Agencias federales de EE. UU. Emiten un aviso conjunto de ciberseguridad sobre piratas informáticos rusos patrocinados por el estado que se dirigen a EE. UU. Y redes aliadas.

Un aviso de ciberseguridad conjunto de las agencias federales de EE. UU. Advirtió sobre las campañas activas de ciberespionaje por parte de piratas informáticos rusos patrocinados por el estado.- Anuncio publicitario -https://8a245565d2355f9b2e24ff5597ddb960.safeframe.googlesyndication.com/safeframe/1-0-38/html/container.html

Las agencias advirtieron que los actores cibernéticos respaldados por el Servicio de Inteligencia Exterior de Rusia (SRV) continuarían buscando inteligencia de entidades estadounidenses a través de la explotación cibernética.

La Agencia de Seguridad Nacional (NSA), el Departamento de Seguridad Nacional (DHS), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) emitieron conjuntamente la Alerta AA21-116A .

Las agencias evaluaron las actividades maliciosas de los piratas informáticos rusos respaldados por el estado identificados como el actor 29 de amenazas persistentes avanzadas (APT 29), CozyBear, CozyDuke, Yttrium, los Dukes, entre otras identidades.- Anuncio publicitario –

Aviso conjunto de ciberseguridad advierte sobre piratas informáticos rusos que apuntan a redes estadounidenses y aliadas

Las agencias gubernamentales de EE. UU. Publicaron el aviso de ciberseguridad “Russian SVR Targets US and Allied Networks” el 15 de abril de 2021.

El FBI y el DHS también proporcionaron información sobre diversas herramientas, técnicas, procedimientos (TTP) y capacidades de los piratas informáticos rusos involucrados en la campaña de ciberespionaje en curso contra Estados Unidos y sus aliados.- Anuncio publicitario –

El informe señaló que la actividad cibernética de SVR asociada con el actor de amenazas APT 29 se remonta a antes de 2018. Varias entidades habían emitido información detallada sobre las herramientas y técnicas de los actores de amenazas para comprometerse y moverse lateralmente a través de las redes.

EE. UU., Reino Unido y Canadá habían observado actividades maliciosas asociadas con piratas informáticos rusos que usaban WELLMESS Malware.

Tácticas empleadas por hackers rusos

Desde 2018, los piratas informáticos rusos respaldados por SRV se han centrado en los recursos de la nube, como las cuentas de correo electrónico de Microsoft Office 365, en lugar de implementar malware. La reciente explotación a gran escala de los servidores de Microsoft Exchange es un testimonio de las tácticas en evolución empleadas por los piratas informáticos respaldados por el gobierno ruso.- Anuncio publicitario -https://8a245565d2355f9b2e24ff5597ddb960.safeframe.googlesyndication.com/safeframe/1-0-38/html/container.html

El aviso de ciberseguridad también señaló que los piratas informáticos rusos recurrieron a la fumigación de contraseñas para comprometer las cuentas administrativas protegidas con contraseñas débiles.

En un ataque de 2018, los piratas informáticos rusos rociaron con poca frecuencia las cuentas de forma “lenta y lenta” para evitar ser detectados. Utilizaron muchas direcciones IP asociadas con direcciones residenciales, comerciales, móviles y The Onion Router (TOR) y ubicadas en el país de destino.

“Durante el período de su acceso”, el aviso de ciberseguridad, “los actores iniciaron sesión constantemente en la cuenta administrativa para modificar los permisos de la cuenta, incluida la eliminación de su acceso a las cuentas que se presume que ya no son de interés o la adición de permisos a cuentas adicionales”.

Los piratas informáticos rusos también aprovecharon las vulnerabilidades de día cero para explotar sistemas, especialmente dispositivos de redes privadas virtuales (VPN), según la alerta conjunta.

Este método permitió a los piratas informáticos recopilar credenciales de usuario y comprometer las redes de las víctimas utilizando cuentas legítimas.

Algunas víctimas no pudieron identificar el vector de ataque inicial después de un día cero, lo que permitió a los piratas informáticos recuperar el acceso después del desalojo de la red.

Fortinet FortiGate y Pulse Connect Secure VPN, VMware Workspace ONE Access, Citrix Application Delivery Controller y Gateway se encuentran entre las aplicaciones de acceso remoto plagadas de días cero.

En un incidente destacado por el aviso de ciberseguridad, los piratas informáticos rusos explotaron CVE-2019-19781 para comprometer un dispositivo VPN y acceder a las credenciales del usuario.

“Luego de la explotación del dispositivo de una manera que expuso las credenciales del usuario, los actores identificaron y autenticaron los sistemas en la red utilizando las credenciales expuestas”.

Los piratas informáticos establecieron la persistencia en dispositivos que no estaban protegidos mediante autenticación de múltiples factores e “intentaron acceder a recursos basados ​​en la web en áreas específicas de la red en línea con información de interés para un servicio de inteligencia extranjero”.

Los piratas informáticos rusos también participaron con frecuencia en actividades comerciales generales, como la obtención de identidades falsas, las transacciones con criptomonedas y la compra de infraestructura de intrusión administrada.

También llevaron a cabo ataques a la cadena de suministro similares a los ataques de SolarWinds que habían comprometido a nueve agencias federales y más de 100 entidades privadas.

“La modificación y el uso de productos SolarWinds confiables por parte de SVR como un vector de intrusión también es una desviación notable del oficio histórico de SVR”, afirma el aviso de ciberseguridad.

El uso de direcciones de correo electrónico temporales como los dominios cock [.] Li y los números de teléfono VoIP desechables fue desenfrenado, según el aviso conjunto de seguridad cibernética de la NSA, CISA y el FBI. Del mismo modo, los piratas informáticos rusos utilizaron regularmente herramientas comerciales y de código abierto como Mimikatz y herramientas de descarga de credenciales como Cobalt Strike durante las misiones de recopilación de inteligencia. También monitorearon al personal de TI para obtener información de la red y determinar si las víctimas habían detectado sus intrusiones cibernéticas.

La dirección de asesoramiento de ciberseguridad busca exponer a los actores de amenazas cibernéticas

El director de ciberseguridad recién nombrado, Rob Joyce, cree que exponer a varios actores de amenazas los obligaría a reorganizar sus operaciones.

“Estamos quitando las herramientas y capacidades de estos adversarios”, dijo Joyce mientras testificaba en Capitol Hill. “Al exponer los implantes y el malware, luego pierden esa capacidad y tienen que volver a desarrollarse”.

En consecuencia, el gobierno de Estados Unidos ha impuesto sanciones a seis empresas de tecnología y diez funcionarios rusos en relación con la persistente campaña de ciberespionaje.

Si bien la recopilación de inteligencia es una prioridad para los piratas informáticos rusos, también son útiles para influir en las elecciones en beneficio del Kremlin. Por ejemplo, APT 29 se atribuyó a la piratería del Comité Nacional Demócrata (DNC) durante las elecciones presidenciales de 2016.

“El actor de amenazas APT29, también conocido como The Dukes, Cozy Duke, Cozy Bear, EuroAPT, Hammer Toss, YTTRIUM, Iron Hemlock, Office Monkeys y Grizzly Steppe, ha estado trabajando para la Federación de Rusia desde al menos 2008 para recopilar inteligencia en apoyo de y toma de decisiones sobre políticas de seguridad ”, dice Anurag Gurtu, CPO de StrikeReady .- Anuncio publicitario –

Gurtu señaló que APT29 utilizó varios programas maliciosos como Meek, Cobalt Strike, iDiscoverer, Mimikatz y ATI-Agent para apuntar a países como Estados Unidos, Nueva Zelanda, Rumania, Portugal, India, Corea, República de Kazajstán, México, China, Japón, Brasil, Ucrania, Bélgica y Turquía.

“La campaña más reciente observada por el equipo de inteligencia de StrikeReady encontró que APT29 victimizaba al Gobierno y los Ministerios de Relaciones Exteriores de varios países europeos y de Estados Unidos. La campaña se denominó colectivamente Operación Fantasma, donde [la] puerta trasera MiniDuke se instaló como una puerta trasera de segunda etapa, que fue soltada por uno de los dos componentes de la primera etapa. El equipo de StrikeReady sugirió aplicar múltiples firmas YARA y SNORT para salvaguardar la organización ”, agregó Gurtu.El aviso conjunto de #ciberseguridad de la NSA, DHS, CISA y FBI advirtió sobre la persistente campaña de #hackers rusos de #ciberespionaje contra redes estadounidenses y aliadas. #respectdataHaz clic para tuitear

“Durante el mes de abril de 2021, el equipo de inteligencia de StrikeReady capturó más de diez ataques que se originaron en Rusia y tuvieron como objetivo más de ocho condados. De estos condados, Estados Unidos y Japón fueron los más atacados por cuatro y dos actores de amenazas distintos, respectivamente “.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *