El Grupo de Análisis de Amenazas de Google (TAG) ha reforzado su vigilancia sobre la actividad cibernética de los actores de amenazas prorrusos desde que Vladímir Putin ordenó su "operación militar especial" contra Ucrania al considerar que la "seguridad en internet es en estos momentos extremadamente importante para las personas en Ucrania y la región circundante". El gigante tecnológico está compartiendo sus hallazgos a través de su blog y, tras su publicación del pasado 7 de marzo, esta semana ha lanzado un nuevo informe en el que afirma que el grupo de hackers con sede en Rusia Coldriver ha intentado atacar recientemente las redes de la OTAN y de las fuerzas armadas de algunos países de Europa del Este.
Según indica el TAG, es la primera vez que observa campañas de este grupo de amenazas, también conocido como Calisto, dirigidas contra un Centro de Excelencia de la OTAN, así como al ejército de varios países de Europa del Este.
"Estas campañas se enviaron utilizando cuentas de Gmail recién creadas a cuentas que no son de Google, por lo que se desconoce la tasa de éxito de estas campañas. No hemos observado ninguna cuenta de Gmail comprometida con éxito durante estas campañas", señala.
El informe no especifica cuáles fueron los ejércitos a los que ha tratado de atacar Coldriver. No obstante, señala que el de un país perteneciente a los Balcanes ha sido objetivo de una de las campañas de phishing de credenciales lanzadas por últimamente por el grupo y que también han apuntado a varias ONG, grupos de expertos con sede en Estados Unidos y a un contratista de defensa ubicado en Ucrania.
También cabe destacar que Coldriver no es un grupo de hackers que haya aparecido recientemente. En 2019, la firma finlandesa de ciberseguridad F-Secure Labs lo definió como un actor de amenazas avanzado no identificado "interesado en la recopilación de inteligencia relacionada con la política exterior y de seguridad" en Europa.
La OTAN no se ha referido directamente a esta publicación de Google, pero en un comunicado citado por Reuters ha afirmado: "Vemos actividad cibernética maliciosa a diario".
"Los Centros de Excelencia de la OTAN trabajan junto con la Alianza, pero no son parte de la OTAN como tal. Estamos en contacto con ellos sobre este tema", dice el comunicado.
Otros hallazgos de Google sobre actores respaldados por China, Corea del Norte, Irán y Bielorrusia
La compañía de Mountain View también avisa que los operadores de ransomware continúan operando con normalidad y que ha detectado un número cada vez mayor de actores de amenazas que usan la guerra de Ucrania como señuelo en campañas de malware y phishing. Además de hackers rusos, asegura que actores respaldados por los gobiernos de China, Corea del Norte e Irán, así como varios grupos no identificados, "han utilizado varios temas relacionados con la guerra de Ucrania en un esfuerzo por lograr que los objetivos abran correos electrónicos maliciosos o hagan clic en enlaces maliciosos".
Junto a Coldriver, el informe pone el foco en foco en otros dos grupos de ciberdelincuentes:
- Curious Gorge: un grupo que TAG atribuye a las fuerzas militares PLASSF de China y que ha llevado a cabo campañas gubernamentales y militares en Ucrania, Rusia, Kazajstán y Mongolia. "Si bien esta actividad no afecta en gran medida a los productos de Google, seguimos comprometidos y brindamos notificaciones a las organizaciones víctimas".
- Ghostwriter: un actor de amenazas bielorruso que últimamente ha introducido una nueva capacidad en sus campañas de phishing de credenciales que consiste mostrar una página de inicio de sesión que aparentemente está en el dominio pasaporte.i.ua, encima de la página alojada en una página web comprometida. "Una vez que un usuario proporciona las credenciales en el cuadro de diálogo, se envían a un dominio controlado por el atacante".
"El equipo continúa trabajando las 24 horas, centrándose en la seguridad de nuestros usuarios y las plataformas que les ayudan a acceder y compartir información importante. Continuaremos tomando medidas, identificando a los malos actores y compartiendo información relevante con otros de la industria y los gobiernos, con el objetivo de generar conciencia sobre estos problemas, proteger a los usuarios y prevenir futuros ataques", declara el Grupo de Análisis de Amenazas de Google al final de su informe, apostillando que también va a seguir permaneciendo atento a otros actores de amenazas a nivel mundial para asegurarse de que no se aprovechen de la atención del mundo entero al conflicto entre Ucrania y Rusia.