• Home /

  • Ciberseguridad /

  • El grupo ruso APT 28 aprovecha vulnerabilidades en el email y VPN para espiar a empresas que apoyan a Ucrania

Ciberseguridad

El grupo ruso APT 28 aprovecha vulnerabilidades en el email y VPN para espiar a empresas que apoyan a Ucrania

También conocido como Fancy Bear, este colectivo ha comprometido múltiples empresas en países miembros de la OTAN.

Alberto Payo

Periodista

Guardar

Hackers rusos
Hackers rusos

Las autoridades de distintos países han revelado una campaña patrocinada por el estado dirigida a entidades logísticas y empresas de tecnología occidentales que se vendría desarrollando desde hace tres años. 

Se cree que la actividad está orquestada por el grupo de amenazas persistentes avanzadas APT28 (también conocido como BlueDelta, FancyBear o Forest Blizzard), vinculado a la Unidad Militar 26165 de la Dirección Principal de Inteligencia (GRU) del Estado Mayor General ruso. 

Según recoge un aviso conjunto publicado por agencias de Alemania, Australia, Canadá, Dinamarca, EE.UU., Estonia, Francia, Holanda, Polonia y Reino Unido, los objetivos de la campaña incluyen empresas involucradas en la coordinación, transporte y entrega de asistencia extranjera a Ucrania.

"Esta campaña orientada al espionaje cibernético dirigida a entidades logísticas y empresas de tecnología utiliza una mezcla de TTP previamente reveladas y probablemente esté conectada con los ataques a gran escala de estos actores a cámaras IP en Ucrania y los países limítrofes de la OTAN", señala el boletín.

Precedentes

Esta alerta se produce semanas después de que el Ministerio de Relaciones Exteriores de Francia acusara a APT28 de llevar a cabo ciberataques contra una docena de entidades, incluyendo ministerios, empresas de defensa, entidades de investigación y grupos de expertos desde 2021 en un intento de desestabilizar la nación. 

APT28 ha usado una combinación de técnicas avanzadas para infiltrar las redes objetivo. Entre ellas destaca la utilización de ataques de 'password spraying', una técnica que consiste en probar contraseñas comunes en cuentas de usuario múltiples para evitar bloqueos, así como campañas de spear-phising para engañar a empleados y conseguir acceso inicial. 

La operación también ha implicado la modificación de permisos de buzones de correo en Exchange y la explotación de vulnerabilidades en Roundcube, MDaemon y WinRAR. 

La campaña ha sido identificada como una amenaza significativa para las entidades involucradas en la entrega de asistencia a Ucrania. 

Archivado en: