Los actores patrocinados por el Estado con vínculos con Rusia han sido vinculados a ataques cibernéticos dirigidos a entidades diplomáticas francesas, dijo la agencia de seguridad de la información del país, ANSSI, en un aviso.
Los ataques han sido atribuido a un grupo rastreado por Microsoft bajo el nombre Midnight Blizzard (anteriormente Nobelium), que se superpone con la actividad rastreada como APT29, BlueBravo, Cloaked Ursa, Cozy Bear y The Dukes.
Si bien los apodos APT29 y Midnight Blizzard se han utilizado indistintamente para referirse a conjuntos de intrusiones asociados con el Servicio de Inteligencia Exterior de Rusia (SVR), ANSSI dijo que prefiere tratarlos como grupos de amenazas dispares junto con un tercero denominado Dark Halo, que ha sido retenido. responsable del ataque a la cadena de suministro de 2020 a través del software SolarWinds.
«Nobelium se caracteriza por el uso de códigos, tácticas, técnicas y procedimientos específicos. La mayoría de las campañas de Nobelium contra entidades diplomáticas utilizan cuentas de correo electrónico legítimas comprometidas que pertenecen al personal diplomático y llevan a cabo campañas de phishing contra instituciones diplomáticas, embajadas y consulados», señala el informe. dijo la agencia.
Vale la pena señalar que los ataques a entidades diplomáticas también se controlan bajo el nombre de Diplomatic Orbiter.
Los ataques implican el envío de correos electrónicos de phishing a organizaciones públicas francesas desde instituciones e individuos extranjeros previamente comprometidos por el actor de amenazas para iniciar una serie de acciones maliciosas.
«En mayo de 2023, varias embajadas europeas en Kiev fueron objeto de una campaña de phishing llevada a cabo por los operadores de Nobelium», afirmó. «La embajada de Francia en Kiev fue uno de los objetivos de esta campaña, que se llevó a cabo a través de un correo electrónico cuyo tema era ‘un coche diplomático en venta'».
Otro ataque observado en el mismo mes contra la embajada de Francia en Rumania finalmente no tuvo éxito, señaló ANSSI.
Otras intrusiones montadas por el actor de amenazas han aprovechado las fallas de seguridad en los servidores JetBrains TeamCity como parte de una campaña oportunista. En los últimos meses, también se ha relacionado con violaciones de Microsoft y Hewlett Packard Enterprise (HPE).
«El hecho de que los operadores de Nobelium apunten a entidades de TI y ciberseguridad con fines de espionaje fortalece potencialmente sus capacidades ofensivas y la amenaza que representan», dijo la agencia. «La inteligencia recopilada durante los recientes ataques contra entidades del sector TI también podría facilitar las operaciones futuras de Nobelium».
La revelación se produce cuando Polonia reveló que los piratas informáticos rusos podrían estar detrás del Ataque DDoS en Telewizja Polska (TVP) que provocó la interrupción de la transmisión en línea de la Eurocopa 2024 el 16 de junio de 2024.