La Unión Europea (UE), junto con los gobiernos de los estados miembros Chequia y Alemania y otros socios, incluido el Reino Unido, han condenado una campaña de ataques cibernéticos perpetrados por el actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldado por la inteligencia rusa conocido como Fancy Bear, también conocido como Fancy Bear. conocido como APT28, Estroncio y Forest Blizzard.
El anuncio acompaña a la publicación de declaraciones tanto de Berlín como de Praga que detallan, en primer lugar, el compromiso de varias cuentas de correo electrónico de la ejecutiva del Partido Socialdemócrata alemán, y en segundo, de varias instituciones gubernamentales.
La UE dijo que organismos de otros estados miembros, incluidos Lituania, Polonia, Eslovaquia y Suecia, también han sido atacados por Fancy Bear, que anteriormente fue sancionado por la UE por un ciberataque al Parlamento Federal alemán en 2015.
Dijo que la campaña maliciosa mostraba un “patrón continuo de comportamiento irresponsable en el ciberespacio” por parte de Rusia, dirigido a instituciones democráticas, entidades gubernamentales e infraestructura crítica en toda Europa, en contra de las normas de la ONU sobre comportamiento estatal responsable en el ciberespacio y sin tener en cuenta las normas internacionales. seguridad y estabilidad.
“La UE no tolerará este tipo de comportamiento malicioso, en particular actividades que apuntan a degradar nuestra infraestructura crítica, debilitar la cohesión social e influir en los procesos democráticos, teniendo en cuenta las elecciones de este año en la UE y en más de 60 países de todo el mundo”, dijo Bruselas en una declaración. “La UE y sus estados miembros seguirán cooperando con nuestros socios internacionales para promover un ciberespacio abierto, libre, estable y seguro. La UE está decidida a utilizar todo el espectro de medidas para prevenir, disuadir y responder al comportamiento malicioso de Rusia en el ciberespacio”.
Un portavoz del gobierno alemán dijo: “Los ataques cibernéticos contra partidos políticos, instituciones estatales y empresas que proporcionan infraestructura crítica representan una amenaza para nuestra democracia, nuestra seguridad nacional y nuestra sociedad de mentalidad liberal.
“El Gobierno Federal condena enérgicamente las repetidas e inaceptables actividades cibernéticas maliciosas por parte de actores rusos patrocinados por el Estado y pide nuevamente a Rusia que se abstenga de tal comportamiento. Alemania está decidida a trabajar junto con sus socios europeos e internacionales para contrarrestar estas actividades cibernéticas maliciosas”.
El gobierno checo añadió: “Los ataques cibernéticos dirigidos a entidades políticas, instituciones estatales e infraestructuras críticas no sólo son una amenaza para la seguridad nacional, sino que también perturban los procesos democráticos en los que se basa nuestra sociedad libre. Las autoridades checas seguirán tomando medidas para fortalecer la resiliencia de las instituciones públicas y el sector privado.
“Chequia está profundamente preocupada por estos repetidos ataques cibernéticos por parte de actores estatales”, afirmó. “Estamos decididos a responder con firmeza a este comportamiento inaceptable junto con nuestros socios europeos e internacionales”.
En ambas campañas contra Chequia y Alemania, se cree que APT28 aprovechó una vulnerabilidad en Microsoft Outlook. Es probable que haya sido CVE-2023-23397, que se reveló en la actualización del martes de parches de marzo de 2023, y que se sabe que Fancy Bear ha utilizado en una gran cantidad de ataques cibernéticos, posiblemente ya en 2022.
También se ha utilizado contra organismos y organizaciones gubernamentales en campos como la producción y distribución de energía; operaciones de oleoductos; y transporte de material, personal y aéreo.
Los países objetivo fueron Bulgaria, Chequia, Italia, Jordania, Lituania, Luxemburgo, Montenegro, Polonia, Rumania, Eslovaquia, Türkiye, Ucrania, los Emiratos Árabes Unidos y los EE.UU., así como el Cuartel General de la Fuerza de Alta Disponibilidad de la OTAN, que se encuentran dispersos por toda Europa en Reino Unido, Francia, Alemania, Grecia, Polonia y Türkiye.
CVE-2023-23397, que se explota enviando un correo electrónico especialmente diseñado a un objetivo potencial, es particularmente peligroso porque se activa en el lado del servidor de correo electrónico, lo que en términos sencillos significa que puede explotarse antes de abrir y ver el correo electrónico. Permite que un actor de amenazas acceda al hash Net-NTLMv2 de la víctima y lo utilice para autenticarse mientras se hace pasar por ella, evitando así las medidas de autenticación. Fue descubierto por primera vez por las autoridades cibernéticas ucranianas.
Reacción del Reino Unido
En el Reino Unido, Westminster se apresuró a unirse a la UE y a los países afectados para condenar enérgicamente las acciones de Fancy Bear.
“Las declaraciones de hoy de nuestros aliados demuestran la escala, la persistencia y la gravedad de los comportamientos inaceptables de Rusia en el ciberespacio”, dijo un portavoz del Ministerio de Asuntos Exteriores, Commonwealth y Desarrollo.
“La actividad reciente del grupo cibernético ruso GRU APT28, incluido el ataque al ejecutivo del Partido Socialdemócrata alemán, es la última de un patrón de comportamiento conocido de los Servicios de Inteligencia rusos para socavar los procesos democráticos en todo el mundo.
“El 7 de diciembre de 2023, el Reino Unido expuso una serie de intentos de los servicios de inteligencia rusos de atacar a personas y entidades británicas de alto perfil mediante operaciones cibernéticas”, dijeron. “Al mismo tiempo, sancionamos a dos ciudadanos rusos responsables de injerencia política.
“Con múltiples elecciones en todo el mundo en 2024, crear conciencia sobre la amenaza al Reino Unido y nuestros socios internacionales sigue siendo de vital importancia para nuestra resiliencia colectiva. Hoy, como parte de una amplia coalición de aliados, le dejamos claro al Estado ruso que continuaremos identificando, exponiendo y respondiendo a esa actividad inaceptable”.