El seaborgio apunta a industrias sensibles en varios países


espionaje cibernético, protección de pago digital, protección antivirus de software para datos móviles y conexiones globales digitales, hacker con una tableta en el fondo del código binario, Elemento de la imagen proporcionado por la NASA
Imagen: Adobe Inventory

Nuevo investigar del Microsoft Danger Intelligence Centre (MSTIC) arroja luz sobre un actor de amenazas de ciberespionaje conocido como Seabordium.

¿Quién es Seaborgio?

Seabordium es un actor de amenazas que se origina en Rusia, rastreado por Microsoft desde 2017. Este es un actor de amenazas altamente persistente que compromete a empresas e individuos de interés. En 2022, se han dirigido a más de 30 organizaciones además de cuentas personales de individuos. Con base en información técnica y tácticas, el actor de amenazas se superpone con Grupo CalistoTA446 y ríofrío. El Servicio de Seguridad de Ucrania asociado el actor de amenazas con el Gamaredón grupo, sin embargo, los investigadores de Microsoft no han observado ningún vínculo que respalde esta asociación.

Objetivos para Seaborgio

El objetivo principal de este actor de amenazas son actualmente los países de la OTAN, particularmente el Reino Unido y los EE. UU. También se han producido ataques ocasionales a otros países, incluidos países del Báltico, los países nórdicos y Europa del Este. De certain interés es el objetivo de Ucrania en los meses previos a la invasión de Rusia y las organizaciones que desempeñan un papel en la guerra en Ucrania. Microsoft afirma que es possible que Ucrania no sea un objetivo principal para Seabordium, y que los ataques dirigidos a este país probablemente sean un área de enfoque reactivo para el actor.

Los objetivos de Seabordium son las empresas de consultoría de defensa e inteligencia, las organizaciones no gubernamentales (ONG), las organizaciones intergubernamentales (IGO), los centros de estudios y la educación top-quality, según Microsoft. Además, el 30 % de la actividad de Seabordium está dirigida a cuentas de correo electrónico de consumidores de Microsoft, exfuncionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos en el extranjero.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

Modo de operación

Los investigadores de MSTIC observaron una metodología consistente con solo ligeras modificaciones en el enfoque de ingeniería social que utiliza Seabordium.

Para empezar, el actor de amenazas trabaja para conocer su objetivo: es la fase de reconocimiento del ataque. El objetivo es identificar contactos legítimos en la pink social distante o esfera de influencia del objetivo. El atacante parece utilizar inteligencia de código abierto (OSINT), directorios personales y plataformas de redes sociales para lograr esa tarea. MSTIC revela, en asociación con LinkedIn, que el actor de amenazas ha creado perfiles falsos de LinkedIn para realizar un reconocimiento de los empleados de organizaciones de interés específicas (Figura A).

Figura A

Perfil falso de LinkedIn creado por el actor de amenazas Seabordium.
Perfil falso de LinkedIn creado por el actor de amenazas Seabordium. Imagen: Microsoft

Las cuentas identificadas creadas por el actor de amenazas han sido rescindidas por LinkedIn.

Seabordium también crea nuevas direcciones de correo electrónico en varios proveedores de correo electrónico, configurándolas para que coincidan con alias legítimos o nombres de personas suplantadas. En una ocasión, los investigadores vieron al actor de amenazas reutilizar una cuenta que no había sido utilizada en un año, para apuntar a una industria coincidente. Esto indica un actor de amenazas bien organizado, probablemente rastreando y reutilizando cuentas cuando sea relevante.

Una vez que se realiza toda esta configuración, el actor de amenazas llega al objetivo con un mensaje de correo electrónico benigno que hace referencia a un archivo adjunto inexistente que debería haber contenido un tema de interés para el objetivo (Figura B).

Figura B

Ejemplos de correos electrónicos enviados desde Seabordium a los objetivos.
Ejemplos de correos electrónicos enviados desde Seabordium a los objetivos. Imagen: Microsoft

En otros casos, el actor adopta otro enfoque, más directo, y envía contenido malicioso (Figura C).

Figura C

Ejemplo de correo electrónico con contenido malicioso enviado a un objetivo.
Ejemplo de correo electrónico con contenido malicioso enviado a un objetivo. Imagen: Microsoft

En cuanto al contenido malicioso, puede ser tan basic como una URL que lleva a una página de phishing, a veces ofuscada con acortadores de URL, o puede ser un archivo PDF adjunto que contiene una URL que lleva a una página de phishing. Finalmente, el atacante también podría usar archivos PDF alojados en OneDrive, que una vez más contienen un enlace a una página de phishing.

La página de destino de phishing está alojada en un servidor controlado por un atacante que aloja un marco de phishing, la mayoría de las veces Evilginx. Ese marco solicita al objetivo la autenticación, reflejando la página de inicio de sesión de un proveedor legítimo, lo que permite al atacante obtener las credenciales del objetivo. Una vez que se capturan esas credenciales, se redirige al usuario a un sitio net o documento para completar la interacción.

Seabordium utiliza estas credenciales para filtrar los correos electrónicos y los archivos adjuntos del objetivo directamente desde su buzón. En algunos casos, el atacante ha configurado reglas de reenvío a una dirección de correo electrónico controlada por el actor. Entre los correos electrónicos de interés para el atacante se encuentran los datos de la lista de correo de grupos privados y confidenciales, como los que utilizan los ex funcionarios de inteligencia.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Más que ciberespionaje

Si bien el principal objetivo de Seabordium es el ciberespionaje, el grupo ha estado involucrado esporádicamente en operaciones de información, según Microsoft.

En mayo de 2021, MSTIC observó que el actor de amenazas compartió documentos robados de una organización política en el Reino Unido. Los documentos se cargaron en un sitio internet público para compartir archivos en PDF, mientras que el actor de amenazas amplificó los documentos a través de sus cuentas de redes sociales. Sin embargo, la amplificación adicional fue mínima.

Un año después, el Grupo de Análisis de Amenazas (TAG) de Google atribuyó una operación de información a ColdRiver/SeaBorgium, según confirmó Microsoft. El actor de amenazas filtró correos electrónicos y documentos de 2018 a 2022, que supuestamente fueron robados de cuentas de correo electrónico pertenecientes a defensores de alto nivel del Brexit.

¿Cómo protegerse de esta amenaza?

Las operaciones típicas de este actor de amenazas apenas varían a lo largo del tiempo y están muy enfocadas en los correos electrónicos. Por lo tanto, se debe configurar el filtrado de correo electrónico y se deben implementar soluciones de seguridad de correo electrónico.

Las soluciones de filtrado también deben habilitarse directamente en el navegador para evitar acceder a una página de phishing conocida.

También se debe emplear la autenticación multifactor (MFA), si es posible, sin depender de la telefonía, ya que los atacantes podrían eludirla. Más bien debería usar implementaciones más seguras, como tokens FIDO o aplicaciones de autenticación.

Los usuarios también deben revisar cuidadosamente los correos electrónicos que reciben y verificar si provienen de la dirección de correo electrónico recurring de su contacto. Si proviene de uno nuevo, debe comunicarse con el contacto de otra manera, como una llamada telefónica, para verificar si realmente proviene de su contacto.

Divulgación: Trabajo para Development Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia initial