Según un estudio reciente publicado por la principal agencia de ciberseguridad de Francia, una organización de hackers afiliada a la agencia de inteligencia militar de Rusia ha estado espiando a colegios, empresas, grupos de reflexión e instituciones gubernamentales francesas. La investigación fue publicada por la agencia.
Desde la segunda mitad de 2021, el grupo de hackers conocido como Fancy Bear o APT28 ha estado operando de manera encubierta en las redes informáticas francesas en un esfuerzo por adquirir una variedad de tipos de datos sensibles. Según los hallazgos de la investigación llevada a cabo por la Agencia Nacional de Ciberseguridad de Francia, también conocida como ANSSI, los perpetradores de los ataques hackearon sistemas que no estaban siendo vigilados activamente, como routers, y se abstuvieron de utilizar puertas traseras para evitar ser descubiertos. Estos ciberatacantes infiltran dispositivos periféricos en redes organizativas francesas de vital importancia, según un estudio reciente publicado por la Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI), y lo hacen sin utilizar puertas traseras para evitar la detección. Después de realizar un análisis de las Técnicas, Tácticas y Procedimientos (TTP) del grupo, ANSSI llegó a la conclusión de que APT28 se infiltra en las redes objetivo mediante fuerza bruta y filtraciones de credenciales para acceder a cuentas y routers Ubiquiti. En abril de 2023, se inició una expedición de phishing con el propósito de obtener configuraciones del sistema, información sobre operaciones en curso y otros datos relevantes. Utilizando la vulnerabilidad identificada como CVE-2023-23397, APT28 envió correos electrónicos a usuarios de Outlook durante los meses de marzo de 2022 a junio de 2023. Para llevar a cabo tareas de reconocimiento y recopilación de datos, los atacantes utilizaron otras vulnerabilidades, como CVE-2022-30190 (Follina) en la Herramienta de Diagnóstico de Soporte de Windows de Microsoft (MSDT) y CVE-2020-12641 en el webmail Roundcube. Ambas vulnerabilidades fueron explotadas por los atacantes.
Para llevar a cabo sus intrusiones, el grupo utilizó aplicaciones como el recolector de contraseñas Mimikatz y la herramienta de retransmisión de tráfico reGeorg. Además, utilizaron servicios de código abierto como Mockbin y Mocky. Es importante entender que APT28 utiliza una amplia variedad de clientes de VPN diferentes.
Como grupo de ciberespionaje, la misión principal de APT28 es obtener acceso no autorizado y robar información de sus objetivos. Los hackers robaron información sensible de cuentas de correo electrónico y robaron detalles de autenticación utilizando herramientas comunes. También robaron correos electrónicos llenos de información personal. La arquitectura de Comando y Control (C2) está basada en servicios en la nube como Google Drive y Microsoft OneDrive, lo que dificulta su identificación.
ANSSI ha mapeado las Técnicas, Tácticas y Procedimientos (TTP) de APT28 y encontró que la organización amenazante viola cuentas y routers Ubiquiti en redes objetivo mediante ataques de fuerza bruta y bases de datos filtradas que contienen contraseñas.
En un incidente que ocurrió en abril de 2023, los adversarios llevaron a cabo un esfuerzo de phishing que engañó a los receptores para ejecutar PowerShell, lo que reveló la configuración de su sistema, procesos en ejecución y otra información relacionada con el sistema operativo.
APT28 es responsable de enviar correos electrónicos a usuarios de Outlook que atacaron una vulnerabilidad de día cero que ahora se conoce como CVE-2023-23397. Estos correos electrónicos se enviaron entre marzo de 2022 y junio de 2023, lo que sitúa la primera explotación un mes antes de lo que se reveló anteriormente.
ANSSI enfatiza la importancia de adoptar un enfoque integral de seguridad, que incluye la realización de evaluaciones de riesgos. Dada la amenaza que representa APT28, se debe prestar especial atención a la seguridad de las comunicaciones por correo electrónico. A continuación se presenta una lista de las sugerencias más importantes que la organización tiene sobre la seguridad del correo electrónico:
- Proteger la privacidad de las comunicaciones por correo electrónico y prevenir su divulgación mediante la adopción de sistemas de intercambio seguros como medio para evitar la desviación o adquisición del tráfico de correo electrónico.
- Reducir los posibles puntos de ataque en las interfaces en línea de correo electrónico y gestionar los riesgos asociados con servidores como Microsoft Exchange.
- Implementar mecanismos que puedan identificar correos electrónicos maliciosos.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
