Los ataques recientes estaban dirigidos a redes gubernamentales, grupos de expertos, organizaciones de análisis de políticas y empresas de TI.
La Agencia de Seguridad Nacional de Estados Unidos (NSA), la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI) han advertido de que el grupo de APT vinculado a Rusia SVR, también conocido como APT29, Cozy Bear y The Dukes). Está explotando cinco vulnerabilidades en ataques contra objetivos estadounidenses.
Los piratas informáticos aprovechan estos fallos para obtener credenciales de acceso y utilizarlas para entrar en las redes de organizaciones y agencias gubernamentales estadounidenses.
Las vulnerabilidades son:
- CVE-2018-13379 Fortinet,
- CVE-2019-9670 Zimbra,
- CVE-2019-11510 Pulse Secure,
- CVE-2019-19781 Citrix,
- CVE-2020-4006 VMware.
Además, el SVR (Servicio de Inteligencia Exterior de Rusia) o APT29 tenía una conexión con el reciente ataque a la cadena de suministro de SolarWinds Orion. El aviso conjunto proporciona información adicional sobre tácticas, herramientas, técnicas y capacidades de APT29. Entre los TTP asociados con SVR, las agencias federales destacaron que:
- Rociado de contraseñas. En un compromiso de una gran red en 2018, los actores de amenazas utilizaron el rociado de contraseñas para detectar una contraseña débil vinculada con una cuenta administrativa.
- Aprovechamiento de la vulnerabilidad de día cero. En otro incidente, SVR utilizó un exploit de día cero (CVE-2019-19781) contra un dispositivo VPN para obtener acceso dentro de la red.
- El malware WELLMESS. En 2020, los intentos de intrusión en los gobiernos del Reino Unido, Canadá y los EE. UU., Que se realizaron con el malware conocido como WELLMESS, se atribuyeron a APT29.
- Similitudes con las intrusiones habilitadas para SolarWinds. A mediados de 2020, el grupo APT utilizó el software de monitoreo de red SolarWinds modificado como vector de intrusión inicial. El vector de ataque es similar a otras intrusiones patrocinadas por SVR.
Los ataques recientes por parte de los ciberdelincuentes rusos, estaban dirigidos a redes gubernamentales, grupos de expertos, organizaciones de análisis de políticas y empresas de TI. Los atacantes buscaban información de inteligencia de las entidades objetivo.
Recientemente, el gobierno de EE. UU. Vinculó formalmente el ataque a la cadena de suministro de SolarWinds con APT29. Y además, el aviso reciente complementa un ataque cibernético anterior publicado el 15 de abril, compartiendo detalles sobre las vulnerabilidades explotadas por el actor de la amenaza.
Declaraciones finales
El CISA declaró que APT29 continuará recopilando inteligencia de entidades estadounidenses y extranjeras con explotación cibernética. Utiliza una serie de sofisticadas técnicas de explotación inicial, junto con una intrusión sigilosa. Además, la alerta de seguridad compartió recomendaciones y medidas de mitigación que deben seguir las organizaciones de todo el mundo.
Por otro lado, el gobierno estadounidense atribuyó formalmente con “alta confianza” el ataque a la cadena de suministro de SolarWinds al Servicio de Inteligencia Exterior de Rusia (SVR).
El gobierno de Biden anunció que el gobierno de EE.UU. está expulsando a 10 diplomáticos rusos e imponiendo sanciones contra empresas tecnológicas y personas vinculadas a la inteligencia rusa que intentó interferir en las elecciones presidenciales del último año, y por realizar ciberataques dirigidos a agencias federales.
