Chequia y Alemania revelaron el viernes que fueron el objetivo de una campaña de ciberespionaje a largo plazo llevada a cabo por el actor-Estado-nación vinculado a Rusia conocido como APT28, lo que generó la condena de la Unión Europea (UE), la Organización del Tratado del Atlántico Norte (OTAN). ), el Reino Unido y los EE.UU. El Ministerio de Asuntos Exteriores (MFA) de la República Checa, en un comunicado, dijo que algunas entidades no identificadas en el país han sido atacadas utilizando una falla de seguridad en Microsoft Outlook que salió a la luz a principios del año pasado. «Los ciberataques dirigidos a entidades políticas, instituciones estatales e infraestructuras críticas no sólo son una amenaza para la seguridad nacional, sino que también perturban los procesos democráticos en los que se basa nuestra sociedad libre», afirmó el Ministerio. La falla de seguridad en cuestión es CVE-2023-23397, un error crítico de escalada de privilegios en Outlook ahora parcheado que podría permitir a un adversario acceder a hashes Net-NTLMv2 y luego usarlos para autenticarse mediante un ataque de retransmisión. El Gobierno Federal de Alemania (también conocido como Bundesregierung) atribuyó al actor de la amenaza a un ciberataque dirigido al Comité Ejecutivo del Partido Socialdemócrata utilizando la misma vulnerabilidad de Outlook durante un «período relativamente largo», lo que le permitió «comprometer numerosas cuentas de correo electrónico». Algunas de las industrias verticales a las que se dirige la campaña incluyen la logística, el armamento, la industria aérea y espacial, los servicios de TI, fundaciones y asociaciones ubicadas en Alemania, Ucrania y Europa, y la Bundesregierung también implica al grupo en el ataque de 2015 a el parlamento federal alemán (Bundestag). APT28, que se considera vinculado a la Unidad Militar 26165 de la agencia de inteligencia militar de la Federación Rusa GRU, también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422. A fines del mes pasado, Microsoft atribuyó al grupo de piratas informáticos la explotación de un componente de Microsoft Windows Print Spooler (CVE-2022-38028, puntuación CVSS: 7,8) como día cero para entregar un malware personalizado previamente desconocido llamado GooseEgg para infiltrarse en Ucrania, Occidente. Organizaciones gubernamentales, no gubernamentales, de educación y de transporte de Europa y América del Norte. La OTAN dijo que las acciones híbridas de Rusia «constituyen una amenaza a la seguridad aliada». El Consejo de la Unión Europea también intervino, afirmando que «la campaña cibernética maliciosa muestra el patrón continuo de comportamiento irresponsable de Rusia en el ciberespacio». «La actividad reciente del grupo cibernético ruso GRU APT28, incluido el ataque al ejecutivo del Partido Socialdemócrata alemán, es la última de un patrón conocido de comportamiento por parte de los Servicios de Inteligencia rusos para socavar los procesos democráticos en todo el mundo», dijo el gobierno del Reino Unido. El Departamento de Estado de EE.UU. describió a APT28 como conocido por participar en «comportamientos maliciosos, nefastos, desestabilizadores y disruptivos» y que está comprometido con la «seguridad de nuestros aliados y socios y con la defensa del orden internacional basado en reglas, incluso en el ciberespacio». A principios de febrero, una acción policial coordinada interrumpió una botnet que comprendía cientos de enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) en los EE. UU. y Alemania que se cree que los actores de APT28 utilizaron para ocultar sus actividades maliciosas, como la explotación de CVE. -2023-23397 contra objetivos de interés. Según un informe de la firma de ciberseguridad Trend Micro de esta semana, la botnet de proxy criminal de terceros se remonta a 2016 y consta de algo más que enrutadores de Ubiquiti, que abarca otros enrutadores basados ​​en Linux, Raspberry Pi y servidores privados virtuales (VPS). . «El actor de amenazas [behind the botnet] logró mover algunos de los bots EdgeRouter del C&C [command-and-control] servidor que fue retirado el 26 de enero de 2024, a una infraestructura C&C recién configurada a principios de febrero de 2024», dijo la compañía, agregando que las restricciones legales y los desafíos técnicos impidieron una limpieza exhaustiva de todos los enrutadores atrapados. Actividad de amenaza cibernética patrocinada por el estado ruso También se espera que (robo de datos, ataques destructivos, campañas DDoS y operaciones de influencia) representen un grave riesgo para las elecciones en regiones como EE. UU., el Reino Unido y la UE por parte de múltiples grupos como APT44 (también conocido como Sandworm), COLDRIVER, KillNet. , APT29 y APT28, según una evaluación publicada por Mandiant, filial de Google Cloud, la semana pasada: «En 2016, APT28 vinculado a GRU comprometió objetivos de organizaciones del Partido Demócrata de EE. UU., así como la cuenta personal del presidente de campaña del candidato presidencial demócrata y orquestó una campaña de filtración. antes de las elecciones presidenciales de EE.UU. de 2016», afirmaron los investigadores Kelli Vanderlee y Jamie Collier. Es más, los datos de Cloudflare y NETSCOUT muestran un aumento de los ataques DDoS dirigidos a Suecia tras su aceptación en la alianza de la OTAN, reflejando el patrón observado durante la adhesión de Finlandia a la OTAN en 2023. «Los posibles culpables de estos ataques incluyeron los grupos de hackers NoName057, Anonymous Sudan, Russian Cyber ​​Army Team y KillNet», dijo NETSCOUT. «Todos estos grupos tienen motivaciones políticas y apoyan los ideales rusos». Los acontecimientos se producen cuando las agencias gubernamentales de Canadá, el Reino Unido y los EE. UU. han publicado una nueva hoja informativa conjunta para ayudar a proteger a las organizaciones de infraestructura crítica de los continuos ataques lanzados por aparentes hacktivistas prorrusos contra los sistemas de control industrial (ICS) y operaciones operativas a pequeña escala. sistemas de tecnología (OT) desde 2022. «La actividad hacktivista pro-Rusia parece limitada principalmente a técnicas poco sofisticadas que manipulan equipos ICS para crear efectos molestos», dijeron las agencias. «Sin embargo, las investigaciones han identificado que estos actores son capaces de utilizar técnicas que plantean amenazas físicas contra entornos OT inseguros y mal configurados». Los objetivos de estos ataques incluyen organizaciones en sectores de infraestructura crítica de América del Norte y Europa, incluidos sistemas de agua y aguas residuales, represas, energía y sectores de alimentación y agricultura. Se ha observado que los grupos hacktivistas obtienen acceso remoto explotando conexiones a Internet expuestas públicamente, así como contraseñas predeterminadas de fábrica asociadas con interfaces hombre-máquina (HMI) que prevalecen en dichos entornos, seguido de la manipulación de parámetros de misión crítica, apagando mecanismos de alarma, y bloquear operadores cambiando las contraseñas administrativas. Las recomendaciones para mitigar la amenaza incluyen reforzar las interfaces hombre-máquina, limitar la exposición de los sistemas OT a Internet, usar contraseñas seguras y únicas e implementar autenticación multifactor para todos los accesos a la red OT. «Estos hacktivistas buscan comprometer los sistemas de control industrial (ICS) modulares expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina (HMI), explotando el software de acceso remoto a la computación en red virtual (VNC) y las contraseñas predeterminadas», dice la alerta. . ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.