{"id":1048436,"date":"2023-11-16T06:39:08","date_gmt":"2023-11-16T06:39:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-rusos-lanzan-el-mayor-ciberataque-jamas-realizado-contra-infraestructura-critica-danesa\/"},"modified":"2023-11-16T06:39:11","modified_gmt":"2023-11-16T06:39:11","slug":"hackers-rusos-lanzan-el-mayor-ciberataque-jamas-realizado-contra-infraestructura-critica-danesa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-rusos-lanzan-el-mayor-ciberataque-jamas-realizado-contra-infraestructura-critica-danesa\/","title":{"rendered":"Hackers rusos lanzan el ‘mayor ciberataque jam\u00e1s realizado’ contra infraestructura cr\u00edtica danesa"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Guerra cibern\u00e9tica\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas rusos posiblemente hayan estado vinculados a lo que se ha descrito como el “mayor ciberataque contra la infraestructura cr\u00edtica danesa”, en el que 22 empresas asociadas con la operaci\u00f3n del sector energ\u00e9tico del pa\u00eds fueron atacadas en mayo de 2023. <\/p>\n

“22 ciberataques simult\u00e1neos y exitosos contra infraestructuras cr\u00edticas danesas no son algo com\u00fan”, afirma SektorCERT de Dinamarca dicho<\/a> [PDF]. “Los atacantes sab\u00edan de antemano a qui\u00e9n iban a apuntar y acertaron en todo momento. Ning\u00fan disparo fall\u00f3 en el objetivo”.<\/p>\n

La agencia dijo que encontr\u00f3 evidencia que conecta uno o m\u00e1s ataques con la agencia de inteligencia militar rusa GRU, que tambi\u00e9n es rastreada bajo el nombre de Sandworm y tiene un historial de orquestar ataques cibern\u00e9ticos disruptivos contra sistemas de control industrial. Esta evaluaci\u00f3n se basa en artefactos que se comunican con direcciones IP que han sido rastreadas hasta el equipo de pirater\u00eda.<\/p>\n

Los ciberataques coordinados y sin precedentes tuvieron lugar el 11 de mayo mediante la explotaci\u00f3n de CVE-2023-28771 (puntuaci\u00f3n CVSS: 9,8), una falla cr\u00edtica de inyecci\u00f3n de comandos que afecta a los firewalls de Zyxel y que se revel\u00f3 a finales de abril de 2023.<\/p>\n

\"La<\/a><\/center><\/div>\n

En las 11 empresas que fueron infiltradas con \u00e9xito, los actores de amenazas ejecutaron c\u00f3digo malicioso para realizar un reconocimiento de las configuraciones del firewall y determinar el siguiente curso de acci\u00f3n.<\/p>\n

“Este tipo de coordinaci\u00f3n requiere planificaci\u00f3n y recursos”, afirm\u00f3 SektorCERT en un cronograma detallado de los acontecimientos. “La ventaja de atacar simult\u00e1neamente es que la informaci\u00f3n sobre un ataque no puede difundirse a otros objetivos antes de que sea demasiado tarde”.<\/p>\n

“Esto deja fuera de juego el poder del intercambio de informaci\u00f3n porque nadie puede ser advertido de antemano sobre el ataque en curso, ya que todos son atacados al mismo tiempo. Es inusual y extremadamente efectivo”.<\/p>\n

Posteriormente, del 22 al 25 de mayo, un grupo de ataque con armas cibern\u00e9ticas nunca antes vistas registr\u00f3 una segunda ola de ataques dirigidos a m\u00e1s organizaciones, lo que plantea la posibilidad de que dos actores de amenazas diferentes estuvieran involucrados en la campa\u00f1a.<\/p>\n

Dicho esto, actualmente no est\u00e1 claro si los grupos colaboraron entre s\u00ed, trabajaron para el mismo empleador o actuaron de forma independiente.<\/p>\n

\"El<\/a><\/div>\n

Se sospecha que estos ataques han convertido en armas dos errores cr\u00edticos m\u00e1s en el equipo Zyxel (CVE-2023-33009 y CVE-2023-33010, puntuaciones CVSS: 9,8) como d\u00edas cero para incorporar los firewalls a las botnets Mirai y MooBot, dado que La empresa lanz\u00f3 los parches para ellos el 24 de mayo de 2023.<\/p>\n

Los dispositivos comprometidos, en algunos casos, se utilizaron para realizar ataques distribuidos de denegaci\u00f3n de servicio (DDoS) contra empresas an\u00f3nimas en EE. UU. y Hong Kong.<\/p>\n

“Despu\u00e9s de que alrededor del 30\/5 se hiciera p\u00fablico el c\u00f3digo de explotaci\u00f3n de algunas de las vulnerabilidades, estallaron los intentos de ataque contra la infraestructura cr\u00edtica danesa, especialmente desde direcciones IP en Polonia y Ucrania”, explic\u00f3 SektorCERT.<\/p>\n

La avalancha de ataques llev\u00f3 a las entidades afectadas a desconectarse de Internet y pasar al modo isla, a\u00f1adi\u00f3 la agencia.<\/p>\n

\"La<\/a><\/center><\/div>\n

Pero no se trata s\u00f3lo de los actores del Estado-naci\u00f3n. El sector energ\u00e9tico tambi\u00e9n se est\u00e1 convirtiendo cada vez m\u00e1s en el foco de los grupos de ransomware, y los intermediarios de acceso inicial (IAB) promueven activamente el acceso no autorizado a empresas de energ\u00eda nuclear, seg\u00fan un informe<\/a> de Resecurity a principios de esta semana.<\/p>\n

El desarrollo se produce cuando Censys descubri\u00f3 seis hosts pertenecientes a NTC Vulkan, un contratista de TI con sede en Mosc\u00fa que supuestamente proporcion\u00f3 herramientas cibern\u00e9ticas ofensivas a las agencias de inteligencia rusas, incluido Sandworm.<\/p>\n

Adem\u00e1s, la investigaci\u00f3n descubri\u00f3 una conexi\u00f3n con un grupo llamado Raccoon Security a trav\u00e9s de un certificado NTC Vulkan.<\/p>\n

“Racoon Security es una marca de NTC Vulkan y es posible que las actividades de Raccoon Security incluyan una participaci\u00f3n anterior o actual en las iniciativas filtradas mencionadas anteriormente y contratadas por el GRU”, Matt Lembright, director de Aplicaciones Federales de Censys, dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n