Home Ciberguerra Sofisticado grupo de piratas informáticos rusos ha vuelto a entrar en acción

Sofisticado grupo de piratas informáticos rusos ha vuelto a entrar en acción

La organización conocida como Cozy Bear, que hackeó el Comité Nacional Demócrata en el período previo a las elecciones presidenciales de 2016 en Estados Unidos, ha estado ocupada con ataques contra departamentos gubernamentales en todo Europa.

Se cree que el grupo de hacking -también conocido como APT29- está asociado con el servicio de inteligencia ruso y, junto con el grupo de hacking militar ruso Fancy Bear, estuvo involucrado en una serie de ataques de alto perfil entre 2014 y 2017.

En el tiempo transcurrido desde entonces, Cozy Bear pareció callarse, pero ahora los analistas de seguridad cibernética de ESET han detallado cómo el grupo, al que se refieren como Dukes, ha continuado su actividad mientras intentaba permanecer fuera del radar.

La nueva campaña descubierta -denominada Operación Fantasma por los investigadores- comenzó en 2013 y continuó en 2019, lo que significa que el grupo nunca detuvo su actividad de espionaje.

En ataques que utilizan cuatro nuevas familias de malware, Cozy Bear se ha dirigido a los ministerios de Asuntos Exteriores de al menos tres países de Europa, así como a la embajada estadounidense de un país de la Unión Europea en Washington DC.

Los investigadores han atribuido la Operación Fantasma a Cozy Bear porque los ataques utilizan malware de puerta trasera asociado con la actividad previa del grupo – MiniDuke – aunque esta versión parece haber sido actualizada. El grupo también parece ser muy activo durante las horas de trabajo en Rusia, con actividad ocasional durante la noche.

Al igual que otras campañas de Cozy Bear, los ataques empiezan con mensajes de correo electrónico de pesca submarina diseñados para atraer a las víctimas a hacer clic en un enlace malicioso o descargar malware a través de un archivo adjunto; sin embargo, los mensajes de correo electrónico de compromiso iniciales aún no se han identificado.

A partir de ahí, los atacantes roban los datos de acceso para desplazarse por las redes, a menudo explotando las credenciales de administrador para hacerlo.

Las campañas también utilizan tres nuevas familias de malware para ayudar a realizar operaciones en sistemas comprometidos, que los investigadores han denominado PolyglotDuke, RegDuke y FatDuke.

PolyglotDuke utiliza Twitter, Reddit, Imgur y otros sitios web para enlazar con su infraestructura de comando y control (C&C), lo que permite a los atacantes evitar almacenar esta información en el malware, algo que puede ser útil para evitar la detección.

“Es menos probable que los sistemas automatizados indiquen que un ejecutable es malicioso si sólo contiene URLs de sitios web legítimos. Además, si el malware se ejecuta en una caja de arena, sin acceso a Internet, no realizará ninguna actividad maliciosa ya que no puede llegar al servidor de C&C”, dijo a ZDNet Matthieu Faou, investigador de malware de ESET y autor de la investigación.

“Por último, permite a los atacantes actualizar fácilmente la URL de C&C, ya que sólo necesitan reemplazar el mensaje”, añadió.

Mientras tanto, RegDuke contiene la carga útil principal y la almacena en el registro de Windows mientras que también aplica taquigrafía para permanecer oculta. La tercera nueva familia de malware es FatDuke, algo que los investigadores describen como una sofisticada puerta trasera con la capacidad de robar credenciales de inicio de sesión y otros datos privados asociados con actividades de espionaje, especialmente contra departamentos gubernamentales de alto rango.

“Estas organizaciones suelen tratar con documentos muy delicados sobre políticas nacionales o mundiales. Por lo tanto, desde una perspectiva de espionaje, son objetivos muy valiosos”, dijo Faou.

El informe de ESET indica que los investigadores continuarán monitoreando la actividad de Dukes y una lista de Indicadores de Compromiso ha sido publicada en GitHub para ayudar a las víctimas potenciales a detectar ataques.

Los investigadores también advierten que el hecho de que un grupo de amenaza de la APT parezca haberse quedado a oscuras no significa que hayan detenido la actividad de espionaje; de hecho, la naturaleza misma del espionaje significa que están haciendo todo lo que pueden para evitar ser detectados. Y aunque grupos como Cozy Bear ocasionalmente pueden hacer una pausa en la actividad, en última instancia su trabajo es llevar a cabo espionaje en todo momento, por lo que el grupo regresará de nuevo en el futuro.

“Podemos esperar que desarrollen nuevas herramientas para poder reiniciar sus ataques en las próximas semanas o meses”, dijo Faou.

Con información de: ESET.