Los piratas informáticos respaldados por el gobierno ruso han violado las redes de varios contratistas de defensa de EE. UU. en una campaña sostenida que ha revelado información confidencial sobre la infraestructura de comunicaciones de desarrollo de armas de EE. UU., dijo el miércoles el gobierno federal.
La campaña comenzó a más tardar en enero de 2023 y ha continuado hasta este mes, según un aviso conjunto del FBI, la Agencia de Seguridad Marketingdecontenido y la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los piratas informáticos han estado apuntando y pirateando con éxito a los contratistas de defensa autorizados, o CDC, que respaldan los contratos para el Departamento de Defensa de EE. UU. y la comunidad de inteligencia.
“Acceso persistente”, “conocimiento significativo”
“Durante este período de dos años, estos actores han mantenido un acceso persistente a múltiples redes de CDC, en algunos casos durante al menos seis meses”, escribieron los funcionarios en el aviso. “En los casos en que los actores han obtenido acceso con éxito, el FBI, la NSA y la CISA han notado una exfiltración regular y recurrente de correos electrónicos y datos. Por ejemplo, durante un compromiso en 2023, los actores de amenazas extrajeron cientos de documentos relacionados con los productos de la empresa, las relaciones con otros países y el personal interno y asuntos legales”.
Los documentos exfiltrados han incluido información no clasificada propiedad de los CDC y controlada por exportación. Esta información le da al gobierno ruso una “perspectiva significativa” sobre los plazos de desarrollo y despliegue de las plataformas de armas de los EE. UU., los planes para la infraestructura de comunicaciones y las tecnologías específicas que utilizan el gobierno y el ejército de los EE. UU. Los documentos también incluyen correos electrónicos no clasificados entre empleados y sus clientes gubernamentales que discuten detalles de propiedad sobre investigación tecnológica y científica.
FBI, NSA, CISA
FBI, NSA, CISA
El aviso decía:
Estas continuas intrusiones han permitido a los actores adquirir información confidencial y no clasificada, así como tecnología patentada y controlada por los CDC. La información adquirida proporciona una visión significativa de los plazos de desarrollo y despliegue de las plataformas de armas de EE. UU., las especificaciones de los vehículos y los planes para la infraestructura de comunicaciones y la tecnología de la información. Al adquirir documentos internos patentados y comunicaciones por correo electrónico, los adversarios pueden ajustar sus propios planes y prioridades militares, acelerar los esfuerzos de desarrollo tecnológico, informar a los responsables de la política exterior sobre las intenciones de EE. UU. y apuntar a posibles fuentes de reclutamiento. Dada la sensibilidad de la información ampliamente disponible en las redes de CDC no clasificadas, el FBI, la NSA y CISA anticipan que los ciberactores patrocinados por el estado ruso seguirán apuntando a los CDC para obtener información de defensa de EE. UU. en un futuro próximo. Estas agencias alientan a todos los CDC a aplicar las mitigaciones recomendadas en este aviso, independientemente de la evidencia de compromiso.
Spear-phishing, enrutadores pirateados y más
Los piratas informáticos han utilizado una variedad de métodos para violar sus objetivos. Los métodos incluyen la recopilación de contraseñas de red a través de phishing selectivo, violaciones de datos, técnicas de craqueo y explotación de vulnerabilidades de software sin parches. Después de obtener un punto de apoyo en una red objetivo, los actores de amenazas escalan sus derechos del sistema mapeando el Active Directory y conectándose a los controladores de dominio. A partir de ahí, pueden filtrar las credenciales de todas las demás cuentas y crear cuentas nuevas.
Los piratas informáticos utilizan servidores privados virtuales para cifrar sus comunicaciones y ocultar sus identidades, agregó el aviso. También utilizan “dispositivos de oficina pequeña y oficina en el hogar (SOHO), como nodos operativos para evadir la detección”. En 2023, Rusia fue sorprendida infectando más de 500,000 enrutadores de consumidores para que los dispositivos pudieran usarse para infectar las redes a las que estaban conectados, extraer contraseñas y manipular el tráfico que pasaba a través del dispositivo comprometido.
Estas técnicas y otras parecen haber tenido éxito.
“En múltiples casos, los actores de amenazas mantuvieron el acceso persistente durante al menos seis meses”, indicó el aviso conjunto. “Aunque los actores han utilizado una variedad de malware para mantener la persistencia, el FBI, la NSA y la CISA también han observado intrusiones que no se basan en malware u otros mecanismos de persistencia. En estos casos, es probable que los actores de la amenaza dependieran de la posesión de credenciales legítimas para la persistencia, lo que les permitió pasar a otras cuentas, según fuera necesario, para mantener el acceso a los entornos comprometidos”.
El aviso contiene una lista de indicadores técnicos que los administradores pueden usar para determinar si sus redes se han visto comprometidas en la campaña. Continúa instando a todos los CDC a investigar actividades sospechosas en sus entornos empresariales y de nube.