El gobierno de Estados Unidos y una coalición de socios internacionales han atribuido oficialmente un grupo de piratas informáticos rusos identificado como Cadet Blizzard al 161.º Centro de Entrenamiento de Especialistas (Unidad 29155) de la Dirección Principal de Inteligencia (GRU) del Estado Mayor. «Estos actores cibernéticos son responsables de operaciones de redes informáticas contra objetivos globales con fines de espionaje, sabotaje y daño a la reputación desde al menos 2020», dijeron las agencias. «Desde principios de 2022, el objetivo principal de los actores cibernéticos parece ser atacar e interrumpir los esfuerzos para brindar ayuda a Ucrania». Los objetivos de los ataques se han centrado en infraestructuras críticas y sectores de recursos clave, incluidos los servicios gubernamentales, los servicios financieros, los sistemas de transporte, la energía y los sectores de atención médica de los miembros de la Organización del Tratado del Atlántico Norte (OTAN), la Unión Europea, América Central y los países asiáticos. El aviso conjunto, publicado la semana pasada como parte de un ejercicio coordinado denominado Operación Toy Soldier, proviene de las autoridades de ciberseguridad e inteligencia de los EE. UU., los Países Bajos, la República Checa, Alemania, Estonia, Letonia, Ucrania, Canadá, Australia y el Reino Unido. Cadet Blizzard, también conocido como Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 y UNC2589, ganó atención en enero de 2022 por implementar el destructivo malware WhisperGate (también conocido como PAYWIPE) contra múltiples organizaciones víctimas ucranianas antes de la invasión militar en toda regla de Rusia al país. En junio de 2024, un ciudadano ruso de 22 años llamado Amin Timovich Stigal fue acusado en los EE. UU. por su presunto papel en la organización de ciberataques destructivos contra Ucrania utilizando el malware wiper. Dicho esto, se dice que el uso de WhisperGate no es exclusivo del grupo. Desde entonces, el Departamento de Justicia de Estados Unidos (DoJ) ha acusado a cinco oficiales asociados a la Unidad 29155 de conspiración para cometer intrusión informática y fraude electrónico contra objetivos en Ucrania, Estados Unidos y otros 25 países de la OTAN. Los nombres de los cinco oficiales se enumeran a continuación: Yuriy Denisov (Юрий Денисов), coronel del ejército ruso y comandante de Operaciones Cibernéticas de la Unidad 29155 Vladislav Borovkov (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов) y Nikolay Korchagin (Николай Корчагин), tenientes del ejército ruso asignados a la Unidad 29155 que trabajaron en operaciones cibernéticas «Los acusados «Lo hicieron para sembrar preocupación entre los ciudadanos ucranianos con respecto a la seguridad de sus sistemas gubernamentales y datos personales», dijo el Departamento de Justicia. «Los objetivos de los acusados ​​​​incluían sistemas y datos del gobierno ucraniano sin funciones militares o relacionadas con la defensa. Los objetivos posteriores incluyeron sistemas informáticos en países de todo el mundo que brindaban apoyo a Ucrania». Simultáneamente con la acusación, el programa Recompensas por la Justicia del Departamento de Estado de EE. UU. Ha anunciado una recompensa de hasta $ 10 millones por información sobre cualquiera de las ubicaciones de los acusados ​​​​o su actividad cibernética maliciosa. Los indicios son que la Unidad 29155 es responsable de intentos de golpes de Estado, sabotaje y operaciones de influencia, e intentos de asesinato en toda Europa, y el adversario ha ampliado sus horizontes para incluir operaciones cibernéticas ofensivas desde al menos 2020. El objetivo final de estas intrusiones cibernéticas es recopilar información confidencial con fines de espionaje, infligir daño a la reputación filtrando dichos datos y orquestar operaciones destructivas que tienen como objetivo sabotear sistemas que contienen datos valiosos. Según el aviso, se cree que la Unidad 29155 está compuesta por oficiales de GRU en servicio activo y subalternos, que también dependen de cibercriminales conocidos y otros facilitadores civiles como Stigal para facilitar sus misiones. Estas incluyen desfiguraciones de sitios web, escaneo de infraestructura, exfiltración de datos y operaciones de fuga de datos que implican la publicación de la información en dominios de sitios web públicos o su venta a otros actores. Las cadenas de ataque comienzan con una actividad de escaneo que aprovecha fallas de seguridad conocidas en Atlassian Confluence Server and Data Center, Dahua Security y el firewall de Sophos para violar los entornos de las víctimas, seguido del uso de Impacket para la postexplotación y el movimiento lateral, y finalmente la exfiltración de datos a una infraestructura dedicada. «Los actores cibernéticos pueden haber utilizado el malware Raspberry Robin en el papel de un agente de acceso», señalaron las agencias. «Los actores cibernéticos apuntaron a la infraestructura Microsoft Outlook Web Access (OWA) de las víctimas con la pulverización de contraseñas para obtener nombres de usuario y contraseñas válidos». Se recomienda a las organizaciones que prioricen las actualizaciones rutinarias del sistema y solucionen las vulnerabilidades explotadas conocidas, segmenten las redes para evitar la propagación de actividades maliciosas e implementen la autenticación multifactor (MFA) resistente al phishing para todos los servicios de cuentas que se conectan al exterior. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.