El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus organismos homólogos de la alianza de inteligencia Five Eyes se han unido a socios de Chequia, Estonia, Alemania, Letonia y Ucrania para identificar una unidad cibernética militar rusa que ha estado llevando a cabo una campaña sostenida de actividad maliciosa durante más de los últimos cuatro años.
Parte de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa, o GRU, Unidad 29155 ha llevado a cabo múltiples intrusiones en redes informáticas a lo largo de los años, desplegando herramientas como el malware Whispergate utilizado en operaciones de guerra cibernética contra Ucrania.
Whispergate, un malware no muy diferente a NotPetya, se implementó en Ucrania antes de la invasión ilegal de Rusia en febrero de 2022. A primera vista parece funcionar como un casillero de ransomware, pero su actividad oculta su verdadero propósito, que es apuntar a los registros de arranque maestros del sistema para eliminarlos.
Ya era bien sabido que Whispergate estaba vinculado a los servicios de inteligencia de Moscú, pero esta es la primera vez que su uso se atribuye a una operación específica de amenaza persistente avanzada (APT).
“La exposición de la Unidad 29155 como un actor cibernético capaz ilustra la importancia que la inteligencia militar rusa otorga al uso del ciberespacio para llevar a cabo su guerra ilegal en Ucrania y otras prioridades estatales”, dijo el director de operaciones del NCSC, Paul Chichester.
“El Reino Unido, junto con nuestros socios, se compromete a denunciar la actividad cibernética maliciosa rusa y seguirá haciéndolo. El NCSC recomienda encarecidamente a las organizaciones que sigan los consejos y orientaciones de mitigación incluidos en el aviso para ayudar a defender sus redes”.
Unidad 29155, también designada como 161calle El Centro de Capacitación Especializada, y designado por investigadores de amenazas del sector privado como Cadet Blizzard, Ember Bear (Bleeding Bear), Frozenvista, UNC2589 y AUC-0056, probablemente esté compuesto por personal subalterno del GRU en servicio activo, pero también se sabe que recurre a terceros. -contratistas de partes, incluidos ciberdelincuentes conocidos y sus facilitadores, al servicio de sus operaciones. Se diferencia hasta cierto punto de las APT más establecidas respaldadas por GRU, como la Unidad 26165 (también conocida como Fancy Bear) y la Unidad 74455 (también conocida como Sandworm).
El NCSC dijo que las operaciones cibernéticas de la Unidad 29155 seleccionaron y apuntaron a las víctimas principalmente para recopilar información con fines de espionaje, desfigurar sus sitios web públicos, causar daños a la reputación al robar y filtrar información confidencial y sabotear sus operaciones diarias.
Según el FBI, la Unidad 29155 ha realizado miles de ejercicios de escaneo de dominios en múltiples estados miembros de la OTAN y la Unión Europea (UE), con especial atención en CNI, gobierno, servicios financieros, transporte, energía y atención médica. Los estadounidenses dicen que también puede haber sido responsable de actos físicos de espionaje, incluidos intentos de golpe de estado e incluso intentos de asesinato.
Modus operandi
La Unidad 29155 frecuentemente busca CVE divulgados públicamente al servicio de sus intrusiones, a menudo obteniendo scripts de explotación de repositorios públicos de GitHub, y se sabe que también ha atacado fallas en Microsoft Windows Server, Atlassian Confluence Server and Data Center y Red Hat. como productos de seguridad de Dahua, un fabricante de cámaras IP con sede en China, y Sophos.
Prefiere tácticas de equipos rojos y herramientas disponibles públicamente, en lugar de soluciones personalizadas, lo que en el pasado probablemente ha llevado a que algunos de sus ataques cibernéticos se atribuyan a otros grupos con los que se superpone.
Como parte de esta actividad, la Unidad 29155 mantiene presencia en la comunidad cibercriminal clandestina, administrando cuentas en varios foros de la web oscura que utiliza para obtener herramientas útiles que incluyen malware y cargadores.
Durante sus ataques, la Unidad 29155 generalmente utilizará un servicio VPN para anonimizar su actividad operativa y explotar las debilidades en los sistemas conectados a Internet y utilizará los CVE mencionados anteriormente para obtener acceso inicial.
Una vez dentro de su entorno de víctima, utiliza Shodan para buscar dispositivos vulnerables de Internet de las cosas (IoT), incluidas cámaras IP como las de Dahua mencionadas anteriormente, y utiliza scripts de explotación para autenticarse en ellos con nombres de usuario y contraseñas predeterminados. Luego intenta realizar la ejecución remota de comandos a través de la web en estos dispositivos vulnerables, lo que, si se realiza con éxito, les permite volcar sus ajustes de configuración y credenciales en texto sin formato.
Habiendo ejecutado con éxito un exploit en un sistema víctima, la Unidad 29155 puede lanzar una carga útil de Meterpreter utilizando una conexión de Protocolo de control de transmisión (TCP) inversa para comunicarse con su infraestructura de comando y control (C2). Para fines de C2, se sabe que la Unidad 29155 utilizó varios servidores privados virtuales (VPS) para alojar sus herramientas operativas, realizar actividades de reconocimiento, explotar la infraestructura de las víctimas y robar datos.
Una vez que tiene acceso a las redes internas, se ha observado que la Unidad 29155 utiliza herramientas de tunelización del Sistema de nombres de dominio (DNS) para canalizar el tráfico de la red IPv4, configurando servidores proxy dentro de la infraestructura de la víctima y ejecutando comandos dentro de la red usando ProxyChains para proporcionar mayor anonimato. También ha utilizado la herramienta de tunelización de código abierto GOST (a través del proxy SOCKS5) denominada java.
En varios ataques, se ha observado que la Unidad 29155 extrae datos de las víctimas a ubicaciones remotas utilizando el programa de línea de comandos Rclone, así como varios procesos y artefactos de Windows, incluidos volcados de memoria del Servicio del subsistema de la autoridad de seguridad local (LSASS), Administrador de cuentas de seguridad ( SAM) y archivos de registro de eventos de SEGURIDAD y SISTEMA. Además, compromete los servidores de correo y filtra artefactos, incluidos mensajes de correo electrónico, a través de PowerShell.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dispone de información técnica más detallada, incluido un nuevo análisis de Whispergate y orientación de mitigación, en el aviso informativo principal. Se insta a los defensores a familiarizarse con el trabajo de la Unidad 29155 y seguir las recomendaciones establecidas en el aviso completo.