El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, junto con socios estadounidenses, incluidos la Agencia de Seguridad Nacional (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI), han publicado hoy un aviso de seguridad conjunto que expone un largo ejecutando una campaña de ataques cibernéticos de fuerza bruta por parte de la unidad de inteligencia militar GRU de Rusia.
La campaña supuestamente comenzó a mediados de 2019 y parece estar en curso. Ha visto el 85th El Centro Principal de Servicios Especiales (GTsSS) del Estado Mayor Ruso Dirección Principal de Inteligencia (GRU) intenta comprometer las redes de organizaciones de todo el mundo, incluidos los organismos y empresas gubernamentales y del sector público, con ataques de fuerza bruta, un método de prueba y error para romper en el sistema de un objetivo mediante la ejecución de todas las combinaciones posibles de credenciales hasta que se obtenga una coincidencia.
Esta técnica no es en absoluto nueva; de hecho, se parece hasta cierto punto a cómo un ladrón de bancos podría abrir una caja fuerte en una película antigua, probando muchas combinaciones, pero en esta campaña, los operativos rusos han estado usando un clúster de Kubernetes para escalar y Automatizar sus actividades de desmantelamiento de credenciales.
Se entiende que un número significativo de estos ataques se dirigieron a los servicios en la nube de Microsoft Office 365, aunque la campaña también afectó a otros proveedores de servicios e incluso a servidores de correo electrónico locales. Por lo tanto, GRU pudo acceder a datos protegidos, incluidos correos electrónicos, e identificar credenciales de cuenta válidas para obtener un acceso más profundo, establecer persistencia mientras evita la detección y escalar privilegios. Sus espías también explotaron vulnerabilidades conocidas públicamente para la ejecución remota de código.
Los objetivos conocidos hasta ahora incluyen gobiernos y militares, contratistas de defensa, empresas de energía, instituciones de educación superior, empresas de logística, bufetes de abogados, empresas de medios de comunicación, consultores políticos y partidos políticos, y grupos de expertos.
Al comentar sobre la última divulgación, el vicepresidente de Mandiant Threat Intelligence, John Hultquist, dijo: “APT28 [Mandiant’s designation for GRU ops] lleva a cabo la recopilación de inteligencia contra estos objetivos con regularidad como parte de su cometido como brazo cibernético de una agencia de inteligencia militar.
“El pan y la mantequilla de este grupo es la cobranza rutinaria contra los legisladores, diplomáticos, el ejército y la industria de defensa y este tipo de incidentes no necesariamente presagian operaciones como campañas de piratería y filtración. A pesar de nuestros mejores esfuerzos, es muy poco probable que podamos detener el espionaje de Moscú ”, dijo a Computer Weekly en un comunicado enviado por correo electrónico. “Este es un buen recordatorio de que el GRU sigue siendo una amenaza inminente, lo cual es especialmente importante teniendo en cuenta los próximos Juegos Olímpicos, un evento que bien podrían intentar interrumpir”.
Al igual que con cualquier campaña que aproveche las técnicas de robo de credenciales, hay varios pasos que las organizaciones pueden tomar de inmediato para evitar verse comprometidas. Éstas incluyen:
- Uso de tecnología de autenticación multifactor (MFA);
- Habilitar funciones de tiempo de espera y bloqueo siempre que se necesite la autenticación de contraseña, lo que puede ralentizar los ataques de fuerza bruta;
- Usar servicios que eviten que los usuarios elijan contraseñas fáciles de adivinar;
- Usar captchas para obstaculizar los intentos de acceso automatizado cuando los protocolos admiten la interacción humana;
- Cambiar todas las credenciales predeterminadas y deshabilitar los protocolos que usan autenticación débil o no admiten MFA;
- Configurar controles de acceso a los recursos de la nube para garantizar que solo las cuentas bien mantenidas y protegidas puedan acceder a ellos;
- Emplear segmentación y restricciones de la red para limitar el acceso;
- Y el uso de herramientas automatizadas para auditar los registros de acceso por cuestiones de seguridad e identificar solicitudes de acceso poco fiables.
El aviso completo, que incluye más información sobre las tácticas, técnicas y procedimientos de la campaña, se puede encontrar aquí.