Home Infraestructuras críticas Ciberdelincuentes rusos atacaron una refinería de petróleo, en un país de la...

Ciberdelincuentes rusos atacaron una refinería de petróleo, en un país de la OTAN, durante la guerra de Ucrania

El grupo Gamaredon, vinculado a Rusia, intentó sin éxito entrar en una gran empresa de refinado de petróleo en un Estado miembro de la OTAN a principios de este año, en medio de la actual guerra ruso-ucraniana.

El ataque, que tuvo lugar el 30 de agosto de 2022, es sólo una de las múltiples intrusiones orquestadas por la amenaza persistente avanzada (APT) que se atribuye al Servicio Federal de Seguridad de Rusia (FSB).

Gamaredon, también conocida por los nombres de Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, ha atacado principalmente a entidades ucranianas y, en menor medida, a aliados de la OTAN para obtener datos confidenciales.

El seguimiento continuado de las actividades del grupo por parte de Unit 42 ha descubierto más de 500 nuevos dominios, 200 muestras de malware y múltiples cambios en sus tácticas durante los últimos 10 meses en respuesta a unas prioridades en constante evolución y expansión.

Más allá de los ciberataques, los investigadores de seguridad que pusieron de relieve las actividades de la banda en los días previos a la invasión militar de febrero de 2022 han sido objeto de tuits amenazadores de un supuesto asociado de Gamaredon, lo que subraya las técnicas de intimidación adoptadas por el adversario.

Otros métodos dignos de mención incluyen el uso de páginas de Telegram para buscar servidores de mando y control (C2) y DNS de flujo rápido para rotar a través de muchas direcciones IP en un corto espacio de tiempo para dificultar los esfuerzos de denegación y retirada basados en IP.

Los ataques en sí implican la entrega de archivos adjuntos armados incrustados en correos electrónicos de spear-phishing para desplegar una puerta trasera VBScript en el host comprometido, capaz de establecer la persistencia y ejecutar código VBScript adicional suministrado por el servidor C2.

También se han observado cadenas de infección de Gamaredon que aprovechan el geobloqueo para limitar los ataques a ubicaciones específicas y utilizan ejecutables dropper para lanzar cargas útiles VBScript de siguiente etapa, que posteriormente se conectan al servidor C2 para ejecutar otros comandos.

El mecanismo de geobloqueo funciona como un punto ciego de seguridad, ya que reduce la visibilidad de los ataques del actor de la amenaza fuera de los países objetivo y dificulta el seguimiento de sus actividades.