Después de nombrar públicamente al Servicio de Inteligencia Exterior de Rusia, o SVR, como el culpable del hackeo de SolarWinds que afectó al menos a nueve agencias federales, un conjunto de agencias de seguridad de Estados Unidos publicó una alerta en la que se describen las técnicas de los hackers y las mejores prácticas para defenderse de ellas.
En una alerta emitida el 26 de abril, el FBI, el Departamento de Seguridad Nacional y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, o CISA, dieron a conocer detalles técnicos sobre los grupos de piratas informáticos rusos que «siguen buscando información de entidades estadounidenses y extranjeras a través de la ciberexplotación, mediante el uso de una serie de técnicas de explotación iniciales que varían en sofisticación, junto con una técnica de intrusión sigilosa dentro de las redes comprometidas».
El grupo tiene como objetivo una variedad de instituciones con información valiosa para la seguridad nacional, pero las agencias gubernamentales son las primeras en la lista.
El grupo de hackers asociados con el Gobierno ruso representa una advanced persistent threat (APT), que ha recibido muchos nombres: APT 29, los Dukes, CozyBear e Yttrium, entre otros. La nueva alerta señala que «los ciberoperadores del SVR son adversarios capaces».
La APT 29 fue identificada por primera vez como un grupo distinto ya en 2008, aunque las agencias estadounidenses advierten que las tácticas de los hackers parecen haber cambiado hace unos años.
«A partir de 2018, el FBI observó que el SVR pasó de usar malware en las redes de las víctimas a dirigirse a los recursos de la nube, particularmente al correo electrónico, para obtener información», señala el comunicado. «Dirigirse a los recursos de la nube probablemente reduce la probabilidad de detección mediante el uso de cuentas comprometidas o configuraciones erróneas del sistema para mezclarse con el tráfico normal o no supervisado en un entorno que no está bien defendido, supervisado o comprendido por las organizaciones víctimas.»
Esta vía se usó para vulnerar el entorno de producción de SolarWinds, lo que permitió a los hackers de APT 29 incrustar código malicioso que luego se enviaría a los usuarios como una actualización segura. A partir de ahí, los hackers fueron capaces de moverse lateralmente a través del sistema, obteniendo credenciales adicionales e incrustándose más profundamente en la red.
Varias de las tácticas adoptadas en esta campaña son similares a otras «operaciones posteriores a la infección» empleadas por los hackers de SVR, «incluida la forma en que los actores adquirieron y gestionaron la infraestructura utilizada en las intrusiones».
Esa infraestructura, que incluye servidores privados virtuales y direcciones de correo electrónico y números de teléfono temporales, suele adquirirse a través de proveedores ubicados en el país objetivo para aumentar la percepción de legitimidad.
La alerta emitida el lunes describe otras técnicas de APT 29, como las siguientes
La pulverización de contraseñas, en la que los atacantes tratan de encontrar contraseñas débiles haciendo muchos intentos. Si bien la técnica puede parecer sencilla (rociar y rezar), los hackers de APT 29 la llevaron a un nuevo nivel.
«Los actores llevaron a cabo la actividad de pulverización de contraseñas de una manera «baja y lenta», intentando un pequeño número de contraseñas a intervalos poco frecuentes, posiblemente para evitar la detección», afirma el comunicado. «El spraying de contraseñas usó un gran número de direcciones IP, todas ubicadas en el mismo país que la víctima, incluyendo las asociadas a direcciones residenciales, comerciales, móviles y The Onion Router (TOR)».
En algunos casos se emplearon exploits de día cero, incluso para obtener acceso a una red privada virtual, o VPN, a través de una vulnerabilidad desconocida en ese momento. Los hackers de APT 29 explotaron la brecha de seguridad para obtener acceso completo a la red, apuntando a sistemas adicionales que no tenían autenticación multifactorial configurada para evitar tal movimiento lateral.
En un caso, la víctima intentó arrancar a los hackers de la red, pero «no había identificado el punto de acceso inicial», lo que permitió a los hackers aprovechar «la misma vulnerabilidad del dispositivo VPN para recuperar el acceso», señala la alerta.
El grupo también se valió de vulnerabilidades conocidas que las organizaciones se olvidaron de parchear para cargar el malware apodado WELLMESS. Esta táctica se vio por primera vez en 2020 para desviar información sobre el desarrollo de la vacuna COVID-19.
«Estas intrusiones, que en su mayoría se dirigieron a los recursos de la red local, apartándose de la táctica histórica y probablemente indican nuevas formas en que los actores están evolucionando en el entorno virtual», dice el aviso.
La alerta incluye detalles adicionales sobre todas las técnicas mencionadas, así como una breve lista de defensas recomendadas para las organizaciones, incluidas las agencias federales.
Las agencias también «recomiendan a los proveedores de servicios que refuercen sus sistemas de validación y verificación de usuarios para prohibir el uso indebido de sus servicios».
Fte. Nextgov