abiertos y perturbadores en 2016, el grupo volvió a sus raíces y montó operaciones de recopilación de inteligencia contra una serie de objetivos. Esta actividad en curso y el hecho de que APT28 continúe refinando su conjunto de herramientas significa que el grupo probablemente continuará representando una amenaza significativa para los objetivos de los estados nacionales.


También te puede gustar: