FireEye revela estrategias de grupo hacker ruso
La investigación pública realizada por FireEye, y retomada por el Departamento de Seguridad Interna de Estados Unidos junto al FBI, indica que el grupo APT28 es responsable por operaciones extensivas en apoyo a los intereses estratégicos rusos, principalmente los relacionados con defensa y geopolítica.
El contenido del informe se interna en la posición política asumida por Rusia durante las elecciones presidenciales norteamericanas en 2016.
Laura Galante, directora de Inteligencia contra Amenazas, sostiene: ‘Ahora el punto más importante es comprender cómo son ejecutadas las operaciones llevadas por Rusia para alterar información – incluyendo intrusiones y ataques – con el objetivo de debilitar instituciones, gobiernos y demás actores que, de acuerdo con la percepción del gobierno ruso, constriñen y condenan sus actividades’.
‘Las operaciones destinadas a las elecciones americanas son apenas el último ejemplo de una capacidad poco comprendida que ya fue utilizada contra la OTAN, el gobierno alemán, organizaciones de medios e individuos clave’, agrega.
Activo desde 2007, APT28 ha ganado mayor relevancia en los últimos dos años al realizar actividades de intrusión: utiliza un conjunto de malware con características indicativas de los planos de grupo para operaciones continuas, así como para el acceso de grupo a recursos y desarrolladores calificados, realizados con ayuda de un framework modular, ambiente de código formal y análisis de resultados.
El informe también señala que los desarrolladores del grupo construyen malware con configuración en idioma ruso desde 2013, y que, tras la compilación del 97% de las muestras de malware durante los días de la semana de trabajo, el 88% de éstas se presentan en el periodo entre las 8 y las 18 horas del uso horarios de ciudades como Moscú y San Petersburgo.
Por otro lado, el ataque sucede normalmente en cuatro principales formas: infección con malware vía spear-phish; acceso a un webmail vía spear-pish; malware a través de comprometer estratégicamente la web (SWC por sus siglas en inglés); y acceso a servidores de internet. Además, cada una de estas tácticas disponen de varias subetapas hasta que la red de la víctima queda completamente invadida y con la posibilidad de extraerle datos internos.
Finalmente, la investigación muestra que, desde 2014, han sido observados ataques en forma de exploración de vulnerabilidades y utilización de script de perfil para implantar zero-day; herramientas para dificultar los accesos a los instrumentos de grupo; aumento de uso de depositos de códigos públicos como Carberp y PowerShell Empire; obtención de credenciales a través de pedidos de autorización de acceso fabricados en Google App y Oauth; y movimientos laterales en red utilizando algunas herramientas legítimas ya existentes en el sistema de la víctima.