Raro aviso de la NSA sobre ataques cibernéticos en Rusia …


El grupo Sandworm, detrás de las campañas de desinformación y pirateo electoral y responsable de un corte de energía en 2016 en Ucrania, ahora apunta a los servidores de correo electrónico.

Un aviso poco frecuente de la Agencia de Seguridad Nacional (NSA) de EE. UU., Que advierte sobre los ataques de la inteligencia militar rusa en servidores de correo electrónico vulnerables, no es probable que disuada al grupo de ciberespionaje del estado-nación de atacar objetivos de interés, dicen expertos en ciberseguridad

El jueves, la NSA dijo a las organizaciones que una «vulnerabilidad explotable de forma remota en el agente de transferencia de correo EXIM, que viene instalado de forma predeterminada en algunas versiones de Linux, está siendo atacada por» actores cibernéticos rusos del Centro Principal de Tecnologías Especiales de GRU (GTsST), número de publicación de campo 74455 «- también conocido como el grupo Sandworm. El grupo Sandworm es uno de los dos grupos principales de operaciones cibernéticas para la inteligencia militar rusa.

Pero aparte de convencer a las organizaciones objetivo para que tomen las medidas apropiadas para proteger sus sistemas, el aviso probablemente no mitigue los ataques, dice Greg Lesnewich, un investigador de inteligencia de amenazas en Recorded Long run.

«Hemos intentado nombrar y avergonzar a los operadores individuales y la unidad obviamente, se han intentado sanciones», dice. «Creo que las agencias de inteligencia rusas tienen una alta tolerancia al riesgo y se sienten bastante envalentonadas para hacer lo que están haciendo, así que no estoy del todo seguro de lo que podríamos hacer para disuadirlos de realizar estas actividades».

los advertencia No es un buen augurio para el último ciclo electoral de Estados Unidos. Con la política ya polarizada y la desinformación utilizada regularmente por los partidos políticos y los rivales extranjeros, la revelación de que la inteligencia rusa probablemente ha obtenido acceso a los servidores de correo electrónico de algunas organizaciones gubernamentales y empresas es preocupante.

Además, el hecho de que una agencia de inteligencia de EE. UU. Levante una bandera debería dar crédito a la información y puede impulsar la acción, dice Lesnewich.

«Principalmente, es para ayudar a las empresas y entidades estadounidenses, y potencialmente a algunas del Reino Unido, Australia y Canadá, a parchear estos servidores para evitar que ocurran incidentes», dice. «Además, al nombrar la unidad GRU asociada con la actividad, están poniendo recursos y una advertencia para ayudar al público. Estamos en un año electoral, y esta actividad GRU ha sido implicada en la intromisión electoral tanto en los Estados Unidos como en el extranjero «.

Registro de ataque
Durante al menos 15 años, el grupo Sandworm, también conocido como Iridium, Electrum, BlackEnergy y Voodoo Bear – ha comprometido una variedad de objetivos políticos, desinformación sembrada y ha recopilado información sobre los rivales e intereses de Rusia. En dos ocasiones ha provocado apagones en Ucrania y se dirigió a los Juegos Olímpicos de Invierno 2018 con el ataque del Destructor Olímpico. El grupo también comenzó a enfocarse en implementar malware de Android para apuntar a objetivos de Corea del Sur y Ucrania creando aplicaciones de imitación que se parecían a otras aplicaciones, en un caso comprometiendo una cuenta de desarrollador, según el grupo de análisis de amenazas de Google.

La agencia del gobierno ruso detrás de los ataques, conocida como la Dirección Principal del Estado Mayor de las Fuerzas Armadas (GRU), es uno de los actores estatales más conocidos en Online, declaró la consultora worldwide Booz Allen Hamilton en un comunicado. análisis en profundidad de los ataques de Sandworm publicado en marzo de 2020.

«El GRU no es la única agencia del gobierno ruso que lleva a cabo operaciones cibernéticas, pero es la organización de operaciones cibernéticas más documentada e implicada públicamente de Rusia», según el análisis de 84 páginas. «En los últimos años, los Estados Unidos, sus aliados y sus socios han atribuido repetidamente, explícita e inequívocamente numerosos eventos cibernéticos, personajes de portada y nombres de grupos de la industria de seguridad al GRU».

La vulnerabilidad EXIM (CVE-2019-10149) es trivial para explotar y solo requiere que se envíe un comando especialmente diseñado en el archivo «MAIL FROM» de un mensaje, advirtió la NSA en el último aviso. «Cuando CVE-2019-10149 se explota con éxito, un actor puede ejecutar el código de su elección», dijo la NSA.

El código descargado de los dominios vinculados a Sandworm y ejecutado en servidores explotados agrega usuarios privilegiados, deshabilita la seguridad de algunas redes, modifica la configuración de SSH para permitir el acceso remoto a los atacantes y ejecuta otro código para comprometer aún más la red, según el aviso de la NSA.

EXIM es un common agente de transferencia de correo, los servidores que barajan el correo electrónico en Net, con casi 5,3 millones de computadoras que ejecutan el software. Al menos el 30% de esos servidores están ejecutando versiones EXIM vulnerables, según los datos de Servicio de inteligencia de Online Shodan.io.

Los atacantes comenzaron a atacar el software package en agosto de 2019 y descargaron scripts de dominios y servidores que pertenecen al grupo Sandworm, dijo la NSA en su aviso. La advertencia de la agencia es un «movimiento trifecta raro» porque la NSA está presentando un actor de amenaza specific, advirtiendo sobre una vulnerabilidad y publicando indicadores de compromiso, dice

«Es algo así como algo sin precedentes para que publiquen, lo que sugiere que estos operadores han alcanzado objetivos de interés dentro de los EE. UU. O dentro de un aparato de inteligencia extranjero amigable», dice. «Y eso significa que debe haber casos de algunos objetivos jugosos que están utilizando el servidor de correo EXIM para que se preocupen».

La atribución es útil en este caso porque el acceso a los servidores de correo electrónico es un paso crítico en una operación cibercriminal común conocida como compromiso de correo electrónico comercial (BEC), pero no se sabe que el grupo ruso use tales tácticas. Según el esquema lucrativo, los estafadores utilizan un servidor de correo electrónico comprometido para interceptar mensajes y facturas enviadas entre un proveedor y sus clientes. Al utilizar el acceso para solicitar cambios en la información de la cuenta bancaria, los atacantes han redirigido los pagos a sus propias cuentas, lo que ha resultado en que BEC encabece la lista de daños debido a operaciones cibercriminales.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Studying, MIT&#39s Technology Critique, Well known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia first