El FBI y el DHS-CISA advirtieron sobre los grupos de piratas informáticos patrocinados por el estado que apuntan a las organizaciones de grupos de expertos estadounidenses en un aviso conjunto publicado el martes por la noche.
Los actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés) dirigen regularmente sus ataques contra dichas organizaciones y las personas asociadas con ellas que pueden tener un papel importante en la configuración de la política estadounidense y los asuntos internacionales, según las dos agencias federales.
Estado de mayor conciencia recomendado por agencias federales
Los piratas informáticos respaldados por el estado han utilizado una multitud de vectores de infiltración en sus ataques, incluido el spearphishing centrado en cuentas corporativas y personales a través de correo electrónico y servicios de mensajería de terceros, así como la explotación de dispositivos vulnerables de la web y conexiones remotas.
“Los atacantes pueden aprovechar las redes privadas virtuales (VPN) y otras herramientas de trabajo remoto para obtener acceso inicial o persistencia en la red de la víctima”, se lee en el aviso conjunto.
“Cuando tienen éxito, estos enfoques de bajo esfuerzo y alta recompensa permiten a los actores de amenazas robar información confidencial, adquirir credenciales de usuario y obtener acceso persistente a las redes de las víctimas”.
El DHS-CISA y el FBI también aconsejaron a organizaciones e individuos de los sectores de asuntos internacionales y seguridad nacional que “adopten un estado de conciencia elevado”.
También proporcionaron un conjunto de amplias medidas de mitigación para ser implementadas de inmediato por los líderes, el personal y el personal de TI de las organizaciones de think tanks para fortalecer su postura de seguridad y defenderse de los ataques en curso de los grupos de piratería de los estados-nación.
Think tanks bajo un objetivo constante
El FBI también emitió una notificación de la industria privada ‘TLP: BLANCO’ en abril de 2020 con respecto a la persecución continua de los grupos de expertos estadounidenses por parte de grupos APT respaldados por el estado desde al menos 2014, con el objetivo final de obtener acceso y exfiltrar información confidencial.
“Los actores de APT de estado-nación han buscado acceso a organizaciones de think tanks de EE. UU., Que emplean a ex personal del gobierno de los EE. UU. (USG) que continúan interactuando con los funcionarios actuales del USG en políticas políticas, nacionales, extranjeras y económicas, como un medio para recopilar USG sensibles información, sin pasar por alto la necesidad de apuntar directamente a las redes del gobierno de Estados Unidos “, advirtió el FBI.
“El razonamiento detrás de este enfoque de focalización es doble: las redes del USG tienden a ser más seguras y de más difícil acceso, y los esfuerzos de mitigación dentro de las redes del USG han sido históricamente efectivos”.
En los últimos años, los grupos de piratas informáticos han podido infiltrarse y adquirir con éxito información sobre una amplia gama de temas delicados que incluyen, entre otros:
- Temas relacionados con las elecciones de EE. UU.
- Política estadounidense y política exterior
- Intereses / conflictos de Estados Unidos con potencias mundiales en competencia
- Problema de seguridad nacional y toma de decisiones en EE. UU.
- Disuasión cibernética de EE. UU.
- Intereses de EE. UU. Y la OTAN
- Planes de defensa de EE. UU.
Incluso después de eliminar con éxito los APT de la red comprometida de una organización de think tanks, han podido volver a infiltrarlos “en breve” y reanudar la recolección y exfiltración de información confidencial hasta que su actividad maliciosa se detecte y bloquee una vez más, dijo el FBI. [PDF]
Microsoft también advirtió a fines de septiembre sobre los actores del estado-nación detrás de los ataques en curso contra “think tanks enfocados en políticas públicas, asuntos internacionales o seguridad”.
El grupo de amenazas APT29 respaldado por Rusia (también conocido como Cozy Bear y The Dukes) y sus ataques a organizaciones de think-tanks fueron objeto de otra alerta conjunta [1, 2, 3, 4] emitida por agencias nacionales de ciberseguridad de Estados Unidos. , Reino Unido y Canadá emitidos en julio de 2020.
Los ataques anteriores contra los think tanks de EE. UU. En 2017 (APT29) y 2018 (grupo de APT indio Dropping Elephant) fueron informados por Defense One e investigadores de seguridad de Volexity.
