Los agentes cibernéticos afiliados al Servicio de Inteligencia Exterior de Rusia (SVR) han cambiado sus tácticas en respuesta a revelaciones públicas anteriores de sus métodos de ataque, según un nuevo aviso publicado conjuntamente por agencias de inteligencia del Reino Unido y Estados Unidos el viernes.
«SVR aparecen operadores cibernéticos que han reaccionado […] cambiando sus TTP en un intento de evitar mayores esfuerzos de detección y regularización de los defensores de la red», el Centro Nacional de Seguridad Cibernética (NSCS) , dijo .
Estos incluyen el despliegue de una herramienta de código abierto llamada Sliver para mantener su acceso a las víctimas comprometidas, así como aprovechar las fallas de ProxyLogon en los servidores de Microsoft Exchange para realizar actividades posteriores a la explotación.
El desarrollo sigue a la atribución pública de los actores vinculados a SVR al ataque a la cadena de suministro de SolarWinds el mes pasado. El adversario también se rastrea bajo diferentes apodos, como Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium.
La atribución también estuvo acompañada de un informe técnico que detalla cinco vulnerabilidades que el grupo APT29 de SVR estaba utilizando como puntos de acceso iniciales para infiltrarse en entidades estadounidenses y extranjeras.
CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 : paquete de colaboración Synacor Zimbra
CVE-2019-11510 : Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 : puerta de enlace y controlador de entrega de aplicaciones Citrix
CVE-2020-4006 : acceso a VMware Workspace ONE
«El SVR apunta a organizaciones que se alinean con los intereses de inteligencia extranjera de Rusia, incluidos objetivos gubernamentales, de grupos de expertos, políticos y energéticos, así como objetivos con más plazos, por ejemplo , la vacuna COVID-19 en 2020», dijo el NCSC.
Esto fue seguido por una guía separada el 26 de abril que arrojó más luz sobre las técnicas utilizadas por el grupo para orquestar intrusiones, contando la propagación de contraseñas, explotando fallas de día cero contra dispositivos de red privada virtual (por ejemplo, CVE-2019-19781) para obtener acceso a la red y la implementación de un malware Golang llamado WELLMESS para saquear la propiedad intelectual de múltiples organizaciones involucradas en el desarrollo de la vacuna COVID-19.
Ahora, según el NCSC, se han agregado siete vulnerabilidades más a la mezcla, al tiempo que se señala que es probable que APT29 se convierta en un arma «rápidamente» las vulnerabilidades públicas recientemente lanzadas que podrían permitir el acceso inicial a sus objetivos.
CVE-2019-1653 : enrutadores Cisco Small Business RV320 y RV325
CVE-2019-2725 : servidor WebLogic de Oracle
CVE-2019-7609 : Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 : servidor Oracle WebLogic
CVE-2021-21972 : VMware vSphere
CVE-2021-26855 : Microsoft Exchange Server
«Los defensores de la red deben asegurarse de que los parches de seguridad se apliquen inmediatamente después de los anuncios de CVE para los productos que administran», dijo la agencia.