Los ciberdelincuentres rusos no necesitan el software Pegasus para espiar a políticos y funcionarios de Europa, América o Asia.
La firma de seguridad Mandiant alerta de que el grupo ruso de ciberespionaje APT29, también conocido como Cozy Beat, Dukes o Yttrium, estará utilizando nuevo malware y técnicas en campañas de phising dirigidas a organizaciones y entidades diplomáticas.
Se cree que este grupo está financiado por el Servicio de Inteligencia Exterior de Rusia (SVR) y fue el autor del ataque a SolarWinds en 2020, que supuso la violación de seguridad de cientos de organizaciones.
Que APT29 apunte contra diplomáticos no sería nada nuevo. De hecho llevarían con este tipo de actividades más de un lustro y algunos incluso datan sus orígenes a 2013.
Los investigadores de seguridad de Mandiant llevan rastreando distintas campañas de phising desde principios de 2021 y han avisado de que estos cibermalos han innovado en sus herramientas para evadir la detección. La compañía señala que "la orientación diplomática de esta actividad reciente es coherente con las prioridades estratégicas rusas, así como con la orientación histórica de APT29".
Así se articulan los ataques
Los cibermalos rusos envían correos electrónicos que se hacen pasar por avisos administrativos y que tienen cierto parecido a los ataques de phising de Nobelium de 2021.
Estos emails maliciosos incluyen el dropper HML ROOTSAW, que escribiría un archivo IMG o ISO en el disco. Estos ataques emplearían nuevos descargadores, que Mandian ha rastreado como Beatdrop y Boommic y que abusan de servicios legítimos como Trello, Firebase y Dropbox para la funcionalidad de comando y control (C&C).
Después de establecer el acceso, los investigadores también comprobaron que los atacantes intentaban escalar los privilegios, a menudo obteniendo acceso de administrador de dominio menos de 12 horas después del compromiso inicial. APT29 emplearía múltiples técnicas para escalar privilegios, incluida la explotación de plantillas de certificados mal configuradas para hacerse pasar por usuarios administradores.
"Mandiant ha observado que el grupo usa ampliamente tareas programadas, claves de ejecución, certificados maliciosos y puertas traseras en memoria, en algunos casos múltiples por sistema. La utilización de estas técnicas y herramientas representa los múltiples medios por los cuales APT29 intenta mantener el acceso dentro de un entorno", comentan desde la compañía.
Para Mandiant el objetivo de estos ataques es poder establecer "múltiples medios de acceso a largo plazo" para poder disponer de información diplomática y de política exterior de varias entidades gubernamentales de distintos países.