Las estrategias de grupo hacker patrocinado por el gobierno ruso

Las estrategias de grupo hacker patrocinado por el gobierno ruso
El APT28 roba datos internos, los cuales son compartidos y alineados a las políticas y intereses rusos.

Estudio de FireEye revela que el grupo APT28 actúa desde 2007 en defensa de los intereses del país, ha tenido responsabilidad por el escándalo del ciberespionaje en las elecciones presidenciales de Estados Unidos en 2016, entre otros eventos.

El departamento de Seguridad Interna de Estados Unidos y el FBI dieron a conocer el 29 de diciembre pasado un informe y análisis conjunto que confirma la larga investigación pública realizada por FireEye que indica que el grupo APT28 es responsable por operaciones extensivas en apoyo a los intereses estratégicos rusos, principalmente los relacionados con defensa y geopolítica.

De acuerdo con Laura Galante, directora de Inteligencia Contra Amenazas de FireEye, el contenido del informe revela mucho más de la posición política asumida por Rusia durante las elecciones presidenciales norteamericanas en 2016, que culminaron con la victoria del candidato republicano Donald Trump.

Ahora el punto más importante es comprender cómo son ejecutadas las operaciones llevadas por Rusia para alterar información – incluyendo intrusiones y ataques – con el objetivo de debilitar instituciones, gobiernos y demás actores que, de acuerdo con la percepción del gobierno ruso, constriñen y condenan sus actividades”, aseguró.

Activo desde 2007, el grupo APT28 ganó mayor relevancia en los últimos dos años al realizar actividades de intrusión. “Las operaciones destinadas a las elecciones americanas son apenas el último ejemplo de una capacidad poco comprendida que ya fue utilizada contra la Organización del Tratado del Atlántico Norte (OTAN), el gobierno alemán, organizaciones de medios e individuos clave”, expresó Galante.

El malware y las tácticas de APT28- Se utiliza un conjunto de malware con características indicativas de losplanos de grupo para operaciones continuas, bien como acceso de grupo a recursos y desarrolladores calificados, realizados con ayuda de un framework modular, ambiente de código formal y capacidad deincorporar análisis de resultados.

Estas herramientas utilizadas para llevar a cabo las operaciones, ponen en evidencia el apoyo del gobierno de Rusia, una vez que el 97% de las muestras de malware fueron compiladas durante los días de la semana de trabajo, el 88% de éstas fueron en el periodo entre las 8 y las 18 horas del uso horarios de ciudades como Moscú y San Petersburgo. Además de eso, los desarrolladores de APT28 construyen malware con configuración en idioma ruso desde 2013.

El ataque se sucede normalmente en cuatro principales formas: infección con malware vía spear-phish; acceso a un webmail vía spear-pish; malware a través de comprometer estratégicamente la web (SWC); y acceso a servidores de internet. Cada una de estas tácticas suceden en cuatro o cinco etapas hasta que la red de la víctima queda completamente invadida.

Después de comprometer la organización víctima, el APT28 roba datos internos, los cuales son compartidos y alineados a las políticas y intereses rusos.

Conclusión

Desde 2014 fueron observados traslados en formato de ataque: exploración de vulnerabilidades zero-day; utilización de script de perfil para implantar zero-day y herramientas como forma de dificultar los accesos a los instrumentos de grupo; aumento de uso de depositos de códigos públicos comoCarberp y PowerShell Empire; obtención de credenciales a través de pedidos de autorización de acceso fabricados en Google App y Oauth, que permiten al grupo transportar factores de doble autentificación y otras medidas de seguridad;movimientos laterales en red utilizando apenas herramientas legítimas ya existentes en el sistema de la víctima.

Ahora existen otras naciones con presupuestos y sofisticación técnica para desarrollar y mantener la calidad de las herramientas utilizadas en las operaciones de APT28, ninguno de estos gobiernos se ha beneficiado con el compromiso y entrega de información perjudicial sobre las metas perseguidas por el grupo, como el foco de actuación y cooperación de seguridad europea, el gobierno de Estados Unidos, instituciones democráticas occidentales y puestos diplomáticos, observan a Rusia como el más probable soporte.

Por otro lado, la infraestructura usada para controlar las operaciones de APT28 había sido fácilmente interrumpida por Moscú, en caso de que un gobierno no aprobara las acciones independientes llevadas a cabo solamente por los rusos. Las explicaciones alternativas para el financiamiento de APT28 solo parecen posibles cuando son presentadas para explicar un incidente aislado, y no son creíbles al analizar la totalidad de las operaciones.

Al combinar una amplia gama de inteligencia técnica, soluciones prácticas de sistemas comprometidos, análisis de redes sociales controlados por Rusia y la comprensión de objetivos geopolíticos con base en las propias declaraciones públicas del gobierno ruso, se le puede atribuir a los rusos el financiamiento y control del APT28.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)