Si la tensión entre EE.UU. y Rusia ya era máxima por la crisis de Ucrania, la cosa puede volverse un poco más complicada tras la publicación de una alerta de seguridad por parte de CISA (la Agencia estadounidense para la Infraestructura de Seguridad y Ciberseguridad).
En el informe el organismo asegura que desde al menos enero de 2020 hasta este mes de febrero actores de amenazas promovidas por el estado ruso se han dirigido a las redes de contratistas del país norteamericano con el fin de obtener información sensible sobre la defensa y su tecnología.
En concreto, CISA apunta que estos ciberlincuentes habrían tratado de aprovechar el acceso a las redes de CDC para obtener datos confidenciales sobre los programas y capacidades de defensa e inteligencia de EE.UU.
Las entidades comprometidas incluirían CDC que apoyan al Ejército de los EE.UU., la Fuerza Aérea de los EE.UU., la Marina de los EE.UU., la Fuerza Espacial de los EE.UU. y los programas de inteligencia y del Departamento de Defensa.
CISA revela que estos actores habrían mantenido un acceso persistente a múltiples redes de CDC, en algunos casos durante al menos seis meses. En aquellos en los que los actores de amenazas han obtenido acceso con éxito, el FBI, la NSA y la CISA han notado una filtración regular y recurrente de correos electrónicos y datos.
Por ejemplo, durante un compromiso en 2021, los actores de amenazas extrajeron cientos de documentos relacionados con los productos de la empresa, las relaciones con otros países y el personal interno y asuntos legales.
Los objetivos clave
Las industrias principal objetivo de los ciberdelincuentes patrocinados por Rusia han sido el desarrollo de armas y misiles, el diseño de vehículos y aeronaves, el desarrollo de software y las tecnologías de la información, las analíticas de datos y la logística.
En cuanto a la información que se habría filtrado se incluyen comunicaciones por correo electrónico, detalles de contratos, desarrollos de productos, tests y timelines, acuerdos internacionales y fondos.
"A través de estas intrusiones, los actores de amenazas han adquirido información no clasificada propiedad de los CDC y controlada por exportaciones. Este robo ha otorgado a los actores una visión significativa de los plazos de desarrollo y despliegue de las plataformas de armas de EE.UU., los planes para la infraestructura de comunicaciones y las tecnologías específicas empleadas por el Gobierno y el Ejército de EE.UU.", subraya la agencia en su comunicado.
Para acceder a todos estos datos los hackers alineados con el estado ruso usaron técnicas de fuerza bruta, phising con dominios maliciosos y obtención de credenciales junto con vulnerabilidades conocidas.
"El FBI, la NSA y la CISA instan a todos los CDC a investigar actividades sospechosas en sus entornos empresariales y de nube", señalan las autoridades estadounidenses. Además, "alientan a todos los CDC, con o sin evidencia de haber sido comprometidos" a aplicar algunas medidas concretas, como la habilitación de la autenticación multifactor, introducir bloqueos temporales de acceso, habilitar las funciones de administración de contraseñas, etc.