Los hackers estatales rusos están apuntando a las campañas de Biden y Trump, advierte MSFT

Un traje de negocios no hace que este hombre amenazador sea menos amenazador.
Agrandar / Vladimir Putin.

Fancy Bear: el grupo de piratería estatal ruso que te trajo los ataques de aplastar y filtrar Comité Nacional Demócrata y Agencia Mundial Antidopaje, el Gusano NotPetya que infligió miles de millones de dólares en daños en todo el mundo, y Compromiso del filtro VPN de 500.000 enrutadores—Está dirigido a organizaciones involucradas en elecciones que tienen lugar en Estados Unidos y el Reino Unido, advirtió Microsoft.

Durante un período de dos semanas el mes pasado, el grupo intentó atacar más de 6,900 cuentas pertenecientes a 28 organizaciones, dijo Microsoft. Entre septiembre de 2019 y junio pasado, Fancy Bear apuntó a decenas de miles de cuentas pertenecientes a empleados de más de 200 organizaciones. Los piratas informáticos utilizan dos técnicas, una conocida como «fuerza bruta» y la otra llamada «propagación de contraseñas», en un intento por obtener las credenciales de inicio de sesión de Office365 de los objetivos. Hasta ahora, ninguno de los ataques ha tenido éxito.

Los investigadores de seguridad de una serie de empresas están de acuerdo en que Fancy Bear trabaja en nombre de GRU, la agencia de inteligencia militar de Rusia. El GRU ha estado vinculado a más de una década de campañas de piratería avanzada, incluidas varias que han causado graves daños a la seguridad nacional. Los miembros de la industria usan una variedad de nombres coloridos para referirse al grupo. Además de Fancy Bear, también están Pawn Storm, Sofacy, Sednit y Tsar Team. El nombre de Microsoft para el equipo es Strontium.

«El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) ha observado una serie de ataques realizados por Strontium entre septiembre de 2019 y hoy», escribió el vicepresidente corporativo de Microsoft, Tom Burt, en un post publicado el jueves. «De manera similar a lo que observamos en 2016, Strontium está lanzando campañas para recolectar las credenciales de inicio de sesión de las personas o comprometer sus cuentas, presumiblemente para ayudar en la recopilación de inteligencia o las operaciones de interrupción».

Strontium es uno de los tres grupos de piratería informática patrocinados por el estado que, según Microsoft, apuntan a las elecciones de 2020. El circonio, que se cree que funciona para la República Popular de China, se ha dirigido a «personas de alto perfil asociadas con la elección, incluidas personas asociadas con la campaña de Joe Biden para presidente y líderes prominentes en la comunidad de asuntos internacionales». Phosphorus, que según los investigadores trabaja en nombre de la República Islámica de Irán, continúa apuntando a las cuentas personales de personas asociadas con la campaña de reelección del presidente Donald Trump.

Gran oso malo

Si bien las campañas de los tres grupos representan un riesgo, la de Fancy Bear conlleva la mayor amenaza, dadas las habilidades y técnicas avanzadas del grupo y su historial de hacks descarados y peligrosos. Un publicación de Microsoft que acompaña que brindó detalles técnicos sobre la campaña de piratería Fancy Bear dijo que el grupo ha optimizado y automatizado sus operaciones de manera significativa desde 2016.

Hace cuatro años, Fancy Bear se apoyó en gran medida en el spear phishing o en el envío de correos electrónicos de apariencia convincente que engañaban al personal de Google u otras organizaciones conocidas. Los correos electrónicos, uno que es famoso enganchó al presidente de la campaña presidencial de Hillary Clinton, John Podesta, informó falsamente a los destinatarios que sus cuentas habían sido comprometidas. Los spearphishes luego les indicaron que iniciaran sesión en lo que resultó ser un sitio falso y cambiaran sus contraseñas.

Ahora, Fancy Bear se basa principalmente en herramientas que realizan la pulverización de contraseñas y la fuerza bruta. El cambio hace que sea más fácil operar a escala y de una manera más anónima. Las herramientas se distribuyen a través de un grupo de aproximadamente 1.100 direcciones IP, la mayoría de las cuales pertenecen al servicio de anonimización Tor. En la publicación técnica del jueves, los investigadores de Microsoft escribieron:

Este grupo de infraestructura ha evolucionado con el tiempo, con un promedio de aproximadamente 20 IP agregadas y eliminadas por día. Las herramientas de STRONTIUM alternan sus intentos de autenticación entre este grupo de IP aproximadamente una vez por segundo. Teniendo en cuenta la amplitud y la velocidad de esta técnica, parece probable que STRONTIUM haya adaptado sus herramientas para utilizar un servicio de anonimato para ofuscar su actividad, evadir el seguimiento y evitar la atribución.

Distribuyendo la carga

En los ataques entre el 19 de agosto y el 3 de septiembre, Microsoft observó un promedio diario de 1.294 direcciones IP de más de 500 bloques de direcciones y 250 números de sistema autónomo. Algunos de los bloques de red se utilizaron con más frecuencia que otros. La sobreutilización de los bloques de red creó una oportunidad para que los investigadores descubrieran la actividad de Fancy Bear que utilizaba el servicio de anonimización. Microsoft utilizó esta consulta de Azure Sentinel para identificar intentos fallidos de autenticación de los tres bloques de direcciones más utilizados y agruparlos por los agentes de usuario que intentan iniciar sesión.

Las dos técnicas que utiliza Fancy Bear son:

  • Pulverización de contraseña, que intenta encontrar combinaciones válidas de nombre de usuario y contraseña. Por lo general, hay alrededor de cuatro intentos por hora en el transcurso de días o semanas. Casi todos los intentos se originan en una dirección IP diferente.
  • Fuerza bruta, que alimenta una cuenta específica con aproximadamente 300 intentos de inicio de sesión por hora en el transcurso de varias horas o días.

¿Lo que me preocupa?

Dadas las consecuencias de los ataques de Fancy Bear en 2016, podría pensar que la mayoría de los objetivos de alto valor habían adoptado desde entonces la autenticación multifactor, que requiere que la persona que inicie sesión proporcione la contraseña correcta y que también demuestre la posesión de un dispositivo o presente una huella dactilar u otra biometría. . Pero según Microsoft, estaría equivocado. Cifras publicadas por la empresa el pasado mes de octubre mostró que menos del 10 por ciento de las cuentas de las grandes organizaciones utilizan alguna forma de MFA. Activar la autenticación multifactor frustra la mayoría de los ataques de recolección de credenciales, dijo Microsoft.

La publicación técnica del jueves también recomendó que las organizaciones objetivo de alto valor monitoreen los registros en busca de autenticaciones fallidas.

«Al monitorear la actividad de inicio de sesión en sus cuentas, busque cualquier tipo de patrón discernible en estas autenticaciones fallidas y realice un seguimiento a lo largo del tiempo», aconsejaron los investigadores. Spray de contraseña es una táctica cada vez más común de los actores del Estado-nación «.

Deja un comentario

Cart
Your cart is currently empty.