El grupo de amenazas persistentes avanzadas (APT) respaldado por la inteligencia rusa conocido como APT29, Nobelium o Cozy Bear, posiblemente el más famoso por el incidente SolarWinds 2020/1, ha sido atrapado tratando de atrapar a los diplomáticos que trabajan en Ucrania con un señuelo novedoso: un segundo -Coche de salón BMW Serie 5 de mano vendido por un funcionario de la embajada polaca.
Según la nueva inteligencia de la Unidad 42 de Palo Alto Network, que rastrea la operación como Cloaked Ursa, el grupo suele falsificar avisos diplomáticos oficiales y correspondencia cuando se dirige a misiones extranjeras, pero en este caso se ha centrado en aprovechar algo que todos los diplomáticos recién colocados necesitan. : un coche oficial.
“La naturaleza del servicio para los diplomáticos profesionales suele implicar un estilo de vida rotativo de asignaciones de corto a mediano plazo en puestos en todo el mundo. Ucrania presenta a los diplomáticos recién asignados desafíos únicos, ya que se encuentra en un área de conflicto armado”, escribió el equipo de la Unidad 42.
“¿Cómo se envían bienes personales, se obtienen alojamientos y servicios seguros y se organiza un transporte personal confiable mientras se está en un nuevo país? La venta de un automóvil confiable de un diplomático de confianza podría ser una bendición para un recién llegado, que Cloaked Ursa vio como una oportunidad”.
El correo electrónico legítimo inicial fue enviado por un miembro del personal del Ministerio de Relaciones Exteriores de Polonia a varios contactos en Kiev en abril, anunciando la venta de su automóvil, presumiblemente porque se mudarían de regreso a Polonia. Cozy Bear probablemente deslizó el correo electrónico y su folleto de Microsoft Word adjunto, llamado BMW 5 a la venta en Kiev – 2023.docx – de un servidor comprometido perteneciente a una de sus víctimas.
El correo electrónico legítimo contenía una serie de enlaces URL abreviados que conducían a fotos del vehículo, que los espías rusos reutilizaron para redirigir a un sitio web malicioso para que cuando una víctima intentara ver cualquiera de las fotos, que ahora eran en realidad archivos de acceso directo de Windows disfrazados de .png, la imagen se mostraría en su pantalla, pero el malware de Cozy Bear se ejecutaría en segundo plano.
Dijo que la campaña podría atribuirse a Cozy Bear con un alto grado de confianza gracias a las superposiciones con otras campañas y objetivos conocidos, tácticas, técnicas y procedimientos (TTP) conocidos, y la superposición de código con los programas maliciosos utilizados por el grupo.
Se sabe que el grupo apuntó al menos a una cuarta parte de las misiones extranjeras ubicadas en Kiev, que el equipo de Palo Alto dijo que tenían un “alcance asombroso” para una operación APT clandestina.
Las embajadas que se sabe que han sido atacadas son las de Albania, Argentina, Canadá, Chipre, Dinamarca, Estonia, Grecia, Irak, Irlanda, Kuwait, Kirguistán, Letonia, Libia, Países Bajos, Noruega, Eslovaquia, España, Sudán, Turquía, Turkmenistán. , Estados Unidos y Uzbekistán.
La Unidad 42 dijo que en aproximadamente el 80% de los casos observados, Cozy Bear usó direcciones de correo electrónico de embajadas disponibles públicamente, y en el otro 20% de los casos, direcciones de correo electrónico no publicadas recopiladas a través de otros medios. Es probable, dijo el equipo, que el grupo APT estaba tratando de aumentar las probabilidades de que sus correos electrónicos fueran revisados por un miembro del personal de bajo nivel y enviados a personas que probablemente estén interesadas en comprar un automóvil.
En al menos una de las embajadas, esto se hizo a través de correos electrónicos grupales alojados en un servicio de correo web en línea gratuito, que si bien ofrece cierta protección de seguridad, corre el riesgo de obstaculizar la capacidad de una organización para observar y comprender las amenazas que enfrenta, y aumenta su superficie de ataque potencial.
Uno podría considerar razonablemente que esto es una gran falla de seguridad para un organismo gubernamental, pero la Unidad 42 no reveló cuál de las misiones de los países objetivo estaba siendo tan temeraria como para hacer la vista gorda ante el uso de servicios de correo electrónico externo en una zona de guerra cibernética activa.
Objetivos de alto valor
Las misiones diplomáticas son un objetivo de alto valor para la inteligencia rusa, y 16 meses después de la guerra en Ucrania, es fácil ver por qué Cozy Bear podría haber tenido la tarea de infiltrarse en tales organizaciones.
Cozy Bear es conocido por ser un grupo altamente hábil y excepcionalmente innovador, y modifica continuamente sus enfoques para mejorar su eficacia, aprovechando cualquier oportunidad que pueda encontrar.
Como resultado, los organismos gubernamentales que probablemente sean el objetivo del grupo deben permanecer más atentos, y aquellos que envían funcionarios a Kiev o a cualquier otro lugar de Ucrania deben mejorar tanto la capacitación en seguridad que se ofrece a los nuevos empleados como tomar precauciones técnicas adicionales cuando se trata. a cuestiones tales como hacer clic en direcciones URL abreviadas y descargar archivos adjuntos.