Estados Unidos dice que piratas informáticos estatales rusos acecharon en redes de contratistas de defensa durante meses

0 Comments


Candado de dibujos animados y vidrios rotos superpuestos a una bandera rusa.
Agrandar / ¿Qué ha pasado con la bandera de Rusia?

Los piratas informáticos respaldados por el gobierno ruso han violado las redes de varios contratistas de defensa de EE. UU. en una campaña sostenida que ha revelado información confidencial sobre la infraestructura de comunicaciones de desarrollo de armas de EE. UU., dijo el miércoles el gobierno federal.

La campaña comenzó a más tardar en enero de 2020 y ha continuado hasta este mes, según un asesoramiento conjunto por el FBI, la Agencia de Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los piratas informáticos han estado apuntando y pirateando con éxito a los contratistas de defensa autorizados, o CDC, que respaldan los contratos para el Departamento de Defensa de EE. UU. y la comunidad de inteligencia.

“Acceso persistente”, “conocimiento significativo”

“Durante este período de dos años, estos actores han mantenido un acceso persistente a múltiples redes de CDC, en algunos casos durante al menos seis meses”, escribieron los funcionarios en el aviso. “En los casos en que los actores han obtenido acceso con éxito, el FBI, la NSA y la CISA han notado una exfiltración regular y recurrente de correos electrónicos y datos. Por ejemplo, durante un compromiso en 2021, los actores de amenazas extrajeron cientos de documentos relacionados con los productos de la empresa, las relaciones con otros países y el personal interno y asuntos legales”.

Los documentos exfiltrados han incluido información no clasificada propiedad de los CDC y controlada por exportación. Esta información le da al gobierno ruso una “perspectiva significativa” sobre los plazos de desarrollo y despliegue de las plataformas de armas de los EE. UU., los planes para la infraestructura de comunicaciones y las tecnologías específicas que utilizan el gobierno y el ejército de los EE. UU. Los documentos también incluyen correos electrónicos no clasificados entre empleados y sus clientes gubernamentales que discuten detalles de propiedad sobre investigación tecnológica y científica.

FBI, NSA, CISA

FBI, NSA, CISA

El aviso decía:

Estas continuas intrusiones han permitido a los actores adquirir información confidencial y no clasificada, así como tecnología patentada y controlada por los CDC. La información adquirida proporciona una visión significativa de los plazos de desarrollo y despliegue de las plataformas de armas de EE. UU., las especificaciones de los vehículos y los planes para la infraestructura de comunicaciones y la tecnología de la información. Al adquirir documentos internos patentados y comunicaciones por correo electrónico, los adversarios pueden ajustar sus propios planes y prioridades militares, acelerar los esfuerzos de desarrollo tecnológico, informar a los responsables de la política exterior sobre las intenciones de EE. UU. y apuntar a posibles fuentes de reclutamiento. Dada la sensibilidad de la información ampliamente disponible en las redes CDC no clasificadas, el FBI, la NSA y la CISA anticipan que los actores cibernéticos patrocinados por el estado ruso continuarán apuntando a los CDC para obtener información de defensa de EE. UU. en el futuro cercano. Estas agencias alientan a todos los CDC a aplicar las mitigaciones recomendadas en este aviso, independientemente de la evidencia de compromiso.

Spear-phishing, enrutadores pirateados y más

Los piratas informáticos han utilizado una variedad de métodos para violar sus objetivos. Los métodos incluyen la recopilación de contraseñas de red a través de phishing selectivo, violaciones de datos, técnicas de craqueo y explotación de vulnerabilidades de software sin parches. Después de obtener un punto de apoyo en una red objetivo, los actores de amenazas escalan sus derechos del sistema mapeando el Active Directory y conectándose a los controladores de dominio. A partir de ahí, pueden filtrar las credenciales de todas las demás cuentas y crear cuentas nuevas.

Los piratas informáticos utilizan servidores privados virtuales para cifrar sus comunicaciones y ocultar sus identidades, agregó el aviso. También utilizan “dispositivos de oficina pequeña y oficina en el hogar (SOHO), como nodos operativos para evadir la detección”. En 2018, Rusia fue atrapada infectando a más de 500,000 enrutadores de consumidores por lo que los dispositivos podrían usarse para infectar las redes a las que estaban conectados, filtrar contraseñas y manipular el tráfico que pasa a través del dispositivo comprometido.

Estas técnicas y otras parecen haber tenido éxito.

“En múltiples instancias, los actores de amenazas mantuvieron el acceso persistente durante al menos seis meses”, indicó el aviso conjunto. “Aunque los actores han utilizado una variedad de malware para mantener la persistencia, el FBI, la NSA y la CISA también han observado intrusiones que no se basan en malware u otros mecanismos de persistencia. En estos casos, es probable que los actores de la amenaza dependieran de la posesión de credenciales legítimas para la persistencia, lo que les permitió pasar a otras cuentas, según fuera necesario, para mantener el acceso a los entornos comprometidos”.

El aviso contiene una lista de indicadores técnicos que los administradores pueden usar para determinar si sus redes se han visto comprometidas en la campaña. Continúa instando a todos los CDC a investigar actividades sospechosas en sus entornos empresariales y de nube.



Source link

Tags: , , , , , , , , , , , ,

Leave a Reply

Your email address will not be published.