Microsoft ha descubierto que grupos de piratas informáticos rusos, a los que se les conoce por usar paquetes de troyanos como Turla, Waterbug, Snake y Venomous Bear, están recurriendo a prácticas inusuales para acceder a la información de sus adversarios. Con el objetivo de conocer los movimientos de los ucranianos, los soldados rusos se han apropiado de la infraestructura de otros actores de amenazas. Esta la han utilizado para infectar los aparatos utilizados por los militares ucranianos en el frente.
Al menos en dos ocasiones (marzo y abril de 2024), han utilizado servidores y malwares de otros grupos de amenazas para ciberataques contra las fuerzas ucranianas situadas en primera línea. Por ejemplo, una vez uno de los grupos (al que Microsoft ha apodado Secret Blizzard) aprovechó la infraestructura de unos ciberdelincuentes denominados Stom-1919. En concreto, utilizaron el virus informático Amadey, muy eficaz para acceder a dispositivos específicamente asociados con el ejército ucraniano.
Microsoft también ha encontrado indicios de que Secret Blizzard utilizó en enero de 2024 otro actor de amenazas (Strom-1837). En este caso, servía para atacar a los drones militares ucranianos, al descargar las puertas traseras Tavdig y KazuarV2 en un dispositivo objetivo en Ucrania. Los investigadores de Microsoft desconoce cómo este grupo de piratas informáticos ruso tuvo acceso a la infraestructura de ciberdelincuentes. Sin embargo, los descubrimientos indican que los rusos están recurriendo a rutas inusuales para rastrear dispositivos conectados a Starlink durante su invasión a Ucrania.
After co-opting the tools and infrastructure of another nation-state threat actor to facilitate espionage activities, Russian nation-state actor Secret Blizzard used those resources to compromise targets in Ukraine. https://t.co/DUgssiyOkI
— Microsoft Threat Intelligence (@MsftSecIntel) December 11, 2024
Detrás del grupo de piratas informáticos Secret Blizzard
El grupo de hackers ruso Secret Blizzard se ha hecho muy conocido durante la guerra entre Rusia y Ucrania por atacar a varios sectores ucranianos. Entre ellos, destacan sus ataques a ministerios de asuntos exteriores, embajadas, oficinas gubernamentales, departamentos de defensa y empresas relacionadas con la defensa en todo el mundo.
Según explica Microsoft, el grupo se centra «en obtener acceso a largo plazo a sistemas para la recopilación de inteligencia». Frecuentemente, consiguen buscar información avanzada y de importancia política. Por lo general, lo hacen con troyanos como Turla, Waterbug, Venomous Bear, Snake, Turla Team y Turla APT Group. Pero ahora están recurriendo a otros recursos.
Microsoft está llevando a cabo un seguimiento de los métodos usados por Secret Blizzart. Conforme va detectando ataques o dispositivos comprometidos, avisa a los clientes. De este modo, ellos pueden protegerse. Pero la actividad inusual que Secret Blizzard es difícil de predecir y, por ello, han compartido algunos hallazgos realizados a lo largo de este año, para generar conciencia sobre las nuevas técnicas y que las organizaciones fortalezcan sus sistemas.
El personal militar ucraniano, el blanco de la diana de los hackers rusos
Microsoft Threat Intelligence está evaluando «la búsqueda por parte de Secret Blizzard de puntos de apoyo proporcionados o robados a otros actores de amenazas». Según expresan los investigadores, priorizan que las infraestructuras de hackeo sirvan para acceder a «dispositivos militares en Ucrania», que funcionan con conexión a Starlink.
En los casos detectados en marzo y abril, en los que se utilizó el bot Amadey de Strom-1919, suele usarse en ataques de la app de criptomonedas XMRIG en servidores específicos, en campañas de cryptojacking. Los ciberdelincuentes utilizan este malware para extraer monedas digitales de las víctimas. Sin embargo, Secret Blizzar dio otro uso a Amadey, para descargar un dropper de PowerShell en los dispositivos objetivo ucranianos. En el dropper, había «una carga útil de Amadey codificada en Base64 con un código adjunto que invocaba una solicitud a la infraestructura C2 de Secret Blizzard».
El objetivo final de los piratas rusos era instalar el malware Tavdig, que servía para realizar tareas de reconocimiento de objetivos de interés. De este modo, Secret Blizzard recopilaba información de los portapapeles de los dispositivos y extraía contraseñas de los navegadores. La herramienta era capaz de detectar los aparatos que más interesaban a los hackers, como los que salían de direcciones IP de Starlink.
Que el grupo de piratas informáticos se centrase en este Internet satelital se debe a que es el más común para usar en los dispositivos militares de primera línea en Ucrania. Solo cuando Secret Blizzard detectaba que el aparato detectado era un objetivo de alto valor, instalaban Tavdig para recopilar información del usuario, netstat, parches instalados… Además de enfocarse en dispositivos militares ucranianos, Microsoft también está investigando la posibilidad de que hayan tratado de acceder a la información de ministerios del país enemigo.
Fuente: adslzone