Candado de dibujos animados y vidrios rotos superpuestos en una bandera rusa.
Agrandar / ¿Qué pasó con la bandera de Rusia?

Los piratas informáticos respaldados por el gobierno ruso han violado las redes de varios contratistas de defensa de EE. UU. en una campaña en curso que ha expuesto información confidencial sobre la infraestructura de comunicaciones de desarrollo de armas de EE. UU., dijo el miércoles el gobierno federal.

La campaña comenzó a más tardar en enero de 2020 y continuará hasta este mes, según una recomendación conjunta del FBI, la Agencia de Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los piratas informáticos han atacado y pirateado con éxito a Cleared Defense Contractors, o CDC, que respaldan los contratos para el Departamento de Defensa de EE. UU. y la comunidad de inteligencia.

«Acceso permanente», «Información significativa»

“Durante esos dos años, estos actores han mantenido un acceso sostenido a múltiples redes de CDC, en algunos casos durante al menos seis meses”, escribieron los funcionarios en la recomendación. “En los casos en que los actores obtuvieron acceso con éxito, el FBI, la NSA y la CISA identificaron la exfiltración regular y recurrente de correos electrónicos y datos. Por ejemplo, durante un compromiso de 2021, los atacantes extrajeron cientos de documentos relacionados con los productos de la empresa, las relaciones con otros países y los recursos humanos internos y asuntos legales”.

Los documentos exfiltrados contienen información no clasificada propiedad de los CDC y de exportación controlada. Esta información le da al gobierno ruso una «perspectiva significativa» sobre los plazos de desarrollo y despliegue de la plataforma de armas de EE. UU., los planes de infraestructura de comunicaciones y las tecnologías específicas desplegadas por el gobierno y el ejército de EE. UU. Los documentos también contienen correos electrónicos no clasificados entre empleados y sus clientes gubernamentales que discuten detalles de propiedad sobre investigación tecnológica y científica.

FBI, NSA, CISA

FBI, NSA, CISA

El consejero dijo:

Estas continuas intrusiones han permitido a los actores obtener información confidencial y no clasificada, así como tecnología patentada y controlada por los CDC. La información obtenida proporciona una visión significativa de los plazos de desarrollo y despliegue de las plataformas de armas de EE. UU., las especificaciones de los vehículos y los planes de infraestructura de comunicaciones y tecnología de la información. Al adquirir documentos internos patentados y comunicaciones por correo electrónico, los adversarios pueden ajustar sus propios planes y prioridades militares, acelerar los esfuerzos de desarrollo tecnológico, informar a los tomadores de decisiones extranjeros sobre las intenciones de los EE. UU. y apuntar a posibles fuentes de reclutamiento. Dada la sensibilidad de la información ampliamente disponible en las redes CDC no clasificadas, el FBI, la NSA y la CISA anticipan que los ciberactores patrocinados por el estado ruso seguirán apuntando a los CDC para la inteligencia de defensa de EE. UU. en un futuro próximo. Estas agencias alientan a todos los CDC a aplicar las medidas de mitigación recomendadas en este aviso, independientemente de la evidencia de compromiso.

Spear phishing, enrutadores pirateados y más

Los piratas informáticos han utilizado una variedad de métodos para violar sus objetivos. Los métodos incluyen la recopilación de contraseñas de red a través de phishing selectivo, filtraciones de datos, técnicas de craqueo y explotación de vulnerabilidades de software sin parches. Después de establecerse en una red de destino, los atacantes escalan sus privilegios del sistema mapeando Active Directory y conectándose a controladores de dominio. A partir de ahí, pueden filtrar las credenciales de todas las demás cuentas y crear cuentas nuevas.

Los piratas informáticos utilizan servidores privados virtuales para cifrar sus comunicaciones y ocultar sus identidades, agregó el asesor. También utilizan «dispositivos de oficina pequeña y oficina en el hogar (SOHO) como nodos operativos para evadir la detección». En 2018, Rusia fue sorprendida infectando más de 500,000 enrutadores de consumidores para que los dispositivos pudieran usarse para infectar las redes a las que estaban conectados, exfiltrar contraseñas y manipular el tráfico que pasaba a través del dispositivo comprometido.

Estas técnicas y otras parecen haber tenido éxito.

“En múltiples casos, los actores de amenazas han mantenido un acceso sostenido durante al menos seis meses”, dijo el informe conjunto. “Aunque los actores han utilizado una variedad de malware para mantener la persistencia, el FBI, la NSA y la CISA también han observado intentos de intrusión que no se basaron en malware u otros mecanismos de persistencia. En estos casos, es probable que los atacantes confiaran en la posesión de credenciales de persistencia legítimas para poder cambiar a otras cuentas si fuera necesario para mantener el acceso a los entornos comprometidos”.

El aviso incluye una lista de indicadores técnicos que los administradores pueden usar para determinar si sus redes se vieron comprometidas en la campaña. Insta a todos los CDC a investigar actividades sospechosas en sus entornos empresariales y de nube.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí