Las agencias de inteligencia y ciberseguridad de las naciones de los Cinco Ojos han publicado un aviso conjunto que detalla la evolución de las tácticas del actor de amenazas patrocinado por el estado ruso conocido como APT29.
Se considera que el grupo de hackers, también conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes, está afiliado al Servicio de Inteligencia Exterior (SVR) de la Federación Rusa.
Anteriormente atribuido al compromiso de la cadena de suministro del software SolarWinds, el grupo de ciberespionaje atrajo la atención en los últimos meses por apuntar a Microsoft, Hewlett Packard Enterprise (HPE) y otras organizaciones con el objetivo de promover sus objetivos estratégicos.
«A medida que las organizaciones continúan modernizando sus sistemas y migrando a una infraestructura basada en la nube, el SVR se ha adaptado a estos cambios en el entorno operativo», según el boletín de seguridad.
Éstas incluyen –
- Obtener acceso a la infraestructura de la nube a través de servicios y cuentas inactivas mediante ataques de fuerza bruta y de pulverización de contraseñas, alejándose de la explotación de vulnerabilidades de software en las redes locales.
- Usar tokens para acceder a las cuentas de las víctimas sin necesidad de contraseña
- Aprovechar las técnicas de pulverización de contraseñas y reutilización de credenciales para tomar el control de cuentas personales, utilizar bombardeo rápido para eludir los requisitos de autenticación multifactor (MFA) y luego registrar su propio dispositivo para obtener acceso a la red.
- Hacer que sea más difícil distinguir las conexiones maliciosas de los usuarios típicos mediante el uso de servidores proxy residenciales para hacer que el tráfico malicioso parezca como si se originara en direcciones IP dentro de los rangos de proveedores de servicios de Internet (ISP) utilizados para clientes residenciales de banda ancha y ocultar sus verdaderos orígenes.
«Para las organizaciones que se han trasladado a la infraestructura de la nube, la primera línea de defensa contra un actor como SVR debería ser protegerse contra los TTP de SVR para el acceso inicial», dijeron las agencias. «Una vez que el SVR obtiene acceso inicial, el actor es capaz de implementar capacidades posteriores al compromiso altamente sofisticadas, como MagicWeb».