EE. UU. Insta a las organizaciones a implementar MFA, otros …



Los actores que trabajan para el Servicio de Inteligencia Exterior de Moscú están apuntando activamente a organizaciones del gobierno y otros sectores, dicen el FBI y el DHS.

El FBI, el Departamento de Seguridad Nacional (DHS) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) instan a las organizaciones estadounidenses a implementar autenticación multifactorial y otros mecanismos defensivos para protegerse contra la actividad de amenazas del Servicio de Inteligencia Exterior de Rusia (SVR).

En un nuevo aviso conjunto publicado hoy, las tres entidades advierten a las agencias gubernamentales, los consider tanks, las empresas de tecnología de la información y las organizaciones de análisis de políticas en distinct que estén atentos a los ataques de APT29, un grupo de amenazas que describen como que trabaja para el SVR.

La alerta no apunta a amenazas o ataques nuevos y recientes específicos de APT29 (también conocidos como Cozy Bear, Dukes e Yttrium) dirigidos a organizaciones en estos sectores. Pero sí observa la amenaza de larga knowledge que el grupo ha representado para las organizaciones estadounidenses y el uso de herramientas personalizadas por parte del grupo para maximizar el sigilo y moverse lateralmente dentro de las redes de víctimas. Desde al menos 2018, el grupo ha pasado de apuntar predominantemente a activos locales a apuntar al correo electrónico alojado en la nube y otros recursos en la nube, dicen las tres agencias.

«(SVR) continuará buscando inteligencia de entidades estadounidenses y extranjeras a través de la explotación cibernética, utilizando una gama de técnicas de explotación inicial que varían en sofisticación, junto con el comercio de intrusión sigilosa dentro de las redes comprometidas», el alerta notas.

Esta es la segunda vez que las fuerzas del orden de los EE. UU. Advierten sobre la actividad de amenaza SVR en las últimas dos semanas. El 15 de abril, poco después de que la administración Biden atribuyera formalmente el ataque SolarWinds a SVR, el FBI, DHS y CISA publicaron una advertencia sobre el servicio de inteligencia ruso que explota cinco vulnerabilidades conocidas en VPN y otras tecnologías para comprometer a las empresas estadounidenses.

Ese aviso destacó cómo, además del ataque a la cadena de suministro de SolarWinds, el SVR fue responsable de varias otras campañas recientes, incluidos varios ataques dirigidos a las instalaciones de investigación de COVID-19.

Las organizaciones deben prestar atención a avisos como estos que ofrecen información sobre el oficio del adversario y recomendaciones para abordar las amenazas que un adversario podría presentar, dice Sean Nikkei, analista senior de inteligencia de amenazas cibernéticas en Electronic Shadows. «Tenemos que asumir que hay campañas en curso o que habrá nuevas debido a la naturaleza de la recopilación de inteligencia para el objetivo estratégico», dice Nikkei.

«La información ciertamente puede ayudar a cualquier organización porque les da la oportunidad de actualizar y examinar sus firmas, hablar con sus proveedores y pensar en cómo podrían ser dirigidos», dice.

El nuevo aviso destaca tres tácticas que se ha observado que SVR y los grupos de amenazas que trabajan para él utilizan en ataques recientes: propagación de contraseñas, exploits de día cero y el uso de un conjunto de herramientas de malware llamado WellMess para habilitar sesiones de comando y management cifradas en un sistema infectado.

El aviso apunta a un compromiso de 2018, donde los agentes de SVR utilizaron la propagación de contraseñas para encontrar y explotar una contraseña débil para una cuenta de administrador. El ataque involucró al adversario que realizaba la propagación de contraseñas de manera «lenta y lenta» utilizando una gran cantidad de direcciones IP locales asociadas con cuentas comerciales, residenciales y móviles, con el fin de evadir la detección. Los atacantes utilizaron su acceso a la cuenta de administrador para modificar permisos y obtener acceso a cuentas de correo electrónico de interés específico para ellos, según el aviso conjunto.

En otro incidente, los actores que trabajaban para SVR explotaron una vulnerabilidad de día cero (CVE-2019-19781) en Citrix Software Shipping and delivery Controller (ADC) para obtener acceso a una red empresarial y recolectar credenciales, que usaban para acceder a otros sistemas en la purple. Los actores se establecieron en varios sistemas que no estaban configurados para la autenticación de dos factores. Aunque la organización violada finalmente descubrió la intrusión y desalojó a los atacantes, recuperaron el acceso a través de la misma falla de Citrix. Ese punto de acceso inicial también fue descubierto y cerrado, según el aviso.

La alerta del FBI, DHS y CISA explain que la familia de malware WellMess se utiliza en ataques dirigidos a las instalaciones de investigación de COVID-19. «Estos implantes permiten a un operador remoto establecer sesiones de comando y control (C2) cifradas y pasar y ejecutar de forma segura scripts en un sistema infectado», señala el aviso.

Varias recomendaciones
Las tres entidades instan a las organizaciones a considerar exigir el uso de la autenticación multifactor para todos los usuarios y administradores locales y remotos. También recomiendan que las organizaciones permitan el acceso a los sistemas y funciones de administración solo desde direcciones IP conocidas, realicen auditorías periódicas de los permisos de las cuentas y la configuración del buzón, e implementen contraseñas seguras.

Para defenderse de las amenazas de día cero, el aviso recomienda que los equipos de seguridad monitoreen la evidencia de los comandos de PowerShell codificados y el uso de NMAP y otras herramientas de escaneo de crimson, y para garantizar que los sistemas de monitoreo y seguridad de los endpoints estén habilitados.

Defenderse contra ataques a la cadena de suministro como el que afectó a los clientes de SolarWinds puede ser complicado, admite el aviso. Pero las organizaciones pueden mitigar el riesgo implementando prácticas como la auditoría de archivos de registro para identificar intentos de acceder a certificados privilegiados implementar controles para identificar comportamientos sospechosos implementar monitoreo de comportamiento y exigir autenticación para determinadas actividades de los usuarios.

Dirk Schrader, vicepresidente global de investigación de seguridad en New Internet Systems, dice que avisos como el que se publicó hoy ayudan a las organizaciones a tener una mejor idea de las operaciones de la vida real de un adversario avanzado. Sin embargo, muchos de ellos pueden terminar siendo una distracción, dice. «Las advertencias frecuentes darán lugar a muchas preguntas de la alta dirección y las juntas ejecutivas sobre el estado de una organización a la luz de ellas», dice. «Los equipos de ciberseguridad estarán, al menos, obligados a equilibrar estas solicitudes con su trabajo habitual».

Muchas de las recomendaciones incluidas en estos avisos, como habilitar la autenticación multifactor y no permitir inicios de sesión remotos desde direcciones IP desconocidas, también son cosas que las organizaciones ya deberían estar haciendo, dice Joseph Neumann, asesor ejecutivo cibernético de Coalfire.

Estos avisos también solo se refieren a las tácticas, técnicas y procedimientos, señala Neumann. «Estos son útiles en un grado que les permite a los administradores y defensores saber por dónde empezar sus miradas iniciales», dice. «Pero (ellos) no brindan (a las organizaciones) datos que pueden conectar a las herramientas de seguridad para iniciar soluciones y mitigaciones automatizadas inmediatas».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first