Un nuevo aviso conjunto de CISA, FBI y NSA documenta las fuerzas rusas GRU, que se han centrado en ataques a infraestructura crítica extranjera desde al menos 2020, además de otros actores de amenazas rusos conocidos.
La Unidad 29155, también conocida como Cadet Blizzard o Ember Bear, es una unidad de inteligencia especial rusa centrada especialmente en la invasión de Ucrania. Este grupo se caracteriza por el uso de un malware altamente destructivo llamado “Whispergate” que se ha observado desde al menos enero de 2022.
Un grupo de amenaza ruso relativamente nuevo ataca a Ucrania y a los Estados miembros de la OTAN con ciberataques
La Unidad 29155 es diferente de algunos de los actores de amenazas rusos que han aparecido en los titulares en el pasado por sus hazañas de espionaje e interferencia electoral. CISA cree que este grupo es relativamente nuevo en los ciberataques. Hay evidencia de que han estado activos en este campo desde 2020, principalmente a través de GRU activos que reciben capacitación de líderes más experimentados para asumir un papel más importante en campañas de espionaje y ciberataques. Parece estar compuesto por oficiales subalternos.
Otro punto interesante es que CISA cree que la Unidad 29155 está colaborando activamente con grupos de cibercrimen rusos en varias operaciones. Sin embargo, el informe no especifica qué grupo ni cuál es su función. Los agentes de GRU obtienen cargadores de malware y otras herramientas de piratería de los delincuentes. No hay indicios de que grupos criminales privados estén involucrados en ataques a infraestructuras críticas.
Sin embargo, Tom Kellerman, vicepresidente senior de estrategia cibernética de Contrast Security, tiene una visión negativa de esta evolución. “Este es un cambio notable, ya que el ejército ruso ha utilizado anteriormente a ciberdelincuentes como mercenarios. Rusia reconoce que la debilidad de los países de la OTAN radica en su dependencia del ciberespacio. Esta advertencia debería ser un presagio de devastadores ataques híbridos que se producirán este otoño, muchos de ellos físicos. Se perderán vidas”.
La actividad de la Unidad 29155 desde 2020 incluye ataques cibernéticos a numerosas agencias federales en los Estados Unidos, el Reino Unido, Canadá, Australia, los Países Bajos, Alemania, Checoslovaquia, Estonia y Letonia. Sin embargo, el grupo parece haber desplazado la mayor parte de su atención a Ucrania en las semanas previas a la invasión militar de 2022, no solo con el Servicio de Seguridad del Estado (SBU) y el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) desplegados. Malware WhisperGate contra varias organizaciones de infraestructura crítica.
El grupo parece alternar entre espionaje y ciberataques, con una variedad de misiones que incluyen sabotaje, apoyo golpista, expansión de influencia e incluso coordinación de complots de asesinato. Ha atacado infraestructura crítica en países distintos de Ucrania, es conocido por sus actividades en la Unión Europea, América Central y Asia, y parece estar apuntando a estados miembros de la OTAN.
El informe también señala que la Unidad 29155 utiliza una serie de herramientas disponibles públicamente y técnicas comunes de equipos rojos que son difíciles de rastrear y atribuir, lo que hace que algunos ciberataques se atribuyan incorrectamente a otros actores. El malware WhisperGate se utiliza habitualmente, pero también lo utilizan otros actores de amenazas. Los piratas informáticos rusos están utilizando VPN para ocultar sus actividades y Shodan para escanear dispositivos vulnerables conocidos, como cámaras de seguridad, y enrutar intentos de autenticación de identidad.
Objetivos de infraestructura crítica de mayor interés para los piratas informáticos de GRU
A principios de 2022, la mayoría de las actividades del grupo contra infraestructuras críticas parecen haberse centrado en apoyar la invasión de Ucrania, pero sigue activo investigando y ocasionalmente realizando ciberataques contra aliados ucranianos. El FBI estima que el grupo ha realizado aproximadamente 14.000 escaneos de dominios en 26 países de la OTAN, e incluso fuera de Ucrania, ha desfigurado sitios web y ha robado o filtrado datos en cualquier oportunidad, y participa activamente en actividades de menor escala.
Antes de la invasión de Ucrania, el grupo se había aventurado en territorio exótico y experimental más allá de los ciberataques más estándar. El misterioso “Síndrome de La Habana”, que ha afectado a las embajadas y consulados extranjeros durante años, ha sido vinculado con armas sónicas no letales por miembros conocidos de la Unidad 29155, según informes de marzo de The Insider, 60 Minutes y Der Spiegel. posible que esté relacionado con la prueba.
El nuevo aviso conjunto incluye una recompensa multimillonaria del Departamento de Estado por información sobre cinco oficiales subalternos de la Unidad 29155 que se cree que atacaron directamente infraestructura crítica de Estados Unidos, Ucrania y muchos otros aliados. Los ciberataques a infraestructuras críticas se han convertido en un foco de atención para la administración Biden. Cada vez más, los atacantes de todo tipo y nacionalidad operan de forma encubierta durante largos períodos de tiempo, no sólo investigando la infraestructura crítica, sino también manteniendo “interruptores de apagado” que pueden cortar la electricidad, el agua y el tráfico en caso de un conflicto militar. son cada vez más audaces.
CISA recomienda que las organizaciones parcheen las vulnerabilidades conocidas para prepararse para posibles ataques cibernéticos de piratas informáticos rusos, que están utilizando agresivamente Shodan para buscar vulnerabilidades sin parches. Le recomendamos que presente su solicitud. También recomendamos implementar la segmentación de red y la autenticación multifactor en toda su organización.
Erich Kron, defensor de la concientización sobre la seguridad en KnowBe4, tiene algunos consejos específicos para empresas de infraestructura crítica y sus proveedores: “Claramente, las operaciones cibernéticas son tanto, si no más, parte de la geopolítica moderna que las técnicas tradicionales de inteligencia y espionaje. Son mucho más atractivas porque ya no estás expuesto a peligros físicos al robar información, aunque los ataques cibernéticos contra infraestructura crítica son ciertamente una forma de hacerlo. Preocupación, es aún más preocupante cuando imaginamos que un adversario podría obtener acceso a nuestros sistemas sin nuestro conocimiento y derribar herramientas, utilidades o sistemas de comunicaciones críticos, permaneciendo oculto hasta que ocurra un problema. Esta es una preocupación no solo para las organizaciones directamente. proporcionar servicios de infraestructura crítica, pero también para los proveedores que prestan servicios a estos socios de infraestructura crítica debido al riesgo de ataques a la cadena de suministro), educar a los empleados sobre posibles objetivos de ataque y garantizar que existan controles técnicos para monitorear posibles intrusiones en la red y filtración de datos. “
https://www.cpomagazine.com/cyber-security/new-cisa-report-ties-recent-cyber-attacks-on-critical-infrastructure-to-russian-intelligence-unit/
