Les agències de ciberseguretat i intel·ligència de les nacions que conformen els Five Eyes han publicat un assessorament conjunt que detalla les tàctiques en evolució de l’actor d’amenaces patrocinat per l’estat rus i conegut com a APT29.

Es creu que l’equip de pirates informàtics, també conegut com BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (abans Nobelium) i The Dukes, està afiliat al Servei d’Intel·ligència Exterior (SVR) de la Federació Russa.

Atribuït anteriorment als compromisos de la cadena de subministrament del programari SolarWinds, el grup d’espionatge cibernètic  ha cridat l’atenció en els últims mesos per atacar Microsoft, Hewlett Packard Enterprise (HPE) i altres organitzacions amb la finalitat d’aconseguir els seus objectius estratègics.

«A mesura que les organitzacions continuen modernitzant els seus sistemes i passant a la infraestructura basada en núvol, l’SVR s’ha adaptat a aquests canvis en l’entorn operatiu», segons el butlletí de seguretat.

Aquests canvis inclouen:

• Obtenció d’accés a la infraestructura del núvol mitjançant comptes de servei i inactius mitjançant atacs de força bruta i contrasenyes, allunyant-se de l’explotació de vulnerabilitats de programari a les xarxes locals.

• Ús de tokens per accedir als comptes de les víctimes sense necessitat de contrasenya.

• Aprofitament de les tècniques de polvorització de contrasenyes i reutilització de credencials per prendre el control dels comptes personals, amb la utilització de bombardeig ràpid per evitar els requisits d’autenticació multifactor (MFA) i després registrar el seu propi dispositiu per accedir a la xarxa.

• Dificultar la distinció de connexions malicioses dels usuaris típics mitjançant l’ús de servidors intermediaris residencials per fer que el trànsit maliciós sembli com si provingués d’adreces IP dins dels intervals de proveïdors de serveis d’Internet (ISP) utilitzats pels clients de banda ampla residencial i ocultar els seus veritables orígens.

«Per a les organitzacions que han passat a la infraestructura del núvol, la primera línia de defensa contra un actor com SVR hauria de ser protegir contra els TTP de SVR per a l’accés inicial», van dir les agències. «Una vegada que l’SVR aconsegueix l’accés inicial, l’actor és capaç de desplegar capacitats posteriors al compromís altament sofisticades, com ara MagicWeb».