El gobierno de Estados Unidos y una coalición de socios internacionales han atribuido oficialmente el crimen a un grupo de piratas informáticos rusos identificado como Cadete Blizzard al Estado Mayor de la Dirección General de Inteligencia (GRU), 161.º Centro de Entrenamiento de Especialistas (Unidad 29155).
«Estos actores cibernéticos son responsables de operaciones de redes informáticas contra objetivos globales con fines de espionaje, sabotaje y daño a la reputación desde al menos 2020», dijeron las agencias. dicho.
«Desde principios de 2022, el objetivo principal de los actores cibernéticos parece ser atacar y obstaculizar los esfuerzos para brindar ayuda a Ucrania».
Los objetivos de los ataques se han centrado en infraestructura crítica y sectores de recursos clave, incluidos los servicios gubernamentales, los servicios financieros, los sistemas de transporte, la energía y los sectores de atención médica de los miembros de la Organización del Tratado del Atlántico Norte (OTAN), la Unión Europea, América Central y países asiáticos.
El aviso conjunto, publicado la semana pasada como parte de un ejercicio coordinado denominado Operación Soldado de Juguete, proviene de autoridades de ciberseguridad e inteligencia de Estados Unidos, Países Bajos, República Checa, Alemania, Estonia, Letonia, Ucrania, Canadá, Australia y el Reino Unido.
Cadet Blizzard, también conocido como Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 y UNC2589, ganó atención en enero de 2022 por implementar el malware destructivo WhisperGate (también conocido como PAYWIPE) contra múltiples organizaciones víctimas ucranianas antes de la invasión militar total de Rusia al país.
En junio de 2024, un ciudadano ruso de 22 años llamado Amin Timovich Stigal fue acusado en Estados Unidos por su presunto papel en la organización de ciberataques destructivos contra Ucrania utilizando el malware wiper. Dicho esto, se dice que el uso de WhisperGate no es exclusivo del grupo.
Desde entonces, el Departamento de Justicia de Estados Unidos (DoJ) ha… cargado cinco oficiales asociados a la Unidad 29155 por conspiración para cometer intrusión informática y fraude electrónico contra objetivos en Ucrania, Estados Unidos y otros 25 países de la OTAN.
El nombres De los cinco oficiales se enumeran a continuación:
- Yuriy Denisov (Юрий Денисов), coronel del ejército ruso y oficial al mando de Operaciones Cibernéticas de la Unidad 29155
- Vladislav Borovkov (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов) y Nikolay Korchagin (Николай Корчагин), tenientes del ejército ruso asignados a la Unidad 29155 que trabajaron en operaciones cibernéticas
«Los acusados lo hicieron para sembrar la preocupación entre los ciudadanos ucranianos respecto de la seguridad de sus sistemas gubernamentales y sus datos personales», afirmó el Departamento de Justicia. «Los objetivos de los acusados incluían sistemas y datos del gobierno ucraniano que no tenían ninguna función militar o relacionada con la defensa. Otros objetivos posteriores incluían sistemas informáticos en países de todo el mundo que brindaban apoyo a Ucrania».
Simultáneamente con la acusación, el programa Recompensas por la Justicia del Departamento de Estado de EE. UU. ha… anunciado una recompensa de hasta 10 millones de dólares por información sobre cualquiera de las ubicaciones de los acusados o su actividad cibernética maliciosa.
Hay indicios de que la Unidad 29155 es responsable de intentos de golpe de Estado, sabotajes, operaciones de influencia e intentos de asesinato en toda Europa, y el adversario ha ampliado sus horizontes para incluir operaciones cibernéticas ofensivas desde al menos 2020.
El objetivo final de estas intrusiones cibernéticas es recopilar información confidencial con fines de espionaje, dañar la reputación filtrando dichos datos y orquestar operaciones destructivas que tengan como objetivo sabotear sistemas que contengan datos valiosos.
Se cree que la Unidad 29155, según el aviso, está compuesta por oficiales subalternos en servicio activo del GRU, que también dependen de ciberdelincuentes conocidos y otros facilitadores civiles como Stigal para facilitar sus misiones.
Estos incluyen desfiguraciones de sitios web, escaneo de infraestructura, exfiltración de datos y operaciones de fuga de datos que implican la publicación de información en dominios de sitios web públicos o su venta a otros actores.
Las cadenas de ataque comienzan con una actividad de escaneo que aprovecha fallas de seguridad conocidas en Atlassian Confluence Server y Data Center, Dahua Security y el firewall de Sophos para violar los entornos de las víctimas, seguido por el uso de Impacket para la postexplotación y el movimiento lateral y, en última instancia, la exfiltración de datos a una infraestructura dedicada.
«Los cibercriminales podrían haber utilizado el malware Raspberry Robin como intermediario de acceso», señalaron las agencias. «Los cibercriminales atacaron la infraestructura Microsoft Outlook Web Access (OWA) de las víctimas con el fin de obtener nombres de usuario y contraseñas válidos».
Se recomienda a las organizaciones priorizar las actualizaciones rutinarias del sistema y remediar las vulnerabilidades explotadas conocidas, segmentar las redes para evitar la propagación de actividad maliciosa e implementar la autenticación multifactor (MFA) resistente al phishing para todos los servicios de cuentas externos.