211service.com
Los piratas informáticos rusos que atacaron las elecciones de 2016 han estado muy ocupados desde
El Kremlin Foto: El Kremlin por Mariano Mantel CC BY NC 2.0
Desde que fueron uno de los grupos involucrados en el infame hackeo del Comité Nacional Demócrata en 2016, el rastro se ha enfriado en gran medida sobre los piratas informáticos de inteligencia rusos conocidos como Cozy Bear.
Sin embargo, una nueva investigación muestra que Cozy Bear (también conocido como los Dukes) nunca desapareció. Aunque se las arreglaron para permanecer fuera del foco de atención durante más de dos años, el grupo ha participado activamente en una campaña de espionaje de seis años de duración dirigida a los ministerios de relaciones exteriores en al menos tres países europeos y una embajada en Washington, DC, de un nación de la Unión Europea, según nuevo trabajo por la empresa eslovaca de ciberseguridad ESET.
Otros dos grupos de piratería avanzados de Rusia, con los nombres en clave Fancy Bear y Turla, se encontraron en algunas de las mismas computadoras violadas. Se sabe que los grupos de piratas informáticos rusos de diferentes ramas del gobierno, en este caso, el ejército y las agencias de inteligencia, compiten agresivamente entre sí cuando persiguen objetivos de alto valor.
La campaña persistente y meticulosa de Cozy Bear contra una variedad de objetivos políticos europeos utiliza malware y tácticas nuevas en lo que los investigadores llaman Operation Ghost, una campaña que se remonta a 2013 y se extiende al menos hasta junio de 2019.
Entra por la puerta trasera: Los piratas informáticos generalmente comienzan su ataque con correos electrónicos de phishing selectivo, mensajes cuidadosamente diseñados para engañar a objetivos muy específicos para que hagan clic en enlaces maliciosos, iniciando un proceso para descargar software peligroso que le da a Cozy Bear el control de máquinas y cuentas clave. Los detalles de cómo los piratas logran ese objetivo muestran que se encuentran entre los mejores del mundo en lo que hacen.
La campaña, que se llevó a cabo principalmente durante el horario laboral en la zona horaria de Moscú, involucró a varias nuevas familias de malware descubiertas en uso durante esta operación.
Este grupo crea específicamente una nueva familia de malware conocida como FatDuke para proporcionar un acceso oculto y silencioso de puerta trasera a la máquina de una víctima al hacerse pasar por el navegador del objetivo hasta detalles específicos como usar el mismo agente de usuario que el navegador instalado en el sistema.
Así es como los investigadores plantean la hipótesis de que podría desarrollarse un tipo de ataque de Operation Ghost: un objetivo, digamos un diplomático europeo, recibiría un correo electrónico diseñado específicamente para que descargue un documento malicioso. Ese documento contendría el malware PolyglotDuke cuyo objetivo es instalar subrepticiamente otro malware en la máquina. Para hacer eso, el malware analiza mensajes predeterminados en sitios populares como Reddit, que parecen tráfico de Internet normal. Se descarga una imagen que usa una táctica llamada esteganografía, que cambia sutilmente un archivo de imagen para ocultar datos codificados, incluidas cargas útiles adicionales. De repente, las fotos de aspecto normal contienen un código malicioso y casi invisible.
Instalarán la puerta trasera MiniDuke y luego, como etapa tres del libro de jugadas para los objetivos más interesantes e importantes, se trasladarán a FatDuke. Un despliegue exitoso de FatDuke, llamado la puerta trasera insignia actual utilizada por los Dukes, significa que la batalla ha terminado.
Perfil bajo: Lo que también es excepcional acerca de este grupo y esta campaña es la forma en que la infraestructura de red de la operación se construyó de nuevo para cada víctima.
Este tipo de compartimentación generalmente solo es visto por los atacantes más meticulosos, dijeron los investigadores de ESET Matthieu Faou, Mathieu Tartare y Thomas Dupuy en el nuevo informe . “Evita que toda la operación se queme cuando una sola víctima descubre la infección y comparte la red relacionada [indicadores de compromiso] con la comunidad de seguridad.
Cozy Bear ha estado activo durante más de una década.
Nuestra nueva investigación muestra que incluso si un grupo de espionaje desaparece de los informes públicos durante muchos años, es posible que no haya dejado de espiar, escribieron los investigadores. Cozy Bear pudo volar bajo el radar durante muchos años mientras comprometía objetivos de alto valor, como antes.