Estados Unidos, el Reino Unido y otros siete gobiernos han acusado al ejército ruso de lanzar ciberataques dirigidos a infraestructuras críticas con fines de espionaje y sabotaje. El aviso conjunto, publicado el 5 de septiembre, destacó las actividades cibernéticas de la Unidad 29155, que las agencias evalúan como afiliada a la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Se cree que la Unidad 29155 es responsable de operaciones de redes informáticas contra objetivos globales con fines de espionaje, sabotaje y daño a la reputación desde al menos 2020. Esto incluye el despliegue del destructivo malware WhisperGate wiper contra el gobierno de Ucrania y organizaciones del sector crítico en el período previo a la invasión rusa de Ucrania en febrero de 2022. Los actores cibernéticos de la Unidad 29155 también han atacado fuertemente a miembros de la Organización del Tratado del Atlántico Norte (OTAN) en Europa y América del Norte, así como a otras naciones de Europa, América Latina y Asia Central. Se centran en sectores de infraestructura crítica en los países objetivo, incluidos los servicios gubernamentales, el transporte, la energía y la atención médica. Esta es la primera vez que la Unidad 29155 ha sido asociada con campañas cibernéticas maliciosas. Los actores cibernéticos de la unidad son independientes de otros grupos cibernéticos conocidos y más establecidos afiliados al GRU. Paul Chichester, Director de Operaciones del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, comentó: «La exposición de la Unidad 29155 como un actor cibernético capaz ilustra la importancia que la inteligencia militar rusa otorga al uso del ciberespacio para proseguir su guerra ilegal en Ucrania y otras prioridades estatales. «El Reino Unido, junto con nuestros socios, se compromete a denunciar la actividad cibernética maliciosa rusa y continuará haciéndolo». Junto con el Reino Unido y los EE. UU., las agencias de ciberseguridad de los Países Bajos, la República Checa, Alemania, Estonia, Letonia, Canadá, Australia y Ucrania son signatarias del aviso. Expansión de la Unidad 29155 a las campañas cibernéticas La Unidad 29155 ha sido responsable de intentos de golpes de Estado, operaciones de sabotaje e influencia e intentos de asesinato en toda Europa durante varios años, según las agencias. Desde al menos 2020, la unidad ha ampliado su oficio para incluir operaciones cibernéticas ofensivas, donde tiene como objetivo robar datos con fines de espionaje, causar daño a la reputación de organizaciones y gobiernos a través de la filtración de información sensible y llevar a cabo «sabotaje sistemático» causado por la destrucción de datos. Se cree que los actores cibernéticos de la unidad son oficiales subalternos en servicio activo del GRU bajo la dirección del experimentado liderazgo de la Unidad 29155. Estas personas parecen estar adquiriendo experiencia cibernética y mejorando sus habilidades técnicas mediante la realización de operaciones e intrusiones cibernéticas. También utiliza actores no pertenecientes al GRU, incluidos ciberdelincuentes conocidos, para ayudar a realizar operaciones. Tácticas cibernéticas de la unidad militar El aviso encontró que los actores cibernéticos de la Unidad 29155 utilizan una variedad de tácticas para realizar operaciones. Estas incluyen desfiguraciones de sitios web, escaneo de infraestructura, exfiltración de datos y operaciones de fuga de datos. Los actores con frecuencia venden o divulgan públicamente los datos exfiltrados. Se les ha observado utilizando herramientas disponibles públicamente para escaneo y esfuerzos de explotación de vulnerabilidades. Estos incluyen Acunetix y Nmap para identificar puertos abiertos, servicios y vulnerabilidades para redes, y mass y VirusTotal para obtener subdominios para sitios web de destino. La unidad utiliza técnicas comunes de trabajo en equipo rojo y herramientas disponibles públicamente para realizar operaciones cibernéticas en lugar de crear sus propias soluciones personalizadas. Esto significa que muchas de sus tácticas, técnicas y procedimientos (TTP) se superponen con otros actores cibernéticos, lo que puede llevar a una atribución errónea. Los actores cibernéticos de la Unidad 29155 también suelen mantener cuentas en foros de la web oscura, lo que brinda oportunidades para obtener varias herramientas de piratería, como malware y cargadores de malware. Cómo protegerse contra los ataques de la Unidad 29155 Las agencias establecieron una serie de recomendaciones a las organizaciones de infraestructura crítica para protegerse contra las tácticas observadas de los actores cibernéticos de la Unidad 29155. Estos incluyen: Priorizar la aplicación de parches al Catálogo de vulnerabilidades explotadas conocidas de CISA Realizar análisis de vulnerabilidades automatizados de forma regular Limitar los servicios explotables en activos conectados a Internet, como el correo electrónico y los protocolos de gestión remota Utilizar servicios de ciberseguridad gratuitos del gobierno, como los servicios de ciberhigiene de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) Implementar la segmentación de la red Verificar y garantizar que los datos confidenciales, incluidas las credenciales, no se almacenen en texto sin formato y que solo puedan acceder a ellos usuarios autenticados y autorizados Deshabilitar y/o restringir el uso de la línea de comandos y la actividad de PowerShell
Deja una respuesta