La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), el Departamento de Seguridad Nacional (DHS) y la Oficina Federal de Investigaciones (FBI) publicaron el lunes un nuevo aviso conjunto como parte de sus últimos intentos de exponer las tácticas, técnicas y procedimientos. (TTP) adoptado por el Servicio de Inteligencia Exterior de Rusia (SVR) en sus ataques contra entidades estadounidenses y extranjeras.
Al emplear «técnicas de intrusión sigilosa dentro de redes comprometidas», dijeron las agencias de inteligencia , «la actividad de SVR, que incluye el compromiso reciente de la cadena de suministro SolarWinds Orion, se dirige principalmente a redes gubernamentales, grupos de expertos y organizaciones de análisis de políticas, y empresas de tecnología de la información y busca recopilar información de inteligencia «.
El actor cibernético también está siendo rastreado bajo diferentes apodos, incluidos Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium. El desarrollo se produce cuando EE. UU. Sancionó a Rusia y adjudicó formalmente el hack de SolarWinds y la campaña de ciberespionaje relacionada con los operativos del gobierno que trabajan para SVR.
APT29 , desde que surgió en el panorama de amenazas en 2013, se ha vinculado a una serie de ataques orquestados con el objetivo de obtener acceso a las redes de las víctimas, moverse dentro de los entornos de las víctimas sin ser detectados y extraer información confidencial. Pero en un cambio notable en las tácticas en 2018, el actor pasó de implementar malware en las redes de destino a lanzar servicios de correo electrónico basados en la nube, un hecho asumido por el ataque SolarWinds, en el que el actor aprovechó los binarios de Orion como un vector de intrusión para explotar Microsoft Office 365. Ambientes.
Se dice que esta similitud en el comercio posterior a la infección con otros ataques patrocinados por SVR, incluida la forma en que el adversario se movió lateralmente a través de las redes para obtener acceso a las cuentas de correo electrónico, jugó un papel muy importante en la atribución de la campaña SolarWinds al servicio de inteligencia ruso. , a pesar de una notable desviación en el método utilizado para ganar un punto de apoyo inicial.
«Dirigirse a los recursos de la nube probablemente reduce la probabilidad de detección mediante el uso de cuentas comprometidas o configuraciones erróneas del sistema para mezclarse con el tráfico normal o no monitoreado en un entorno no bien defendido, monitoreado o comprendido por las organizaciones víctimas», señaló la agencia.
Entre algunas de las otras tácticas puestas en uso por APT29 se encuentran la propagación de contraseñas (observada durante un compromiso de 2018 de una gran red sin nombre), explotando fallas de día cero contra dispositivos de red privada virtual (como CVE-2019-19781 ) para obtener acceso a la red. y la implementación de un malware Golang llamado WELLMESS para saquear la propiedad intelectual de múltiples organizaciones involucradas en el desarrollo de la vacuna COVID-19.
Además de CVE-2019-19781, se sabe que el actor de amenazas gana puntos de apoyo iniciales en los dispositivos y redes de las víctimas al aprovechar CVE-2018-13379 , CVE-2019-9670 , CVE-2019-11510 y CVE-2020-4006 .
«El FBI y el DHS recomiendan que los proveedores de servicios fortalezcan sus sistemas de validación y verificación de usuarios para prohibir el uso indebido de sus servicios», decía el aviso, al tiempo que instaba a las empresas a proteger sus redes de un compromiso de software confiable.
