Los piratas informáticos patrocinados por el estado ruso se han vuelto cada vez más sofisticados al lanzar ataques de phishing contra objetivos críticos en el Reino Unido, EE. UU. y Europa durante los últimos 12 meses.
Los actores de amenazas han creado personas falsas, respaldadas por cuentas de redes sociales, perfiles falsos y documentos académicos, para atraer a los objetivos a responder a correos electrónicos de phishing sofisticados.
“Se está volviendo mucho más elaborado, mucho más sofisticado, mucho más completo, porque la ingeniería social ha tenido que ser más convincente que en el pasado”, dijo a Computer Weekly Sherrod DeGrippo, un experto independiente en inteligencia de amenazas.
Sus comentarios se produjeron después de que el Centro Nacional de Seguridad Cibernética (NCSC) publicara una advertencia sobre los continuos ataques cibernéticos asociados con dos grupos con sede en Irán y Rusia. El grupo ruso, identificado por varios alias, incluido Seaborgio, ha apuntado recientemente al diputado del SNP Stewart McDonald.
DeGrippo dijo que Rusia e Irán están evolucionando hacia ataques que se construyen con más cuidado en términos de la ingeniería social de las personas que crean.
La sofisticación de la suplantación de los ataques por parte de Seaborgio y otros grupos de hackers rusos se ha intensificado en los últimos 12 a 18 meses. Los actores de amenazas han creado personas completas, incluidas cuentas y perfiles de redes sociales.
Con cada ataque exitoso, el actor de amenazas puede refinar sus tácticas generando perfiles falsos que son más convincentes. Los actores de amenazas están generando sitios web y portales completos, para incluir referencias al nombre de la persona y artículos o trabajos académicos.
El actor malicioso genera sitios web, artículos y documentos falsos para hacerse pasar por investigadores o periodistas. De esta manera, las técnicas utilizadas se vuelven más elaboradas y sofisticadas, dijo DeGrippo.
Los académicos son un objetivo particularmente atractivo para el grupo de hackers. DeGrippo dijo: “Si eres profesor en una universidad, normalmente eso no es todo lo que haces. También tienes algún tipo de posición para hablar. También sirves en una junta en alguna parte. En algunos casos, también puede trabajar en un bufete de abogados o trabajar en un hospital.
“La mayoría de los académicos no tienen un solo rol. Si se especializan en algo internacional, como derecho internacional, ciencias atómicas, periodismo, activismo, entonces todos los [threat actors] Lo que tengo que hacer es comprometer lo académico en un área”.
Periodistas en la mira de Rusia
Los periodistas también son considerados objetivos de alto valor por los actores de amenazas rusos. El material confidencial extraoficial adquirido de las fuentes es de gran valor para los grupos patrocinados por el estado ruso. La inteligencia obtenida también puede ser oportuna, ya que será parte de la información de antecedentes más temprana.
“Ellos [journalists] en muchos sentidos tienen filtraciones, secretos, información sensible”, dijo DeGrippo. El mal actor también tiene la opción de comprometer la cuenta y comenzar a enviar correos electrónicos haciéndose pasar por el objetivo, agregó: “Porque en ese momento, puede comenzar a hacer preguntas de fuentes que son de un interés único para la inteligencia de espionaje cibernético para los intereses rusos”.
El aviso del NCSC señala la similitud entre otros grupos y Seabordium, pero explica que, según los propios informes de la industria del NCSC, los grupos no están trabajando juntos.
TA453, también conocido como APT42/Charming Kitten/Yellow Garuda/ITG18, es un grupo de piratería con sede en Irán que ha estado utilizando técnicas como la suplantación de identidad y el reconocimiento para recopilar información confidencial.
Alexis Dorais-Joncas, gerente sénior de Proofpoint, que inició investigaciones sobre Seaborgio, al que la empresa de seguridad cibernética estadounidense también se refiere como TA446, a principios de 2021.
Dorais-Joncas dijo que Proofpoint ha visto a Seabordium apuntar al sector de la educación y a objetivos civiles federales de EE. UU., así como a grupos sin fines de lucro (ONG) con afiliaciones geopolíticas. El grupo de piratería ruso suele comenzar sus campañas con correos electrónicos benignos. Solo después de que el grupo haya comprobado si el correo electrónico está activo, envían correos electrónicos de phishing con enlaces maliciosos destinados a recolectar credenciales.
Dorais-Joncas dijo que la actividad de Seabordium “depende en gran medida del reconocimiento y la suplantación de identidad para la entrega”.
Si bien la naturaleza de los ataques de Seabordium puede no ser única, las tácticas empleadas por el grupo ruso han evolucionado y se han vuelto más refinadas.
Aplasta un topo
Dorais-Joncas describe a Seabordium como un juego de “golpear un topo”, ya sea que se produzcan derribos o no: “El actor de amenazas registra y cambia rápidamente qué personas y alias están imitando en las direcciones de correo electrónico del consumidor y la infraestructura que crean”.“.
Agregó: “Los analistas de Proofpoint han observado varios tipos de archivos adjuntos, cadenas de entrega y métodos de evasión dentro de las horas posteriores a la entrega inicial hasta el final de una campaña”.
DeGrippo, ex director sénior de investigación y detección de amenazas en Proofpoint, dijo que las tácticas, técnicas y procedimientos tradicionales utilizados por Seabordium son particularmente insidiosos.
Un actor malicioso inicia sesión como una persona benigna y redirige los correos electrónicos a su propia infraestructura, “lo que significa que esa persona continúa operando su correo electrónico, sin saber en ningún momento que ha sido comprometido por un actor de amenazas ruso”, dijo.
El actor ruso sigue recibiendo copias de los correos electrónicos que recibe el objetivo. Es posible que el mal actor nunca aproveche la cuenta para enviar correos electrónicos y solo la use para tomar decisiones basadas en la recopilación de inteligencia.
La firma de seguridad cibernética Sekoia.io declaró que Seabordium (también conocido como Calisto) contribuye a la recopilación de inteligencia rusa e identificó específicamente evidencia relacionada con el crimen y/o procedimientos de justicia internacional. El grupo francés declaró que es probable que la recopilación de información de esta naturaleza anticipe y construya una contranarrativa sobre las futuras acusaciones contra Rusia.
DeGrippo dijo que los métodos empleados sugieren que son apoyados por el estado. Los atacantes hacen todo lo posible para determinar si el correo electrónico está operativo enviando correos electrónicos iniciales para ver si el sujeto responde: “Los actores de software delictivo no hacen eso; Los actores de crimeware no operan en nombre de una entidad gubernamental”.
Dorais-Joncas dijo que la elección de los objetivos a veces se ha sincronizado con los acontecimientos de la guerra de Ucrania. “Objetivos relacionados con la energía nuclear cronometrados con batallas en el terreno alrededor de las centrales eléctricas, o objetivos del sector de defensa cuando el tema de la ayuda militar y la entrega de armas a Ucrania apareció en el ciclo de noticias”, dijo.
La publicación del aviso del NCSC puede ser una reacción a la aparente escalada en la sofisticación de los ataques de Seaborgio. Dorais-Joncas argumentó que el aviso crea “conciencia para estas organizaciones específicas… al menos saben que son el objetivo de un actor de amenazas muy avanzado”.
Él dijo que “al colaborar con otras organizaciones en el espacio de seguridad, podemos producir un método efectivo y holístico para rastrear y reducir la actividad de los actores de amenazas como TA446. A través de colaboraciones de visibilidad diferente y complementaria, todos estamos en mejores posiciones para brindar la mayor cantidad de contexto e información a los usuarios objetivo”.
Seabordium fue responsable de la piratería de la cuenta de Protonmail propiedad de Richard Dearlove, el exjefe del MI6.
Dorais-Joncas dijo que proteger a los usuarios de correo electrónico debería ser una prioridad principal para todas las organizaciones, en particular aquellas industrias muy específicas con altos niveles de tráfico de correo electrónico. Centrarse en una estrategia de ciberseguridad basada en personas, procesos y tecnología debe ser una prioridad. Esto implica capacitar a los empleados para identificar correos electrónicos maliciosos y usar herramientas de seguridad de correo electrónico para bloquear las amenazas antes de que lleguen a las bandejas de entrada de los usuarios.
Las amenazas se pueden mitigar implementando los procesos correctos. “Al igual que con cualquier otro ataque que involucre phishing de credenciales, implementar una autenticación multifactor robusta en todos los sistemas posibles ayudaría a mitigar el impacto de las credenciales robadas”, dijo Dorais-Joncas.