Las agencias de inteligencia y seguridad de los Cinco Ojos han publicado una advertencia conjunta en la que detallan las tácticas en constante evolución del grupo de ciberespionaje ruso conocido como APT29 o BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard y The Dukes. Este grupo patrocinado por el estado ruso, afiliado al Servicio de Inteligencia Exterior (SVR) de la Federación Rusa, ha sido responsabilizado anteriormente por el compromiso de la cadena de suministro del software de SolarWinds. Recientemente, han apuntado a otras organizaciones, como Microsoft y Hewlett Packard Enterprise (HPE), con el objetivo de mejorar sus objetivos estratégicos.
Según el boletín de seguridad, el grupo de ciberespionaje ha adaptado sus tácticas a los cambios en el entorno operativo, como la transición de infraestructura a la nube. Entre las tácticas utilizadas se encuentran ataques de fuerza bruta y rociado de contraseñas para obtener acceso a la infraestructura en la nube a través de cuentas inactivas y de servicio y el uso de tokens para acceder a las cuentas de las víctimas sin la necesidad de una contraseña. Además, utilizan técnicas de rociado de contraseñas y reutilización de credenciales para tomar el control de cuentas personales y evitar los requisitos de autenticación multifactor, registrando su propio dispositivo para acceder a la red. Para ocultar sus verdaderos orígenes, el grupo de ciberespionaje utiliza proxies residenciales para que el tráfico malicioso parezca que proviene de direcciones IP dentro del rango de proveedores de servicios de internet (ISP) utilizados para los clientes de banda ancha residencial.
Para protegerse contra las tácticas del grupo de ciberespionaje SVR, las agencias recomiendan que las organizaciones que se han trasladado a la infraestructura en la nube se protejan contra el acceso inicial mediante la implementación de medidas de seguridad efectivas. Además, advierten que una vez que el SVR obtiene acceso inicial, es capaz de desarrollar capacidades altamente sofisticadas de compromiso posterior, como MagicWeb.
Vía The Hacker News
