El Reino Unido, Estados Unidos y Canadá denunciaron que el grupo APT29, también conocido como Cozy Bear, y ligado a los servicios de inteligencia del Kremlin, atacó distintos laboratorios de sus países. El modus operandi
El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido hizo este jueves el anuncio, que se coordinó con las autoridades de los Estados Unidos y Canadá. Las tres naciones alegaron que el grupo de hackers APT29, también conocido como Cozy Bear (“oso amigable”) y del que se dice que forma parte del servicio de inteligencia ruso, está atacando a las instituciones de investigación académica y farmacéutica que participan en el desarrollo de la vacuna contra el coronavirus, con el fin de robar información.
Los persistentes y continuos ataques son vistos por los funcionarios de inteligencia como un esfuerzo para robar la propiedad intelectual, pero no para interrumpir las investigaciones. La campaña de “actividad maliciosa” está en curso e incluye ataques ”predominantemente contra objetivos gubernamentales, diplomáticos, de centros de estudios, de salud y de energía,″ dijo el Centro Nacional de Ciberseguridad en un comunicado.
No está claro si alguna información llegó a ser efectivamente robada, pero el organismo dice que la información confidencial de los individuos afectados no se ha visto comprometida. Cozy Bear, alternativamente llamado “Los Duques”, ha sido identificado por Washington como uno de los dos grupos de hackers vinculados al gobierno ruso que irrumpieron en la red informática del Comité Nacional Demócrata y robaron correos electrónicos antes de las elecciones presidenciales de 2016. El otro grupo suele llamarse Fancy Bear (“oso sofisticado”).
“APT29 utiliza una variedad de herramientas y técnicas para dirigirse predominantemente a objetivos gubernamentales, diplomáticos, de centros de investigación, sanitarios y energéticos para obtener información”, informó el Centro Nacional de Ciberseguridad. “El grupo está utilizando malwares personalizados conocido como ‘WellMess’ y ‘WellMail’ para dirigirse a varias organizaciones a nivel mundial. Esto incluye a aquellas organizaciones involucradas en el desarrollo de la vacuna contra el COVID-19. WellMess y WellMail no habían sido sido previamente asociados públicamente a APT29”.
WellMess es un malware escrito en Golang o .NET y ha estado en uso desde al menos 2018. Se llama así por uno de los nombres de sus funciones: ‘wellmess’. Es un malware ligero diseñado para ejecutar comandos shell arbitrarios, cargar y descargar archivos. El malware soporta métodos de comunicación HTTP, TLS y DNS.
WellMail es otra herramienta ligera diseñada para ejecutar comandos o scripts y los resultados se envían a un servidor codificado. El NCSC ha denominado a este malware ‘WellMail’ debido a las rutas de archivo que contienen la palabra ‘mail’ y al uso del puerto 25 del servidor presente en la muestra analizada. Como WellMess, WellMail utiliza certificados TLS de cliente y de autoridad de certificación codificados para comunicarse con los servidores C2.M
Cozy Bear utiliza con frecuencia fallas de seguridad de dominio público para realizar escaneos generalizados contra sistemas vulnerables, en un esfuerzo por obtener credenciales de autenticación que le permitan un mayor acceso. Esta amplia selección de objetivos puede dar al grupo acceso a un gran número de sistemas en todo el mundo, muchos de los cuales no tienen quizás un valor de inteligencia inmediato, pero pueden tenerlo en el futuro, como se ve ahora con los centros de investigación que están desarrollando tratamientos contra el coronavirus.
“El grupo puede mantener un almacén de credenciales robadas para acceder a esos sistemas en caso de que se vuelvan más pertinentes para sus necesidades. En los recientes ataques dirigidos a la investigación y el desarrollo de la vacuna contra el COVID-19, el grupo llevó a cabo un escaneo de vulnerabilidad básica contra direcciones de IP externas de las organizaciones. A continuación, el grupo explotó las vulnerabilidades de los servicios identificados”, explicó el informe.
Una vez que acceden a un sistema, los hackers abandonan estos instrumentos y buscan obtener credenciales legítimas de los sistemas comprometidos para mantener un acceso permanente. Todo indica que utilizan servicios de anonimato al usar las credenciales robadas, de modo que no puedan ser identificados.
“Es probable que APT29 siga atacando a las organizaciones que participan en la investigación y el desarrollo de la vacuna contra el COVID-19, en la medida en que traten de responder a cuestiones de inteligencia adicionales relacionadas con la pandemia. Se recomienda encarecidamente a las organizaciones que utilicen las normas aconsejadas para detectar la actividad que se detalla en este informe”, sostuvo el NCSC en la conclusión del documento difundido.
Con información de AP