El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés) y sus organismos homólogos en la alianza de inteligencia Five Eyes se han unido a socios de Chequia, Estonia, Alemania, Letonia y Ucrania para identificar una unidad cibernética militar rusa que ha estado llevando a cabo una campaña sostenida de actividad maliciosa durante los últimos cuatro años. La Unidad 29155, parte de la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa, o GRU, ha llevado a cabo múltiples intrusiones en redes informáticas a lo largo de los años, implementando herramientas como el malware Whispergate utilizado en operaciones de guerra cibernética contra Ucrania. Whispergate, un malware no muy diferente de NotPetya, se implementó en Ucrania antes de la invasión ilegal de Rusia en febrero de 2022. A primera vista, parece operar como un bloqueador de ransomware, pero su actividad oculta su verdadero propósito, que es apuntar a los registros de arranque maestros de los sistemas para su eliminación. Ya se sabía que Whispergate estaba vinculado a los servicios de inteligencia de Moscú, pero esta es la primera vez que se atribuye su uso a una operación específica de amenaza persistente avanzada (APT, por sus siglas en inglés). “La exposición de la Unidad 29155 como un actor cibernético capaz ilustra la importancia que la inteligencia militar rusa otorga al uso del ciberespacio para llevar adelante su guerra ilegal en Ucrania y otras prioridades estatales”, dijo el director de operaciones del NCSC, Paul Chichester. “El Reino Unido, junto con nuestros socios, se compromete a denunciar la actividad cibernética maliciosa rusa y continuará haciéndolo. El NCSC alienta firmemente a las organizaciones a seguir los consejos y la orientación de mitigación incluidos en el aviso para ayudar a defender sus redes”. La Unidad 29155, también designada como el 161.º Centro de Entrenamiento Especializado, y designada por los investigadores de amenazas del sector privado con diversos nombres: Cadet Blizzard, Ember Bear (Bleeding Bear), Frozenvista, UNC2589 y AUC-0056, probablemente esté compuesta por personal subalterno en servicio activo del GRU, pero también se sabe que recurre a contratistas externos, incluidos cibercriminales conocidos y sus facilitadores, al servicio de sus operaciones. Se diferencia en cierta medida de las APT más establecidas respaldadas por el GRU, como la Unidad 26165 (también conocida como Fancy Bear) y la Unidad 74455 (también conocida como Sandworm). El NCSC dijo que las operaciones cibernéticas de la Unidad 29155 seleccionaban y apuntaban a víctimas principalmente para recopilar información con fines de espionaje, desfigurar sus sitios web públicos, causar daño a la reputación robando y filtrando información confidencial y sabotear sus operaciones diarias. Según el FBI, la Unidad 29155 ha realizado miles de ejercicios de escaneo de dominios en varios estados miembros de la OTAN y la Unión Europea (UE), con un enfoque particular en CNI, gobierno, servicios financieros, transporte, energía y atención médica. Los estadounidenses dicen que también puede haber sido responsable de actos físicos de espionaje, incluidos intentos de golpe de Estado e incluso intentos de asesinato. Modus operandi La Unidad 29155 busca con frecuencia CVE divulgados públicamente para sus intrusiones, a menudo obteniendo scripts de explotación de repositorios públicos de GitHub, y se sabe que ha atacado fallos en Microsoft Windows Server, Atlassian Confluence Server y Data Center, y Red Hat, así como productos de seguridad de Dahua, un fabricante de cámaras IP con sede en China, y Sophos. Prefiere tácticas de trabajo en equipo rojo y herramientas disponibles públicamente, en lugar de soluciones personalizadas, lo que en el pasado probablemente ha llevado a que algunos de sus ataques cibernéticos se atribuyan a otros grupos con los que se superpone. Como parte de esta actividad, la Unidad 29155 mantiene una presencia en la comunidad delictiva cibernética clandestina, ejecutando cuentas en varios foros de la web oscura que utiliza para obtener herramientas útiles, incluidos malware y cargadores. Durante sus ataques, la Unidad 29155 generalmente utilizará un servicio VPN para anonimizar su actividad operativa y explotar las debilidades en los sistemas que dan a Internet y utilizará los CVE mencionados anteriormente para obtener acceso inicial. Una vez dentro del entorno de su víctima, utiliza Shodan para escanear en busca de dispositivos vulnerables de Internet de las cosas (IoT), incluidas cámaras IP como las de Dahua mencionadas anteriormente, y utiliza scripts de explotación para autenticarse en ellos con nombres de usuario y contraseñas predeterminados. Luego intenta realizar una ejecución remota de comandos a través de la web a estos dispositivos vulnerables que, si se realiza con éxito, les permite volcar sus ajustes de configuración y credenciales en texto sin formato. Después de haber ejecutado con éxito un exploit en un sistema víctima, la Unidad 29155 puede lanzar una carga útil de Meterpreter utilizando una conexión de Protocolo de control de transmisión (TCP) inversa para comunicarse con su infraestructura de comando y control (C2). Para fines de C2, se sabe que la Unidad 29155 ha utilizado una serie de servidores privados virtuales (VPS) para alojar sus herramientas operativas, realizar actividades de reconocimiento, explotar la infraestructura de la víctima y robar datos. Una vez que tiene acceso a las redes internas, se ha observado que la Unidad 29155 utiliza herramientas de tunelización del Sistema de nombres de dominio (DNS) para tunelizar el tráfico de red IPv4, configurando servidores proxy dentro de la infraestructura de la víctima y ejecutando comandos dentro de la red utilizando ProxyChains para proporcionar un mayor anonimato. También ha utilizado la herramienta de tunelización de código abierto GOST (a través del proxy SOCKS5) llamada java. En una serie de ataques, se ha observado que la Unidad 29155 exfiltra datos de las víctimas a ubicaciones remotas utilizando el programa de línea de comandos Rclone, así como exfiltrando varios procesos y artefactos de Windows, incluidos volcados de memoria del Servicio de subsistema de autoridad de seguridad local (LSASS), archivos del Administrador de cuentas de seguridad (SAM) y archivos de registro de eventos de SECURITY y SYSTEM. Además, compromete servidores de correo y exfiltra artefactos, incluidos mensajes de correo electrónico a través de PowerShell. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ofrece información técnica más detallada, incluido un nuevo análisis de Whispergate y una guía de mitigación, en el aviso de asesoramiento principal. Se insta a los defensores a familiarizarse con el trabajo de la Unidad 29155 y seguir las recomendaciones establecidas en el aviso completo.