Cozy Bear , clasificado por el gobierno federal de los Estados Unidos como amenaza persistente avanzada APT29 , es un grupo de hackers ruso que se cree que está asociado con una o más agencias de inteligencia de Rusia . El Servicio General de Inteligencia y Seguridad holandés (AIVD) dedujo de las imágenes de las cámaras de seguridad que está dirigido por el Servicio de Inteligencia Exterior ruso (SVR), [5] opinión compartida por Estados Unidos . [4] La empresa de ciberseguridad CrowdStrike también sugirió anteriormente que podría estar asociada con el Servicio Federal de Seguridad de Rusia (FSB) o con el SVR. [2] El grupo ha recibido varios apodos de otras empresas de ciberseguridad, incluidas CozyCar , [6] CozyDuke [7] [8] (por F-Secure ), Dark Halo , The Dukes (por Volexity), Midnight Blizzard [9] (por Microsoft ), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 e YTTRIUM .
El 20 de diciembre de 2020, se informó que Cozy Bear era responsable de un ciberataque a datos nacionales soberanos de EE. UU., que se cree que fue dirigido por el gobierno ruso. [10]
Kaspersky Lab determinó que las primeras muestras del malware MiniDuke atribuidas al grupo datan de 2008. [1] El código original fue escrito en lenguaje ensamblador . [11] Symantec cree que Cozy Bear había estado comprometiendo a organizaciones diplomáticas y gobiernos desde al menos 2010. [12]
El malware CozyDuke utiliza una puerta trasera y un cuentagotas . El malware extrae datos a un servidor de comando y control . Los atacantes pueden adaptar el malware al entorno. [1] Los componentes de puerta trasera del malware de Cozy Bear se actualizan con el tiempo con modificaciones en la criptografía , la funcionalidad troyana y la antidetección. La velocidad a la que Cozy Bear desarrolla e implementa sus componentes recuerda al conjunto de herramientas de Fancy Bear, que también utiliza las herramientas CHOPSTICK y CORESHELL. [13]
El conjunto de herramientas de malware CozyDuke de Cozy Bear es estructural y funcionalmente similar a los componentes de segunda etapa utilizados en las primeras operaciones de Miniduke, Cosmicduke y OnionDuke. Un módulo de segunda etapa del malware CozyDuke, Show.dll, parece haber sido creado en la misma plataforma que OnionDuke, lo que sugiere que los autores están trabajando juntos o son las mismas personas. [13] Las campañas y los conjuntos de herramientas de malware que utilizan se conocen como Dukes, incluidos Cosmicduke, Cozyduke y Miniduke. [12] CozyDuke está conectado a las campañas MiniDuke y CosmicDuke, así como a la campaña de ciberespionaje OnionDuke. Cada grupo de amenazas rastrea sus objetivos y utiliza conjuntos de herramientas que probablemente fueron creadas y actualizadas por hablantes de ruso. [1] Tras la exposición del MiniDuke en 2013, las actualizaciones del malware se escribieron en C / C++ y se incluyeron con un nuevo ofuscador . [11]
Se sospecha que Cozy Bear está detrás de la herramienta de acceso remoto 'HAMMERTOSS' que utiliza sitios web comúnmente visitados como Twitter y GitHub para transmitir datos de comandos . [14]
Seaduke es un troyano de bajo perfil y altamente configurable que solo se utiliza para un pequeño conjunto de objetivos de alto valor. Normalmente, Seaduke se instala en sistemas que ya están infectados con CozyDuke, mucho más distribuido. [12]
Cozy Bear parece tener diferentes proyectos, con diferentes grupos de usuarios. El objetivo de su proyecto "Nemesis Gemina" son los sectores militar, gubernamental, energético, diplomático y de telecomunicaciones. [11] La evidencia sugiere que los objetivos de Cozy Bear han incluido entidades comerciales y organizaciones gubernamentales en Alemania, Uzbekistán, Corea del Sur y los EE. UU., incluido el Departamento de Estado de los EE. UU. y la Casa Blanca en 2014. [13]
En marzo de 2014, se descubrió que un instituto de investigación privado con sede en Washington, DC tenía CozyDuke (Trojan.Cozer) en su red. Luego, Cozy Bear inició una campaña de correo electrónico en la que intentaba atraer a las víctimas para que hicieran clic en un vídeo flash de monos de oficina que también incluiría ejecutables maliciosos. [1] [12] En julio, el grupo había comprometido las redes gubernamentales y había ordenado a los sistemas infectados por CozyDuke que instalaran Miniduke en una red comprometida. [12]
En el verano de 2014, agentes digitales del Servicio General de Inteligencia y Seguridad holandés se infiltraron en Cozy Bear. Descubrieron que estos piratas informáticos rusos tenían como objetivo el Partido Demócrata de Estados Unidos, el Departamento de Estado y la Casa Blanca. Sus pruebas influyeron en la decisión del FBI de abrir una investigación. [5] [15]
En agosto de 2015, Cozy Bear fue vinculado a un ciberataque de phishing contra el sistema de correo electrónico del Pentágono , lo que provocó el cierre de todo el sistema de correo electrónico no clasificado del Estado Mayor Conjunto y del acceso a Internet durante la investigación. [16] [17]
En junio de 2016, Cozy Bear estuvo implicado junto con el grupo de hackers Fancy Bear en los ciberataques del Comité Nacional Demócrata . [2] Si bien los dos grupos estaban presentes en los servidores del Comité Nacional Demócrata al mismo tiempo, cada uno parecía no estar consciente del otro, robando de forma independiente las mismas contraseñas y duplicando los esfuerzos de cada uno. [18] Un equipo forense de CrowdStrike determinó que, si bien Cozy Bear había estado en la red del Comité Nacional Demócrata durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. [19] El oficio más sofisticado de Cozy Bear y su interés en el espionaje tradicional a largo plazo sugieren que el grupo se origina en una agencia de inteligencia rusa separada. [18]
Después de las elecciones presidenciales de Estados Unidos de 2016 , Cozy Bear estuvo vinculado a una serie de campañas de phishing coordinadas y bien planificadas contra grupos de expertos y organizaciones no gubernamentales (ONG) con sede en Estados Unidos. [20]
El 3 de febrero de 2017, el Servicio de Seguridad de la Policía de Noruega (PST) informó que se habían realizado intentos de atacar las cuentas de correo electrónico de nueve personas del Ministerio de Defensa , el Ministerio de Asuntos Exteriores y el Partido Laborista . Los actos fueron atribuidos a Cozy Bear, cuyos objetivos incluían a la Autoridad Noruega de Protección Radiológica , al jefe de sección del PST, Arne Christian Haugstøyl, y a un colega anónimo. La primera ministra Erna Solberg calificó los actos como "un grave ataque a nuestras instituciones democráticas". [21] Los ataques supuestamente se llevaron a cabo en enero de 2017. [22]
En febrero de 2017, se reveló que Cozy Bear y Fancy Bear habían realizado varios intentos de piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , director de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno. [23]
En una sesión informativa ante el parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. [24]
Las sospechas de que Cozy Bear había dejado de operar se disiparon en 2019 con el descubrimiento de tres nuevas familias de malware atribuidas a Cozy Bear: PolyglotDuke, RegDuke y FatDuke. Esto demuestra que Cozy Bear no cesó sus operaciones, sino que desarrolló nuevas herramientas que eran más difíciles de detectar. Los compromisos de objetivos que utilizan estos paquetes recién descubiertos se denominan colectivamente Operación Fantasma. [25]
En julio de 2020, la NSA , el NCSC y el CSE acusaron a Cozy Bear de intentar robar datos sobre las vacunas y tratamientos para el COVID-19 que se están desarrollando en el Reino Unido, EE. UU. y Canadá. [26] [27] [28] [29] [4]
El 8 de diciembre de 2020, la empresa estadounidense de ciberseguridad FireEye reveló que una colección de sus propias herramientas de investigación de ciberseguridad había sido robada, posiblemente por "una nación con capacidades ofensivas de primer nivel". [30] [31] El 13 de diciembre de 2020, FireEye anunció que las investigaciones sobre las circunstancias de ese robo de propiedad intelectual revelaron "una campaña de intrusión global... [utilizando un] ataque a la cadena de suministro que troyaniza las actualizaciones del software empresarial SolarWinds Orion para distribuir malware llamamos SUNBURST... Esta campaña puede haber comenzado ya en la primavera de 2020 y... es el trabajo de un actor altamente calificado [que utiliza] una seguridad operativa significativa". [32] [ ¿ fuente promocional? ]
Poco después, SolarWinds confirmó que varias versiones de sus productos de plataforma Orion habían sido comprometidas, probablemente por un estado extranjero. [33] El impacto del ataque llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una inusual directiva de emergencia. [34] [35] Aproximadamente 18.000 clientes de SolarWinds estuvieron expuestos a SUNBURST, incluidas varias agencias federales de EE. UU . [36] Fuentes del Washington Post identificaron a Cozy Bear como el grupo responsable del ataque. [37] [4]
Según Microsoft, [38] los piratas informáticos luego robaron certificados de firma que les permitían hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del lenguaje de marcado de afirmación de seguridad . Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una manera para que los proveedores de identidad intercambien datos de autenticación y autorización con proveedores de servicios. [39]
En julio de 2021, Cozy Bear violó los sistemas del Comité Nacional Republicano . [40] [41] Los funcionarios dijeron que creían que el ataque se había llevado a cabo a través de Synnex . [40] El ciberataque se produjo en medio de consecuencias mayores por el ataque de ransomware propagado a través del software Kaseya VSA comprometido . [40]
El 24 de agosto de 2022, Microsoft reveló que un cliente se vio comprometido por un ataque Cozy Bear que tenía una resistencia muy alta en un servidor de Servicios Federados de Active Directory y denominó este método de ataque "MagicWeb", un ataque que "manipula los certificados de autenticación de usuario utilizados para la autenticación". . [42]
En enero de 2024, Microsoft informó haber descubierto y puesto fin recientemente a una violación que comenzó en noviembre anterior de las cuentas de correo electrónico de sus altos directivos y otros empleados de los equipos jurídico y de ciberseguridad utilizando un "spray de contraseñas", una forma de ataque de fuerza bruta . Este hackeo realizado por Midnight Blizzard parece haber tenido como objetivo descubrir qué sabía la empresa sobre la operación de hackeo. [43]
El 28 de junio de 2024, TeamViewer SE anunció que su red corporativa había sido infiltrada. La empresa atribuyó el ataque a ATP29/Cozy Bear. [44]