Desde principios de 2022, sobre todo en los días que precedieron a la invasión rusa, se produjo una importante escalada en el número de ciberataques denunciados contra múltiples objetivos ucranianos, incluidos organismos gubernamentales, ONG, infraestructuras críticas y la población en general.
Esta oleada de ciberataques, llevada a cabo principalmente por actores de amenazas con presuntos vínculos con los gobiernos ruso y bielorruso, está caracterizando este nuevo modelo de guerra híbrida y continúa sin descanso con más campañas descubiertas a diario.
Coldriver, Turla, Armagedon y UAC-0041 son algunos ejemplos de actores de amenazas de habla rusa que lanzaron campañas de ciberespionaje contra objetivos ucranianos que se desvelaron sólo en julio. Lo mismo puede decirse de los grupos bielorrusos, igualmente activos durante los últimos meses. En su última operación conocida, el actor de la amenaza conocido como Ghostwriter se dirigió a civiles ucranianos falsificando información humanitaria sobre procedimientos de evacuación.
Todos estos grupos son bien conocidos por estar motivados por el ciberespionaje. Sin embargo, lo que también es interesante observar en esta oleada de ataques es que algunos actores de amenazas de habla rusa, centrados históricamente en la ciberdelincuencia, han decidido modificar sus objetivos, subiéndose al carro del ciberespionaje y lanzando operaciones selectivas contra objetivos ucranianos. Este es el caso de la banda TrickBot, que realizó al menos seis campañas de este tipo entre mediados de abril y mediados de junio de 2022.
Un número tan grande de operaciones en un periodo de tiempo relativamente corto requiere una infraestructura maliciosa ágil, y esto probablemente explica por qué incluso los actores de amenazas patrocinadas por el Estado están explotando cada vez más los servicios en la nube en una o más etapas de la cadena de asesinato. Las aplicaciones en la nube no sólo ofrecen una plataforma flexible, resistente y lista para usar para distribuir contenidos maliciosos, sino que también gozan de la confianza de personas y organizaciones, lo que a menudo significa que se elude el tráfico correspondiente.
Todo empezó con Discord
Los profesionales de seguridad informática recordarán que la invasión rusa se anticipó a mediados de enero, cuando se produjo un ataque a gran escala en Ucrania a través de un malware destructivo apodado WhisperGate. El mecanismo de entrega de WhisperGate utilizaba una carga útil de varias etapas, una de las cuales estaba alojada en Discord. Inicialmente concebida como una plataforma de mensajería instantánea para jugadores, Discord ha ganado rápidamente una creciente popularidad entre los actores de amenazas, que abusan de su red de distribución de contenidos (CDN) para alojar y distribuir cargas útiles maliciosas sin ninguna restricción.
Aunque el ataque WhisperGate es notable, no es el único ejemplo de abuso de Discord para lanzar una campaña en Ucrania. En marzo de 2022, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió de una campaña de phishing orquestada por un actor de amenazas apodado UAC-0056, que se hacía pasar por organismos gubernamentales para engañar a los usuarios y hacerles descargar una falsa actualización de Bitdefender. ¡Y aquí llega de nuevo la discordia! Cuando se ejecutaba, la falsa actualización del antivirus descargaba dos artefactos adicionales de Discord: una baliza Cobalt Strike y un dropper adicional, que llevaba a la descarga e instalación de dos backdoors adicionales: GraphSteel y GrimPlant.
… Y continúa con OneDrive
Estas campañas confirman que la entrega de una carga útil maliciosa desde un servicio en la nube es ahora un modus operandi consolidado tanto para los cibercriminales oportunistas como para los actores de amenazas patrocinadas por el Estado. Según el informe Netskope’s Cloud and Threat Report: Global Cloud and Web Malware Trends, entre abril de 2021 y marzo de 2022, el 47% de todas las descargas de malware procedieron de aplicaciones en la nube en lugar de sitios web tradicionales. A pesar de la creciente popularidad de Discord, Microsoft OneDrive sigue manteniendo firmemente el cetro del servicio en la nube más popular explotado por los actores de amenazas para la descarga de malware.
Entre las campañas descubiertas en julio, he mencionado una llevada a cabo por el actor de amenazas de habla rusa llamado Coldriver. Esta operación selectiva, descubierta en julio por el Grupo de Análisis de Amenazas de Google, estaba dirigida a diferentes entidades de Ucrania, incluidos funcionarios del gobierno y de la defensa, políticos, ONG, grupos de reflexión y periodistas. Dos servicios de almacenamiento en la nube muy conocidos y familiares desempeñaron un papel importante en estas operaciones, ya que los atacantes utilizaron correos electrónicos de phishing que contenían enlaces a documentos señuelo (PDF y/o DOC) alojados en Microsoft OneDrive y Google Drive.
Otra campaña descubierta en julio por CERT-UA y llevada a cabo por un grupo de amenazas llamado UAC-0041 desplegó una cadena de ataque similar con correos electrónicos de phishing que entregaban el descargador RelicRace .NET disfrazado de una notificación de «pago final». Una vez más, como era de esperar, el descargador RelicRace, al ejecutarse, descargaba el malware RelicSource de OneDrive, que finalmente conducía a la instalación de los ladrones de información Formbook y Snake.
¿Qué está sucediendo ahora?
Por supuesto, Discord y OneDrive (y Google Drive) no son los únicos servicios en la nube convertidos en armas por los actores de amenazas patrocinadas por el Estado. Dropbox es otra aplicación de almacenamiento en la nube que ha ganado popularidad entre los adversarios avanzados. La infame APT29, vinculada al Servicio de Inteligencia Exterior de Rusia (SVR), explotó este servicio de almacenamiento en la nube como parte de una operación dirigida a varias misiones diplomáticas occidentales y embajadas extranjeras entre mayo y junio de 2022. Charming Kitten, un grupo avanzado de Irán, también ha explotado el mismo servicio para alojar un documento cebo como parte de una campaña que ha estado activa desde febrero de 2022 y cuyo objetivo era redirigir a las víctimas, predominantemente organizaciones de medios de comunicación y periodistas estadounidenses centrados en la guerra entre Rusia y Ucrania, a un dominio de recolección de credenciales.
Está claro que la fiebre por explotar los servicios en la nube por parte de los actores de amenazas avanzadas continúa, y las campañas con vínculos directos o indirectos con la guerra entre Rusia y Ucrania son solo la punta del iceberg. Los proveedores de servicios en la nube suelen ser extremadamente reactivos a la hora de retirar los dominios maliciosos una vez notificados por los investigadores de seguridad, y algunos están subiendo el listón aplicando contramedidas proactivas. Sin embargo, la mitigación de las amenazas en la nube no puede delegarse únicamente en los CSP. Las empresas y los gobiernos deben ajustar sus enfoques, como evitar la confianza implícita de los servicios legítimos en la nube. Esto puede lograrse adoptando una plataforma de seguridad en la nube que entienda las API, el nuevo lenguaje de la web, y permita la aplicación de políticas granulares en términos de control de acceso adaptable basado en instancias, protección contra amenazas y DLP.
Fuente WEB | Editado por CambioDigital OnLine