Los piratas informáticos del Servicio de Inteligencia Exterior de Rusia (SVR) han estado espiando a entidades estadounidenses, europeas y globales durante años para recopilar inteligencia y permitir futuras operaciones cibernéticas, según las agencias de inteligencia de Estados Unidos y el Reino Unido. En un aviso conjunto publicado el 10 de octubre, cuatro agencias gubernamentales de EE. UU. y el Reino Unido advirtieron sobre una campaña de ciberespionaje en curso por parte de APT29, un grupo de piratería asociado con SVR, también conocido como Cozy Bear, Midnight Blizzard, Nobelium and the Dukes. Esta campaña de espionaje se remonta al menos a 2021 y ha contribuido al esfuerzo de Rusia en la invasión en curso de Ucrania desde febrero de 2022. Las organizaciones objetivo incluyen entidades gubernamentales y diplomáticas, empresas de tecnología, grupos de expertos, organizaciones internacionales y contratistas de defensa autorizados con sede principalmente en América del Norte. y Europa occidental. También se han atacado algunas organizaciones de los sectores público y privado en Asia, África, los países vecinos de Rusia y América del Sur. El objetivo principal de esta campaña en curso a gran escala es recopilar inteligencia y datos técnicos extranjeros y establecer accesos para permitir compromisos posteriores en la cadena de suministro. Tácticas, técnicas y procedimientos de ciberespionaje de APT29 El enfoque típico de SVR comienza con el escaneo de sistemas conectados a Internet en busca de vulnerabilidades sin parches. El acceso inicial de los piratas informáticos generalmente implica la explotación de vulnerabilidades divulgadas públicamente en servicios profesionales, como JetBrains TeamCity o Zimbra, dispositivos de red como Citrix NetScaler Gateway o software básico como Google Chrome o Microsoft Teams. Leer más: Actualizaciones de software, un arma de doble filo para los profesionales de la ciberseguridad Otras técnicas incluyen phishing, pulverización de contraseñas, abuso de la cadena de suministro y de las relaciones de confianza, malware personalizado y hecho a medida, explotación de la nube y técnicas de vida fuera de la tierra (LotL). para obtener acceso inicial, escalar privilegios, moverse lateralmente, mantener la persistencia en las redes de víctimas y entornos de nube, y extraer información. APT29 a menudo utiliza la red The Onion Router (TOR), infraestructura alquilada y comprometida y servidores proxy para ofuscar su actividad. “Cuando el SVR sospecha que sus intrusiones han sido identificadas por su víctima o las fuerzas del orden, rápidamente intentan destruir su infraestructura y cualquier evidencia que contenga. Para pasar desapercibido, el SVR utiliza con frecuencia herramientas y programas que ya están en las redes de las víctimas para evitar el software antivirus”, añade el aviso. Recomendaciones de mitigación Las agencias del Reino Unido y los EE. UU. compartieron una lista de recomendaciones de implementación para mitigar la amenaza de ciberespionaje SVR. Estos incluyen: Priorizar la implementación rápida de parches y actualizaciones de software tan pronto como estén disponibles Habilitar actualizaciones automáticas cuando sea posible. Deshabilitar los servicios accesibles a Internet que no necesita, o restringir el acceso a redes confiables, y eliminar aplicaciones y utilidades no utilizadas de las estaciones de trabajo y entornos de desarrollo. Comprobar si hay puertos abiertos y protocolos obsoletos o no utilizados, especialmente en sistemas conectados a Internet. Aislar los servicios conectados a Internet. en una zona desmilitarizada de red (DMZ) para reducir la exposición de las redes internas. Aplicar la autenticación multifactor (MFA) siempre que sea posible. Requerir desafíos de identidad adicionales para la inscripción de nuevos dispositivos cuando a los usuarios se les permite autoinscribir mecanismos MFA o registrar dispositivos en la red corporativa. Auditorías periódicas. cuentas y aplicaciones basadas en la nube con acceso administrativo al correo electrónico para actividades inusuales Limitar la vida útil del acceso a los tokens y monitorear la evidencia de reutilización de los tokens Los firmantes del aviso conjunto incluyen el FBI, la NSA, la Cyber ​​National Mission Force (CNMF) en los EE. UU. y Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).