Rusia está utilizando malware para apoyar sus operaciones militares en Ucrania y sus tácticas continúan evolucionando para evadir las defensas, sin signos de desaceleración.
El Servicio Estatal de Protección de Información y Comunicaciones Especiales de Ucrania (SSSCIP) publicó esta semana su informe semestral sobre la actividad cibernética rusa en la guerra, señalando un aumento del 90 por ciento en incidentes relacionados con infecciones de malware.
Las protecciones de correo electrónico están ampliamente implementadas y, según el informe SSSCIP, son muy efectivas. Eso significa que Rusia necesitará ser más creativa para encontrar nuevas formas de introducir malware dentro de Ucrania.
El informe detalla estudios de casos en los que UAC-0184, una conocida organización rusa de ciberespionaje, apuntó a personal militar y robó documentos clasificados, específicamente utilizando aplicaciones de mensajería como Signal.
“Los piratas informáticos UAC-0184 poseen suficiente información personal y números de teléfono de contacto para hacerse pasar por otra persona y comenzar a comunicarse con sus víctimas objetivo, a menudo a través de Signal”, dice el informe. “En particular, los piratas informáticos están utilizando todos los recursos disponibles, incluidas las plataformas de citas, para 'entrenar' a sus objetivos”.
“Después de ganarse la confianza de la víctima, el hacker envía un archivo que contiene archivos de acceso directo con el pretexto de enviar premios, imágenes de combate o documentos relacionados con el reclutamiento para otras unidades.
“Cuando abre un archivo de acceso directo en su computadora, aparece un archivo señuelo relacionado con el tema de conversación y, al mismo tiempo, el malware de descarga infecta su sistema e instala software de control remoto. De esta manera, UAC-0184 obtiene acceso completo a su computadora.
Los señuelos de mensajes suelen tener como tema cuatro áreas principales:
Solicitar información como datos de contacto o confirmación de que el destinatario ha recibido el documento.
Tácticas de chantaje engañosas similares a los correos electrónicos no deseados falsos. Por ejemplo, uno que intente hacer creer al destinatario que está siendo investigado sobre sus actividades recientes.
Promesa de compensación como seguimiento o tiempo de vacaciones.
Información falsa sobre ser transferido a otro departamento.
El malware no se detiene ahí, ya que variantes populares como Smokeloader también se detectan en campañas de phishing de estilo más especulativas, y el ransomware también se ha visto en “varios” casos.
Una de las tendencias identificadas por el SSSCIP es el renovado interés de Rusia en los ciberataques destructivos. La guerra comenzó apenas unas horas después de que Rusia lanzara un ataque devastador contra Viasat con el malware de limpieza Whispergate, y continúa siendo seguida por incidentes similares en su tercer año.
En marzo, Rusia intentó una amplia gama de ciberataques destructivos contra unas 20 organizaciones de infraestructura energética en Ucrania, y tuvo éxito al menos en algunos casos.
El ataque comprometió tres cadenas de suministro simultáneamente, y la infección inicial se produjo a través de un “proveedor de servicios compartidos”, según el informe.
Ucrania culpó del ataque a UAC-0002 (también conocido como Sandworm), uno de los grupos cibernéticos ofensivos más activos de Rusia. El grupo es responsable de ataques a instalaciones de agua en EE. UU. y la UE, los Juegos Olímpicos de Invierno de 2018, NotPetya y varios otros ataques a gran escala a infraestructuras críticas en Ucrania.
“Apuntar individualmente a tantas organizaciones es una tarea difícil”, dice el informe. “Por lo tanto, esta vez llevamos a cabo un ataque a la cadena de suministro dirigido a al menos tres cadenas de suministro simultáneamente”.
“Esta conclusión sugiere que en algunos casos el acceso no autorizado inicial estuvo asociado con la instalación de software especializado que contenía puertas traseras o vulnerabilidades, mientras que en otros casos los atacantes se derivan del hecho de que la empresa comprometió las cuentas de los empleados de un proveedor de servicios que había acceso rutinario a los sistemas de control industrial (ICS) de la organización.
Los investigadores encontraron evidencia de varios malware instalados en sistemas de organizaciones de infraestructura crítica, incluidos LoadGrip y BiasBoat, que son variantes de QueueSeed basadas en Linux.
SSSCIP señala en su informe: “Con estos sistemas de software especializados operando dentro del ICS del objetivo, los atacantes los utilizaron para expandir horizontalmente y escalar sus ataques cibernéticos contra la red corporativa de la organización”.
“Por ejemplo, en estos sistemas, se pueden encontrar shells web PHP preescritos como Weevely, PHP Tunnel Rgeorg.neo y Pivotnacci en directorios de software dedicados.
“El acceso no autorizado al ICS de numerosas instalaciones de energía, calor y agua probablemente tenía como objetivo amplificar el impacto del ataque con misiles a la infraestructura ucraniana en la primavera de 2024”.
Un resumen del incidente realizado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en ese momento decía que el ataque pudo desarrollarse debido a una segmentación deficiente de la red y lo que los proveedores de software llamaron vulnerabilidades de ejecución remota de código “comunes”. esto se debió a una “actitud negligente” al no corregir el problema.
mantener un perfil bajo
Evgenia Nakonechna, directora del Centro Nacional de Protección Cibernética del SSSCIP, dijo que las operaciones cibernéticas rusas en 2024 se caracterizarán por apuntar a “todo lo que esté directamente conectado con el campo de batalla” y ataques discretos a sistemas clave de los que depende el ejército. para mantener el acceso continuo.
“Los piratas informáticos ya no sólo explotan vulnerabilidades en todas partes, sino que apuntan a áreas críticas para el éxito y el apoyo de las operaciones militares”, dijo.
La ambición de Rusia de mantener un perfil (en gran medida) bajo se ve confirmada por las cifras recopiladas por CERT-UA y SSSCIP, incluso cuando Rusia reanuda ataques destructivos similares a los vistos anteriormente en la guerra.
El ciberejército de Putin sigue activo y los ataques generales aumentaron un 19 por ciento en el primer semestre de 2024. Sin embargo, los incidentes investigados por Ucrania se clasifican principalmente como de baja gravedad.
En comparación con la segunda mitad de 2023, los incidentes de gravedad “grave” y “alta” disminuyeron un 90 % y un 71 %, respectivamente. Aunque sólo 48 del total de 1.739 incidentes analizados se clasificaron en la categoría más grave, los continuos ataques de Rusia contra sectores gubernamentales y militares siguen siendo motivo de preocupación.
“La guerra continúa y el ciberespacio sigue siendo un campo de batalla en sí mismo”, dice el informe. “Los enemigos están utilizando todos los medios posibles para recopilar inteligencia y creemos que los ataques cibernéticos contra personal militar y agencias gubernamentales seguirán ocurriendo con frecuencia”.
“El phishing y las infecciones de malware son los principales medios de ciberespionaje, y el comportamiento humano es el eslabón más débil. Por lo tanto, los principales medios de ciberseguridad son los hábitos básicos de higiene cibernética y la conciencia pública sobre las ciberamenazas actuales.
https://www.theregister.com/2024/09/24/russia_malware_ukraine_attacks/
