Aquest document és un Assessorament Conjunt de Ciberseguretat (CSA) que destaca una campanya cibernètica patrocinada per l’estat rus, dirigida principalment a entitats logístiques i empreses tecnològiques occidentals. Aquesta campanya és duta a terme per la Direcció d’Intel·ligència de l’Estat Major de Rússia (GRU), concretament el Centre Espacial Principal 85 (85 GTsSS), unitat militar 26165, coneguda també per diversos noms a la comunitat de ciberseguretat com ara APT28, Fancy Bear, Forest Blizzard, i BlueDelta.

 

Des del 2022, aquestes entitats logístiques i empreses de TI han estat sota un risc elevat d’atac, especialment aquelles involucrades en la coordinació, transport i lliurament d’assistència estrangera a Ucraïna. La campanya fa servir una combinació de tàctiques, tècniques i procediments (TTP) ja coneguts, i es preveu que continuï amb una orientació i ús similars de TTP.

 

Els executius i responsables de la defensa de la xarxa d’aquestes entitats han de reconèixer l’alta amenaça que representa la unitat 26165 i augmentar la vigilància i la recerca d’amenaces per a TTP i indicadors de compromís (IOC) coneguts, i alhora posicionar les defenses de la xarxa amb una presumpció d’atac. Aquesta campanya no només afecta empreses tecnològiques i entitats logístiques, sinó que també es relaciona amb objectius a gran escala, com ara càmeres IP a Ucraïna i als països fronterers de l’OTAN.

 

Aquest CSA s’ha publicat com a resultat de la col·laboració d’agències de seguretat i intel·ligència de diversos països, incloses:

• Agència de Seguretat Nacional dels Estats Units (NSA)
• Oficina Federal d’Investigacions dels Estats Units (FBI)
• Centre Nacional de Ciberseguretat del Regne Unit (NCSC-UK)
• Servei Federal d’Intel·ligència d’Alemanya (BND)
• Oficina Federal Alemanya de Seguretat de la Informació (BSI)
• Oficina Federal Alemanya per a la Protecció de la Constitució (BfV)
• Intel·ligència militar de la República Txeca (VZ)
• Agència Nacional de Ciberseguretat i Informació de la República Txeca (NÚKIB)
• Servei d’informació de seguretat de la República Txeca (BIS)
• Agència de Seguretat Interna de Polònia (ABW)
• Servei de contraintel·ligència militar de Polònia (SKW)
• Agència de Ciberseguretat i Seguretat de la Infraestructura dels Estats Units (CISA)
• Centre de crims cibernètics del Departament de Defensa dels Estats Units (DC3)
• Comandament cibernètic dels Estats Units (USCYBERCOM)
• Centre de seguretat cibernètica d’Austràlia de la Direcció de Senyals d’Austràlia (ACSC d’ASD)
• Centre canadenc per a la ciberseguretat (CCCS)
• Servei d’Intel·ligència de Defensa Danès (DDIS)
• Servei d’Intel·ligència Estrangera d’Estònia (EFIS)
• Centre Nacional de Ciberseguretat d’Estònia (NCSC-EE)
• Agència Francesa de Ciberseguretat (ANSSI)
• Servei d’Intel·ligència i Seguretat de Defensa dels Països Baixos (MIVD)

 

Durant més de dos anys, el GRU 85 GTsSS rus, la unitat militar 26165, ha estat duent a terme aquesta campanya fent servir una combinació de tàctiques, tècniques i procediments coneguts que inclouen capacitats de polvorització de contrasenyes reconstituïdes, pesca dirigida, i modificació de contrasenyes de la bústia de Microsoft Exchange. A finals de febrer de 2022, diversos actors cibernètics patrocinats per l’estat rus van augmentar la varietat d’operacions cibernètiques amb finalitats d’espionatge, destrucció i influència, amb la unitat 26165 principalment involucrada en l’espionatge. Com que les forces militars russes no van assolir els seus objectius militars i els països occidentals van proporcionar ajuda per donar suport a la defensa territorial d’Ucraïna, la unitat 26165 va ampliar els seus atacs a les entitats logístiques i les empreses tecnològiques implicades en el lliurament d’ajuda. Aquests actors també han atacat càmeres connectades a Internet als passos fronterers d’Ucraïna per controlar i fer un seguiment dels enviaments d’ajuda.

 

La campanya cibernètica de la unitat GRU 26165 contra proveïdors de logística i empreses tecnològiques occidentals s’ha dirigit a desenes d’entitats, incloses organitzacions governamentals i entitats privades/comercials en pràcticament tots els modes de transport: aeri, marítim i ferroviari. Aquests actors han atacat entitats associades amb els sectors següents dins dels estats membres de l’OTAN, Ucraïna i organitzacions internacionals:

• Indústria de Defensa
• Centres logístics i sector del transport (ports, aeroports, etc.)
• Sector marítim
• Gestió del trànsit aeri
• Serveis informàtics

En el transcurs del cicle de vida dels atacs, els actors de la unitat 26165 van identificar i van dur a terme activitats de seguiment d’entitats addicionals del sector del transport que tenien vincles comercials amb l’objectiu principal, tot aprofitant les relacions de confiança per intentar obtenir un accés addicional. Els actors també van realitzar reconeixements d’almenys una entitat implicada en la producció de components del sistema de control industrial (ICS) per a la gestió del ferrocarril, tot i que no es va confirmar que tinguessin èxit.

 

Els països amb entitats atacades inclouen Bulgària, República Txeca, França, Alemanya, Grècia, Itàlia, Moldàvia, Països Baixos, Polònia, Romania, Eslovàquia, Ucraïna i els Estats Units.

 

Per obtenir l’accés inicial a les entitats objectiu, els actors de la unitat 26165 van utilitzar diverses tècniques, incloses l’endevinació de credencials / força bruta, pesca dirigida per a credencials o programari maliciós, vulnerabilitats d’Outlook NTLM i Roundcube, explotació de la infraestructura orientada a Internet, i explotació de la vulnerabilitat WinRAR. També van abusar de vulnerabilitats associades a dispositius d’oficina/oficina a casa (SOHO) per facilitar operacions cibernètiques encobertes.

 

Després d’un compromís inicial, els actors van realitzar un reconeixement de la informació de contacte per identificar objectius addicionals, incloent-hi reconeixements del departament de ciberseguretat, persones responsables de la coordinació del transport, i altres empreses que col·laboren amb l’entitat víctima. Van fer servir ordres natives i eines de codi obert com Impacket i PsExec per moure’s lateralment dins de l’entorn i van fer servir el protocol d’escriptori remot (RDP) per accedir a amfitrions addicionals i intentar abocar les bases de dades de domini Active Directory NTDS.dit.

 

La indústria de la ciberseguretat proporciona informació sobre amenaces cibernètiques, IOC i recomanacions de mitigació que se superposen que estan en relació amb els ciberactors de la unitat 26165 de la GRU. Tot i que no ho abasten tot, tot seguit indiquem els noms de grups d’amenaces més destacats relacionats amb MITRE ATT&CK G0007 i que s’utilitzen habitualment dins de la comunitat de ciberseguretat:

 

• APT28 [14]
• Fancy Bear [14]
• Forest Blizzard [14]
• Blue Delta [15]

 

Si voleu saber-ne més feu clic a l’enllaç.