Recomiendan que los proveedores de servicios fortalezcan sus sistemas de validación y verificación de usuarios
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), el Departamento de Seguridad Nacional (DHS) y la Oficina Federal de Investigaciones (FBI) publicaron el lunes un nuevo aviso conjunto como parte de sus últimos intentos de exponer las tácticas, técnicas y procedimientos (TTP) adoptados por el Servicio de Inteligencia Exterior de Rusia (SVR) en sus ataques contra Estados Unidos y entidades extranjeras.
Al emplear "técnicas de intrusión sigilosa dentro de redes comprometidas", dijeron las agencias de inteligencia, "la actividad del SVR, que incluye el reciente compromiso de la cadena de suministro de SolarWinds Orion, se dirige principalmente a redes gubernamentales, grupos de expertos y organizaciones de análisis de políticas, y empresas de tecnología de la información y busca recopilar información de inteligencia".
El actor cibernético también está siendo rastreado bajo diferentes apodos, incluidos Advanced Persistent Threat 29 (APT29), Dukes, CozyBear e Yttrium. El desarrollo se produce cuando EE. UU. sancionó a Rusia y adjudicó formalmente el hack de SolarWinds y la campaña de ciberespionaje relacionada con los operativos del gobierno que trabajan para el SVR.
APT29, desde que surgió en el panorama de amenazas en 2013, se ha vinculado a una serie de ataques orquestados con el objetivo de obtener acceso a las redes de las víctimas, moverse dentro de los entornos de las víctimas sin ser detectados y extraer información confidencial.
Pero en un notable cambio en las tácticas en 2018, el actor pasó de implementar malware en las redes de destino a lanzar servicios de correo electrónico basados en la nube, un hecho asumido por el ataque SolarWinds, donde el actor aprovechó los binarios de Orion como un vector de intrusión para explotar los entornos de Microsoft Office 365.
Esta similitud en el comercio posterior a la infección con otros ataques patrocinados por el SVR, incluida la forma en que el adversario se movía lateralmente a través de las redes para obtener acceso a las cuentas de correo electrónico, se dice que jugó un papel muy importante en la atribución de la campaña SolarWinds al servicio de inteligencia ruso, a pesar de un cambio notable en el método utilizado para ganar un punto de apoyo inicial.
"Apuntar a los recursos de la nube probablemente reduce la probabilidad de detección mediante el uso de cuentas comprometidas o configuraciones erróneas del sistema para mezclarse con el tráfico normal o no monitoreado en un entorno que las organizaciones víctimas no defienden, monitorean o comprenden bien", señaló la agencia.
Entre algunas de las otras tácticas puestas en uso por APT29 se encuentran la propagación de contraseñas (observada durante un compromiso de 2018 de una gran red sin nombre), explotando fallas de día cero contra dispositivos de red privada virtual (como CVE-2019-19781) para obtener acceso a la red, e implementar un malware Golang llamado WELLMESS para saquear la propiedad intelectual de múltiples organizaciones involucradas en el desarrollo de la vacuna COVID-19.
Además de CVE-2019-19781, se sabe que el actor de amenazas gana puntos de apoyo iniciales en los dispositivos y redes de las víctimas al aprovechar CVE-2018-13379, CVE-2019-9670, CVE-2019-11510 y CVE-2020-4006.
"El FBI y el DHS recomiendan que los proveedores de servicios fortalezcan sus sistemas de validación y verificación de usuarios para prohibir el uso indebido de sus servicios", se lee en el aviso, al tiempo que insta a las empresas a proteger sus redes de un compromiso de software confiable.