Piratas informáticos de élite, asociados con el servicio de inteligencia militar de Rusia han sido vinculados a campañas de phishing de gran volumen dirigidas a cientos de usuarios en Ucrania para extraer inteligencia e influir en el discurso público relacionado con la guerra.
El Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google, que vigila las actividades del actor bajo el nombre de FROZENLAKE, declaró que los ataques continúan “el enfoque del grupo en 2022 dirigido a usuarios de correo web en Europa del Este”.
El ciberagente patrocinado por el Estado, también conocido como APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit y Sofacy, es muy activo y competente. Lleva activo al menos desde 2009, dirigiéndose a medios de comunicación, gobiernos y entidades militares con fines de espionaje.
El último conjunto de intrusiones, que comenzó a principios de febrero de 2023, implicaba el uso de ataques de secuencias de comandos en sitios cruzados (XSS) reflejados en varios sitios web del gobierno ucraniano para redirigir a los usuarios a dominios de phishing y capturar sus credenciales.La revelación se produce al tiempo que los servicios de inteligencia y las fuerzas de seguridad del Reino Unido y Estados Unidos publican un aviso conjunto en el que advierten de los ataques de APT28 que aprovechan una antigua y conocida vulnerabilidad de los routers Cisco para desplegar un malware conocido como Jaguar Tooth.
FROZENLAKE no es ni mucho menos el único actor centrado en Ucrania desde la invasión militar rusa del país hace más de un año. Otro colectivo adversario notable es FROZENBARENTS -también conocido como Sandworm, Seashell Blizzard (de soltera Iridium), o Voodoo Bear-, que ha participado en un esfuerzo sostenido para atacar a organizaciones afiliadas al Consorcio del Oleoducto del Caspio (CPC) y otras entidades del sector energético en Europa del Este.
Ambos grupos han sido atribuidos a la Dirección General de Inteligencia del Estado Mayor (GRU), estando APT28 vinculado a la unidad de inteligencia militar 26165 del 85º Centro de Servicios Especiales (GTsSS). Sandworm, por su parte, se cree que forma parte de la unidad 74455 del GRU.
La campaña de recogida de credenciales iba dirigida a empleados del CPC con enlaces de phishing enviados por SMS. Los ataques contra la vertical energética distribuían enlaces a falsos paquetes de actualización de Windows que, en última instancia, ejecutaban un ladrón de información conocido como Rhadamanthys para exfiltrar contraseñas y cookies del navegador.
FROZENBARENTS, apodado el “ciberagente más versátil de la GRU”, también ha sido observado lanzando ataques de phishing de credenciales dirigidos a la industria de defensa ucraniana, militares y usuarios de correo web Ukr.net a partir de principios de diciembre de 2022.
Un tercer actor de amenazas de interés es PUSHCHA (también conocido como Ghostwriter o UNC1151), un grupo respaldado por el gobierno bielorruso conocido por actuar en nombre de intereses rusos, con ataques de phishing dirigidos a proveedores de correo web ucranianos como i.ua y meta.ua para desviar credenciales.
Google TAG también destacó un conjunto de ataques montados por el grupo detrás del ransomware Cuba para desplegar RomCom RAT en las redes gubernamentales y militares ucranianas.
