Una amplia gama de actores de amenazas, incluidos Fancy Bear, Ghostwriter y Mustang Panda, han lanzado campañas de phishing contra Ucrania, Polonia y otras entidades europeas en medio de la invasión rusa de Ucrania.
El Grupo de Análisis de Amenazas (TAG) de Google dijo que eliminó dos dominios de Blogspot que fueron utilizados por el grupo de estado-nación FancyBear (también conocido como APT28), que se atribuye a la inteligencia militar GRU de Rusia, como página de inicio para sus ataques de ingeniería social.
La divulgación llega inmediatamente después de un aviso del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) que advierte sobre campañas de phishing dirigidas a usuarios de Ukr.net que implican el envío de mensajes desde cuentas comprometidas que contienen enlaces a páginas de recolección de credenciales controladas por atacantes.
Otro grupo de actividades de amenazas se refiere a los usuarios de correo web de Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua e i.ua, que han estado en el extremo receptor de los ataques de phishing por parte de un actor de amenazas bielorruso rastreado como escritor fantasma (también conocido como UNC1151).
El grupo de piratería también «realizó campañas de phishing de credenciales durante la última semana contra organizaciones gubernamentales y militares de Polonia y Ucrania», dijo Shane Huntley, director de Google TAG, en un informe.
Pero no son solo Rusia y Bielorrusia quienes han puesto sus ojos en Ucrania y Europa. En la mezcla se incluye un actor de amenazas con sede en China conocido como Mustang Panda (también conocido como TA416 o RedDelta) que intenta plantar malware en «entidades europeas específicas con señuelos relacionados con la invasión de Ucrania».
Los hallazgos también fueron corroborados por separado por la firma de seguridad empresarial Proofpoint, que detalló una campaña TA416 de varios años contra entidades diplomáticas en Europa a partir de principios de noviembre de 2021, contando a un «individuo involucrado en servicios para refugiados y migrantes» el 28 de febrero de 2022.
La secuencia de infección consistía en incrustar una URL maliciosa en un mensaje de phishing utilizando una dirección de correo electrónico comprometida de un diplomático de un país europeo de la OTAN, que, al hacer clic, entregaba un archivo que incorporaba un cuentagotas que, a su vez, descargaba un documento señuelo para recuperar el Malware PlugX en etapa final.
Las revelaciones se producen como una avalancha de ataques distribuidos de denegación de servicio (DDoS) que han bombardeado numerosos sitios de Ucrania, como los asociados con el Ministerio de Defensa, Asuntos Exteriores, Asuntos Internos y servicios como Liveuamap.
«Los piratas informáticos rusos siguen atacando los recursos de información de Ucrania sin parar», dijo el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) en un tuit durante el fin de semana.
«Los ataques [DDoS] más poderosos superaron los 100 Gbps en su punto máximo. A pesar de todos los recursos del enemigo involucrado, los sitios de los organismos gubernamentales centrales están disponibles».
En un desarrollo relacionado, el colectivo de piratas informáticos Anonymous afirmó que eliminó el sitio web del Servicio Federal de Seguridad de Rusia y que interrumpió las transmisiones en vivo de varios canales de televisión rusos y servicios de transmisión como Wink, Ivi, Russia 24, Channel One y Moscú 24 para transmitir imágenes de guerra de Ucrania.
La ola de contraataques contra Rusia se ha visto impulsada por la formación de un Ejército de TI, una iniciativa del gobierno ucraniano de colaboración colectiva que se basa en la guerra digital para interrumpir el gobierno ruso y los objetivos militares.
El desarrollo también sigue a la decisión de Rusia de prohibir Facebook y estrangular otras plataformas de redes sociales ampliamente utilizadas en el país justo cuando las empresas de tecnología de los EE. UU. se han movido para romper los lazos con Rusia, creando efectivamente una cortina de hierro y restringiendo el acceso en línea.