Artículo de Feike Hacquebord, investigador senior de amenazas de Trend Micro.
En la segunda mitad de 2017, Pawn Storm, un grupo agentes de espionaje extremadamente activo, no se abstuvo de continuar con sus descarados ataques que, por lo general, no se tratan de incidentes aislados. A menudo, podemos relacionarlos con ataques anteriores al observar cuidadosamente tanto los indicadores técnicos como los motivos. Desde 2015, se han sucedido una serie de ataques de Pawn Storm contra organizaciones políticas en Alemania, Ucrania, Montenegro, Turquía, EE. UU. y Francia.
En la segunda mitad de 2017, se han vuelto a ver ataques contra organizaciones políticas. Estos ataques no muestran mucha innovación técnica en el tiempo, pero están bien preparados, son persistentes, descarados y, a menudo, es difícil defenderse contra ellos. Pawn Storm cuenta con un gran arsenal de herramientas y lleno de trucos de ingeniería social, malware y exploits, y por tanto, no necesita mucha innovación; además de, ocasionalmente, usar sus propios días cero y abusar rápidamente de las vulnerabilidades del software inmediatamente después de que se lanza un parche de seguridad.
En verano y otoño de 2017, Trend Micro observó que varias organizaciones fueron atacadas por Pawn Storm con ataques de phishing de credenciales y spear phishing. El modus operandi de Pawn Storm es bastante constante a lo largo de los años, siendo algunos de sus trucos técnicos utilizados una y otra vez. Por ejemplo, el uso del tab nabbing, técnica de phishing que se utilizó contra los usuarios de Yahoo en agosto y septiembre de 2017 en emails sobre temática política en EE.UU. En 2015, Trend Micro ya advirtió contra este método en el que se cambia una pestaña del navegador para que apunte a un sitio de phishing después de desviar la atención del objetivo.
A menudo, podemos relacionar estrechamente las campañas actuales y anteriores de Pawn Storm con datos que abarcan más de 4 años. Posiblemente esto se deba a que los agentes del grupo siguen un guion cuando preparan un ataque contra sus objetivos. Esto tiene sentido ya que el volumen total de sus ataques requiere una cuidada administración, planificación y organización para tener éxito. A continuación, se muestran dos correos electrónicos de phishing de credenciales típicos que se dirigieron a organizaciones específicas en octubre y noviembre de 2017. Se supone que uno de los correos electrónicos es un mensaje del servidor de Microsoft Exchange del destinatario sobre una contraseña caducada. El otro dice que hay un nuevo archivo en el sistema OneDrive de la compañía.
Si bien estos emails no parecen ser de naturaleza avanzada, el equipo de Trend Micro ha visto que la pérdida de credenciales suele ser el punto de partida de ataques adicionales, incluido el robo de datos confidenciales de las bandejas de entrada del correo electrónico. Trend Micro ha trabajado con uno de los objetivos, una ONG en los Países Bajos, que sufrió dos ataques a finales de octubre y principios de noviembre de 2017. Se pudo evitar con éxito que ambos ataques causaran algún daño. En un caso, la compañía pudo advertir al objetivo en las 2 horas posteriores a la instalación de un sitio dedicado de suplantación de identidad de credenciales. En un ataque anterior avisamos a la organización 24 horas antes de que se enviaran los correos electrónicos de phishing.
Federaciones Olímpicas de Deportes de Invierno
El fabricante de seguridad también ha visto varias Federaciones Olímpicas Internacionales de Deportes de Invierno, como la Federación Europea de Hockey sobre Hielo, la Federación Internacional de Esquí, la Unión Internacional de Biatlón, la Federación Internacional de Bobsleigh y Skeleton y la Federación Internacional de Luge, entre los objetivos del grupo en la segunda mitad de 2017. Esto es digno de mención debido a la correlación temporal entre varios jugadores olímpicos rusos que fueron suspendidos de por vida en otoño de 2017.
En 2016, Pawn Storm tuvo cierto éxito al comprometer a la WADA (Agencia Mundial Antidopaje) y al TAS-CAS (el Tribunal de Arbitraje del Deporte). En ese momento, Pawn Storm buscaba un contacto activo con los principales medios de comunicación, ya sea directamente o por medio de representantes, y tuvo influencia en lo que algunos medios publicaron en documentos robados de ambas organizaciones.
Objetivos políticos
En la semana de las elecciones presidenciales de 2017 en Irán, Pawn Storm creó un sitio de phishing dirigido a los usuarios de chmail.ir webmail. Trned Micro pudo recopilar pruebas de que los correos electrónicos de phishing de credenciales se enviaron a los usuarios de chmail.ir el 18 de mayo de 2017, solo un día antes de las elecciones presidenciales en Irán. Anteriormente, el equipo de investigación de la compañía informó de una actividad similar focalizada contra organizaciones políticas en Francia, Alemania, Montenegro, Turquía, Ucrania y Estados Unidos.
A partir de junio de 2017 se crearon sitios de phishing que imitaban los ADFS (Active Directory Federation Services) del Senado de EE.UU. Al observar las huellas digitales de estos sitios de phishing y compararlos con un gran conjunto de datos que abarca casi 5 años, se pueden relacionar de manera única con un par de incidentes de Pawn Storm en 2016 y 2017. El verdadero servidor ADFS del Senado de EE. UU. no está accesible en la Internet abierta; sin embargo, el phishing de las credenciales de los usuarios en un servidor ADFS que está detrás de un firewall sigue teniendo sentido. En caso de que un agente ya tenga un punto de apoyo en una organización después de comprometer una cuenta de usuario, el phishing de credenciales podría ayudarle a acercarse mucho más a los usuarios de interés de alto perfil.
El futuro de las campañas motivadas políticamente
Es muy probable que en un futuro cercano las campañas de descrédito de influencia política no desaparezcan. Las organizaciones políticas deben poder comunicarse abiertamente con sus votantes, la prensa y el público general. Esto los hace vulnerables al hackeo y al spear phishing. Además de eso, la opinión pública puede ser alcanzada con relativa facilidad a través de las redes sociales. Las redes sociales continúan formando una parte sustancial de la experiencia online de los usuarios y las plataformas también permiten a los anunciantes llegar a los consumidores con sus mensajes. Esto hace que los algoritmos de las redes sociales sean susceptibles de abuso por parte de diversos actores con malas intenciones.
La publicación de datos robados, junto con la difusión de noticias falsas y rumores en las redes sociales, brinda a los interesados malintencionados herramientas poderosas. Si bien una campaña de influencia exitosa puede parecer relativamente simple, necesita mucha planificación, persistencia y recursos para tener éxito. Algunas de las herramientas básicas como difundir noticias falsas en las redes sociales ya se ofrecen como un servicio en el mercado negro.
Tal y como Trend Micro menciona en su documento sobre el resumen general de Pawn Storm, otros actores podrían iniciar sus propias campañas con el fin de influir en la política y en los temas de interés nacional e internacional. Agentes de países en desarrollo aprenderán y probablemente adaptarán métodos similares rápidamente en un futuro próximo. En 2016 Trend Micro publicó un informe sobre C Major, un grupo de espionaje que se centra principalmente en atacar al ejército indio.
Al profundizar en el blanco al que se estaba dirigiendo C Major, se encontró que este grupo de agentes no solo ataca al ejército indio, sino que también tiene redes de bots dedicadas para objetivos comprometidos en universidades iraníes, objetivos en Afganistán y objetivos en Pakistán. Recientemente hemos sido testigos de que C Major también tiene interés en comprometer objetivos militares y diplomáticos en Occidente. Solo es cuestión de tiempo que los agentes como C Major se interesen en influir en la opinión pública en el extranjero también.
Con las Olimpiadas y varias importantes citas electorales a nivel mundial en 2018, podemos estar seguros de que las actividades de Pawn Storm continuarán. Trend Micro seguirá supervisando sus actividades específicas, así como actividades de grupos similares, ya que la ciberpropaganda y la extorsión digital seguirán en uso.