Oso acogedor

grupo de hackers ruso

Cozy Bear , clasificado por el gobierno federal de los Estados Unidos como amenaza persistente avanzada APT29 , es un grupo de hackers ruso que se cree que está asociado con una o más agencias de inteligencia de Rusia . El Servicio General de Inteligencia y Seguridad holandés (AIVD) dedujo de las imágenes de las cámaras de seguridad que está dirigido por el Servicio de Inteligencia Exterior ruso (SVR), ^[5] opinión compartida por Estados Unidos . ^[4] La empresa de ciberseguridad CrowdStrike también sugirió anteriormente que podría estar asociada con el Servicio Federal de Seguridad de Rusia (FSB) o con el SVR. ^[2] El grupo ha recibido varios apodos de otras empresas de ciberseguridad, incluidas CozyCar , ^[6] CozyDuke ^{[7] [8]} (por F-Secure ), Dark Halo , The Dukes (por Volexity), Midnight Blizzard ^[9] (por Microsoft ), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 e YTTRIUM .

El 20 de diciembre de 2020, se informó que Cozy Bear era responsable de un ciberataque a datos nacionales soberanos de EE. UU., que se cree que fue dirigido por el gobierno ruso. ^[10]

Métodos y capacidad técnica.

Diagrama que describe el proceso de uso de malware por parte de Cozy Bear y Fancy Bear para penetrar objetivos

Kaspersky Lab determinó que las primeras muestras del malware MiniDuke atribuidas al grupo datan de 2008. ^[1] El código original fue escrito en lenguaje ensamblador . ^[11] Symantec cree que Cozy Bear había estado comprometiendo a organizaciones diplomáticas y gobiernos desde al menos 2010. ^[12]

El malware CozyDuke utiliza una puerta trasera y un cuentagotas . El malware extrae datos a un servidor de comando y control . Los atacantes pueden adaptar el malware al entorno. ^[1] Los componentes de puerta trasera del malware de Cozy Bear se actualizan con el tiempo con modificaciones en la criptografía , la funcionalidad troyana y la antidetección. La velocidad a la que Cozy Bear desarrolla e implementa sus componentes recuerda al conjunto de herramientas de Fancy Bear, que también utiliza las herramientas CHOPSTICK y CORESHELL. ^[13]

El conjunto de herramientas de malware CozyDuke de Cozy Bear es estructural y funcionalmente similar a los componentes de segunda etapa utilizados en las primeras operaciones de Miniduke, Cosmicduke y OnionDuke. Un módulo de segunda etapa del malware CozyDuke, Show.dll, parece haber sido creado en la misma plataforma que OnionDuke, lo que sugiere que los autores están trabajando juntos o son las mismas personas. ^[13] Las campañas y los conjuntos de herramientas de malware que utilizan se conocen como Dukes, incluidos Cosmicduke, Cozyduke y Miniduke. ^[12] CozyDuke está conectado a las campañas MiniDuke y CosmicDuke, así como a la campaña de ciberespionaje OnionDuke. Cada grupo de amenazas rastrea sus objetivos y utiliza conjuntos de herramientas que probablemente fueron creadas y actualizadas por hablantes de ruso. ^[1] Tras la exposición del MiniDuke en 2013, las actualizaciones del malware se escribieron en C / C++ y se incluyeron con un nuevo ofuscador . ^[11]

Se sospecha que Cozy Bear está detrás de la herramienta de acceso remoto 'HAMMERTOSS' que utiliza sitios web comúnmente visitados como Twitter y GitHub para transmitir datos de comandos . ^[14]

Seaduke es un troyano de bajo perfil y altamente configurable que solo se utiliza para un pequeño conjunto de objetivos de alto valor. Normalmente, Seaduke se instala en sistemas que ya están infectados con CozyDuke, mucho más distribuido. ^[12]

Ataques

Cozy Bear parece tener diferentes proyectos, con diferentes grupos de usuarios. El objetivo de su proyecto "Nemesis Gemina" son los sectores militar, gubernamental, energético, diplomático y de telecomunicaciones. ^[11] La evidencia sugiere que los objetivos de Cozy Bear han incluido entidades comerciales y organizaciones gubernamentales en Alemania, Uzbekistán, Corea del Sur y los EE. UU., incluido el Departamento de Estado de los EE. UU. y la Casa Blanca en 2014. ^[13]

Monos de oficina (2014)

En marzo de 2014, se descubrió que un instituto de investigación privado con sede en Washington, DC tenía CozyDuke (Trojan.Cozer) en su red. Luego, Cozy Bear inició una campaña de correo electrónico en la que intentaba atraer a las víctimas para que hicieran clic en un vídeo flash de monos de oficina que también incluiría ejecutables maliciosos. ^{[1] [12]} En julio, el grupo había comprometido las redes gubernamentales y había ordenado a los sistemas infectados por CozyDuke que instalaran Miniduke en una red comprometida. ^[12]

En el verano de 2014, agentes digitales del Servicio General de Inteligencia y Seguridad holandés se infiltraron en Cozy Bear. Descubrieron que estos piratas informáticos rusos tenían como objetivo el Partido Demócrata de Estados Unidos, el Departamento de Estado y la Casa Blanca. Sus pruebas influyeron en la decisión del FBI de abrir una investigación. ^{[5] [15]}

Pentágono (agosto de 2015)

En agosto de 2015, Cozy Bear fue vinculado a un ciberataque de phishing contra el sistema de correo electrónico del Pentágono , lo que provocó el cierre de todo el sistema de correo electrónico no clasificado del Estado Mayor Conjunto y del acceso a Internet durante la investigación. ^{[16] [17]}

Comité Nacional Demócrata (2016)

En junio de 2016, Cozy Bear estuvo implicado junto con el grupo de hackers Fancy Bear en los ciberataques del Comité Nacional Demócrata . ^[2] Si bien los dos grupos estaban presentes en los servidores del Comité Nacional Demócrata al mismo tiempo, cada uno parecía no estar consciente del otro, robando de forma independiente las mismas contraseñas y duplicando los esfuerzos de cada uno. ^[18] Un equipo forense de CrowdStrike determinó que, si bien Cozy Bear había estado en la red del Comité Nacional Demócrata durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. ^[19] El oficio más sofisticado de Cozy Bear y su interés en el espionaje tradicional a largo plazo sugieren que el grupo se origina en una agencia de inteligencia rusa separada. ^[18]

Grupos de expertos y ONG de EE. UU. (2016)

Después de las elecciones presidenciales de Estados Unidos de 2016 , Cozy Bear estuvo vinculado a una serie de campañas de phishing coordinadas y bien planificadas contra grupos de expertos y organizaciones no gubernamentales (ONG) con sede en Estados Unidos. ^[20]

Gobierno noruego (2017)

El 3 de febrero de 2017, el Servicio de Seguridad de la Policía de Noruega (PST) informó que se habían realizado intentos de atacar las cuentas de correo electrónico de nueve personas del Ministerio de Defensa , el Ministerio de Asuntos Exteriores y el Partido Laborista . Los actos fueron atribuidos a Cozy Bear, cuyos objetivos incluían a la Autoridad Noruega de Protección Radiológica , al jefe de sección del PST, Arne Christian Haugstøyl, y a un colega anónimo. La primera ministra Erna Solberg calificó los actos como "un grave ataque a nuestras instituciones democráticas". ^[21] Los ataques supuestamente se llevaron a cabo en enero de 2017. ^[22]

Ministerios holandeses (2017)

En febrero de 2017, se reveló que Cozy Bear y Fancy Bear habían realizado varios intentos de piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , director de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno. ^[23]

En una sesión informativa ante el parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. ^[24]

Operación Fantasma

Las sospechas de que Cozy Bear había dejado de operar se disiparon en 2019 con el descubrimiento de tres nuevas familias de malware atribuidas a Cozy Bear: PolyglotDuke, RegDuke y FatDuke. Esto demuestra que Cozy Bear no cesó sus operaciones, sino que desarrolló nuevas herramientas que eran más difíciles de detectar. Los compromisos de objetivos que utilizan estos paquetes recién descubiertos se denominan colectivamente Operación Fantasma. ^[25]

Datos de la vacuna COVID-19 (2020)

En julio de 2020, la NSA , el NCSC y el CSE acusaron a Cozy Bear de intentar robar datos sobre las vacunas y tratamientos para el COVID-19 que se están desarrollando en el Reino Unido, EE. UU. y Canadá. ^{[26] [27] [28] [29] [4]}

Ataque a la cadena de suministro de malware SUNBURST (2020)

El 8 de diciembre de 2020, la empresa estadounidense de ciberseguridad FireEye reveló que una colección de sus propias herramientas de investigación de ciberseguridad había sido robada, posiblemente por "una nación con capacidades ofensivas de primer nivel". ^{[30] [31]} El 13 de diciembre de 2020, FireEye anunció que las investigaciones sobre las circunstancias de ese robo de propiedad intelectual revelaron "una campaña de intrusión global... [utilizando un] ataque a la cadena de suministro que troyaniza las actualizaciones del software empresarial SolarWinds Orion para distribuir malware llamamos SUNBURST... Esta campaña puede haber comenzado ya en la primavera de 2020 y... es el trabajo de un actor altamente calificado [que utiliza] una seguridad operativa significativa". ^{[32] [ ¿ fuente promocional? ]}

Poco después, SolarWinds confirmó que varias versiones de sus productos de plataforma Orion habían sido comprometidas, probablemente por un estado extranjero. ^[33] El impacto del ataque llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una inusual directiva de emergencia. ^{[34] [35]} Aproximadamente 18.000 clientes de SolarWinds estuvieron expuestos a SUNBURST, incluidas varias agencias federales de EE. UU . ^{[36] Fuentes} del Washington Post identificaron a Cozy Bear como el grupo responsable del ataque. ^{[37] [4]}

Según Microsoft, ^[38] los piratas informáticos luego robaron certificados de firma que les permitían hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del lenguaje de marcado de afirmación de seguridad . Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una manera para que los proveedores de identidad intercambien datos de autenticación y autorización con proveedores de servicios. ^[39]

Comité Nacional Republicano (2021)

En julio de 2021, Cozy Bear violó los sistemas del Comité Nacional Republicano . ^{[40] [41]} Los funcionarios dijeron que creían que el ataque se había llevado a cabo a través de Synnex . ^[40] El ciberataque se produjo en medio de consecuencias mayores por el ataque de ransomware propagado a través del software Kaseya VSA comprometido . ^[40]

Microsoft (2022-24)

El 24 de agosto de 2022, Microsoft reveló que un cliente se vio comprometido por un ataque Cozy Bear que tenía una resistencia muy alta en un servidor de Servicios Federados de Active Directory y denominó este método de ataque "MagicWeb", un ataque que "manipula los certificados de autenticación de usuario utilizados para la autenticación". . ^[42]

En enero de 2024, Microsoft informó haber descubierto y puesto fin recientemente a una violación que comenzó en noviembre anterior de las cuentas de correo electrónico de sus altos directivos y otros empleados de los equipos jurídico y de ciberseguridad utilizando un "spray de contraseñas", una forma de ataque de fuerza bruta . Este hackeo realizado por Midnight Blizzard parece haber tenido como objetivo descubrir qué sabía la empresa sobre la operación de hackeo. ^[43]

Visor de equipos (2024)

El 28 de junio de 2024, TeamViewer SE anunció que su red corporativa había sido infiltrada. La empresa atribuyó el ataque a ATP29/Cozy Bear. ^[44]

Ver también

• Interferencia de Rusia en las elecciones de Estados Unidos de 2016
• El complot para hackear Estados Unidos
• Se filtran archivos Vulkan

Referencias

1. "La relación MiniDuke 'CozyDuke' apunta a la Casa Blanca". Tiempos de inteligencia de amenazas . 27 de abril de 2015. Archivado desde el original el 11 de junio de 2018 . Consultado el 15 de diciembre de 2016 .
2. Alperovitch, Dmitri. "Osos en medio: intrusión en el Comité Nacional Demócrata". Blog de CrowdStrike . Archivado desde el original el 24 de mayo de 2019 . Consultado el 27 de septiembre de 2016 .
3. "SEGURIDAD INTERNACIONAL Y ESTONIA" (PDF) . www.valisluureamet.ee . 2018. Archivado desde el original (PDF) el 26 de octubre de 2020 . Consultado el 15 de diciembre de 2020 .
4. Andrew S. Bowen (4 de enero de 2021). Unidades cibernéticas rusas (Informe). Servicio de Investigación del Congreso . pag. 1. Archivado desde el original el 5 de agosto de 2021 . Consultado el 25 de julio de 2021 .
5. Huib Modderkolk (25 de enero de 2018). "Las agencias holandesas proporcionan información crucial sobre la interferencia de Rusia en las elecciones estadounidenses". de Volkskrant . Archivado desde el original el 31 de enero de 2018 . Consultado el 26 de enero de 2018 .
6. "¿Quién es COZY BEAR?". Multitud de huelga . 19 de septiembre de 2016. Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2016 .
7. "Un estudio de F-Secure vincula a CozyDuke con el espionaje de alto perfil" (Comunicado de prensa) . 30 de abril de 2015. Archivado desde el original el 7 de enero de 2017 . Consultado el 6 de enero de 2017 .
8. "Ciberataques vinculados a la recopilación de inteligencia rusa" (Comunicado de prensa) . F-Seguro. 17 de septiembre de 2015. Archivado desde el original el 7 de enero de 2017 . Consultado el 6 de enero de 2017 .
9. Weise, Karen (19 de enero de 2024). "Correos electrónicos de ejecutivos de Microsoft pirateados por un grupo vinculado a la inteligencia rusa". Los New York Times . Archivado desde el original el 20 de enero de 2024 . Consultado el 20 de enero de 2024 .
10. Sanger, David E. (13 de diciembre de 2020). "Los piratas informáticos rusos irrumpieron en agencias federales, sospechan funcionarios estadounidenses". Los New York Times . ISSN  0362-4331. Archivado desde el original el 13 de diciembre de 2020 . Consultado el 3 de octubre de 2021 .
11. Equipo de análisis e investigación global de Kaspersky Lab (3 de julio de 2014). "Miniduke ha vuelto: Nemesis Gemina y Botgen Studio". Lista segura . Archivado desde el original el 12 de mayo de 2020 . Consultado el 19 de mayo de 2020 .
12. ""Forkmeiamfamous": Seaduke, la última arma de la armería de Duke". Respuesta de seguridad de Symantec . 13 de julio de 2015. Archivado desde el original el 14 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
13. Baumgartner, Kurt; Raiu, Costin (21 de abril de 2015). "El APT CozyDuke". Lista segura. Archivado desde el original el 30 de enero de 2018 . Consultado el 19 de mayo de 2020 .
14. "HAMMERTOSS: Las tácticas sigilosas definen un grupo ruso de amenazas cibernéticas". Ojo de fuego . 9 de julio de 2015. Archivado desde el original el 23 de marzo de 2019 . Consultado el 7 de agosto de 2015 .
15. Noack, Rick (26 de enero de 2018). "Los holandeses fueron un aliado secreto de Estados Unidos en la guerra contra los piratas informáticos rusos, revelan los medios locales". El Washington Post . Archivado desde el original el 26 de enero de 2018 . Consultado el 15 de febrero de 2023 .
16. Kube, Courtney (7 de agosto de 2015). "Rusia piratea computadoras del Pentágono: NBC, citando fuentes". Archivado desde el original el 8 de agosto de 2019 . Consultado el 7 de agosto de 2015 .
17. Starr, Barbara (7 de agosto de 2015). "Oficial: Rusia sospechosa de intrusión en el servidor de correo electrónico del Estado Mayor Conjunto". Archivado desde el original el 8 de agosto de 2019 . Consultado el 7 de agosto de 2015 .
18. "Oso sobre oso". El economista . 22 de septiembre de 2016. Archivado desde el original el 20 de mayo de 2017 . Consultado el 14 de diciembre de 2016 .
19. Ward, Vicky (24 de octubre de 2016). "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin". Escudero . Archivado desde el original el 26 de enero de 2018 . Consultado el 15 de diciembre de 2016 .
20. "PowerDuke: campañas generalizadas de phishing postelectoral dirigidas a grupos de expertos y ONG". Volexidad . 9 de noviembre de 2016. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 14 de diciembre de 2016 .
21. Stanglin, Doug (3 de febrero de 2017). "Noruega: piratas informáticos rusos atacan a la agencia de espionaje, la defensa y el Partido Laborista". EE.UU. Hoy en día . Archivado desde el original el 5 de abril de 2017 . Consultado el 26 de agosto de 2017 .
22. "Norge utsatt for et omfattende hackerangrep". NRK . 3 de febrero de 2017. Archivado desde el original el 5 de febrero de 2017 . Consultado el 4 de febrero de 2017 .
23. Modderkolk, Huib (4 de febrero de 2017). "Russen faalden bij hackpogingen ambtenaren op Nederlandse ministeries". De Volkskrant (en holandés). Archivado desde el original el 4 de febrero de 2017 . Consultado el 4 de febrero de 2017 .
24. Cluskey, Peter (3 de febrero de 2017). "Los holandeses optan por el recuento manual tras los informes de piratería rusa". Los tiempos irlandeses . Archivado desde el original el 3 de febrero de 2017 . Consultado el 4 de febrero de 2017 .
25. "Operación Fantasma: Los Dukes no han regresado, nunca se fueron". Investigación ESET . 17 de octubre de 2019. Archivado desde el original el 11 de marzo de 2020 . Consultado el 8 de febrero de 2020 .
26. "Equipos de la NSA con NCSC, CSE y DHS CISA para exponer los servicios de inteligencia rusos dirigidos a COVID". Servicio Central de Seguridad de la Agencia de Seguridad Nacional . Archivado desde el original el 11 de diciembre de 2020 . Consultado el 25 de julio de 2020 .
27. "Declaración del CSE sobre actividades de amenaza dirigidas al desarrollo de la vacuna COVID-19 - jueves 16 de julio de 2020". cse-cst.gc.ca . Establecimiento de Seguridad de las Comunicaciones. 14 de julio de 2020. Archivado desde el original el 16 de julio de 2020 . Consultado el 16 de julio de 2020 .
28. James, William (16 de julio de 2020). "Rusia intenta piratear y robar datos de la vacuna COVID-19, dice Gran Bretaña". Reuters Reino Unido . Archivado desde el original el 17 de julio de 2020 . Consultado el 16 de julio de 2020 .
29. "El Reino Unido y sus aliados exponen los ataques rusos al desarrollo de una vacuna contra el coronavirus". Centro Nacional de Ciberseguridad. 16 de julio de 2020. Archivado desde el original el 16 de julio de 2020 . Consultado el 16 de julio de 2020 .
30. Sanger, David E.; Perlroth, Nicole (8 de diciembre de 2020). "FireEye, una de las principales empresas de ciberseguridad, dice que fue pirateada por un Estado-nación". Los New York Times . Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
31. agencias, personal de Guardian y (9 de diciembre de 2020). "La empresa estadounidense de ciberseguridad FireEye dice que fue pirateada por un gobierno extranjero". el guardián . Archivado desde el original el 16 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
32. "Un atacante altamente evasivo aprovecha la cadena de suministro de SolarWinds para comprometer a múltiples víctimas globales con la puerta trasera SUNBURST". Ojo de fuego . Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
33. "Aviso de seguridad | SolarWinds". www.solarwinds.com . Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
34. "cyber.dhs.gov - Directiva de emergencia 21-01". ciber.dhs.gov . 13 de diciembre de 2020. Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
35. "cyber.dhs.gov - Directivas de ciberseguridad". ciber.dhs.gov . 18 de mayo de 2022. Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
36. Cimpanu, Catalín. "Presentación de la SEC: SolarWinds dice que 18.000 clientes se vieron afectados por el reciente ataque". ZDNet . Archivado desde el original el 15 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
37. Nakashima, Elena; Timberg, Craig. "Los piratas informáticos del gobierno ruso están detrás de una amplia campaña de espionaje que ha comprometido a agencias estadounidenses, incluidas el Tesoro y el Comercio". El Correo de Washington . ISSN  0190-8286. Archivado desde el original el 13 de diciembre de 2020 . Consultado el 14 de diciembre de 2020 .
38. "Pasos importantes para que los clientes se protejan de los recientes ciberataques de estados-nación". 14 de diciembre de 2020. Archivado desde el original el 20 de diciembre de 2020 . Consultado el 16 de diciembre de 2020 .
39. Bueno, Dan; Timberg. "~ 18.000 organizaciones descargaron la puerta trasera colocada por los piratas informáticos de Cozy Bear". Ars Técnica . Archivado desde el original el 16 de diciembre de 2020 . Consultado el 15 de diciembre de 2020 .
40. Turton, William; Jacobs, Jennifer (6 de julio de 2021). "Rusia 'Cozy Bear' violó al Partido Republicano cuando golpeó un ataque de ransomware". Noticias de Bloomberg . Archivado desde el original el 6 de julio de 2021 . Consultado el 7 de julio de 2021 .
41. Campbell, Ian Carlos (6 de julio de 2021). "Según se informa, los piratas informáticos rusos atacaron los sistemas informáticos del Partido Republicano". El borde . Archivado desde el original el 7 de julio de 2021 . Consultado el 7 de julio de 2021 .
42. "MagicWeb: el truco posterior al compromiso de NOBELIUM para autenticarse como cualquier persona". Blog de seguridad de Microsoft . Microsoft. 24 de agosto de 2022. Archivado desde el original el 26 de agosto de 2022 . Consultado el 26 de agosto de 2022 .
43. Franceschi-Bicchierai, Lorenzo (19 de enero de 2024). "Los piratas informáticos violaron Microsoft para descubrir qué sabe Microsoft sobre ellos". Crunch tecnológico . Archivado desde el original el 20 de enero de 2024 . Consultado el 22 de enero de 2024 .
44. "Teamviewer acusa de ciberataque a piratas informáticos vinculados a Rusia". Reuters . 28 de junio de 2024 . Consultado el 30 de junio de 2024 .

enlaces externos

• Empleados del gobierno ruso acusados ​​de campañas de piratería informática