El gobierno federal dijo el miércoles que piratas informáticos respaldados por el gobierno ruso violaron las redes de varios contratistas de defensa de EE. UU. en una campaña en curso que filtró información confidencial sobre la infraestructura de comunicaciones para el desarrollo de armas de EE. UU.
La campaña comienza a más tardar en enero de 2020 y continúa hasta este mes, según una consulta conjunta entre el FBI, la NSA y la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los piratas informáticos han estado atacando y violando con éxito a los contratistas de defensa aprobados, o CDC, que respaldan los contratos con el Departamento de Defensa de los EE. UU. y la comunidad de inteligencia.
“Acceso persistente”, “Perspectivas vitales”
“Durante el período de dos años, estos actores mantuvieron acceso continuo a múltiples redes de los CDC, en algunos casos durante al menos seis meses”, escribieron los funcionarios en el anuncio. “Después de que los atacantes lograran acceder con éxito, el FBI, la NSA y la CISA han notado filtraciones regulares y recurrentes de correo electrónico y datos. Por ejemplo, en un compromiso en 2021, los actores de amenazas filtraron cientos de copias de productos de la compañía, relaciones con otros países y documentos relacionados con información privilegiada y asuntos legales”.
Los documentos filtrados incluyen información no clasificada patentada por los CDC y controlada por exportaciones. La información le dio al gobierno ruso una “perspectiva significativa” sobre los plazos de desarrollo y despliegue de las plataformas de armas de EE. UU., los planes de infraestructura de comunicaciones y las tecnologías específicas que utilizan el gobierno y el ejército de EE. UU. Los documentos también incluyen correos electrónicos no clasificados entre empleados y sus clientes gubernamentales que discuten detalles de propiedad de tecnología e investigación científica.
La consulta dijo:
Estas intrusiones continuas permiten a los actores obtener acceso a información confidencial no clasificada, así como a tecnologías patentadas y controladas por los CDC. La información obtenida proporciona información importante sobre los plazos de desarrollo y despliegue de la plataforma de armas de EE. UU., las especificaciones de los vehículos y los planes de infraestructura de comunicaciones y tecnología de la información. Al obtener acceso a documentos internos patentados y comunicaciones por correo electrónico, los adversarios pueden ajustar sus propios planes y prioridades militares, acelerar los esfuerzos de desarrollo tecnológico, informar a los responsables de la política exterior sobre las intenciones de los EE. UU. y apuntar a posibles fuentes de reclutamiento. Dada la sensibilidad de la información ampliamente disponible en la red no clasificada de los CDC, el FBI, la NSA y la CISA esperan que los atacantes cibernéticos patrocinados por el estado ruso continúen apuntando a los CDC para obtener información de defensa de los EE. UU. en un futuro próximo. Estas agencias alientan a todos los CDC a aplicar las mitigaciones recomendadas en este boletín, independientemente de la evidencia de compromiso.
Spear phishing, enrutadores pirateados y más
Los piratas informáticos utilizan una variedad de métodos para comprometer sus objetivos. Estos métodos incluyen la obtención de contraseñas de red a través de phishing selectivo, violaciones de datos, técnicas de craqueo y explotación de vulnerabilidades de software sin parches. Después de afianzarse en la red de destino, los actores de amenazas elevan sus privilegios del sistema asignando Active Directory y conectándose a los controladores de dominio. A partir de ahí, pudieron robar las credenciales de todas las demás cuentas y crear nuevas cuentas.
Los piratas informáticos utilizan servidores privados virtuales para cifrar sus comunicaciones y ocultar sus identidades, agregó el anuncio. También utilizan “dispositivos de oficina pequeña y oficina doméstica (SOHO) como nodos operativos para evadir la detección”. En 2018, se descubrió que Rusia infectó más de 500 000 enrutadores de consumidores, por lo que estos dispositivos pueden usarse para infectar las redes a las que se conectan, filtrar contraseñas y manipular el tráfico a través de dispositivos infectados.
Estas y otras técnicas parecen haber tenido éxito.
“En múltiples casos, los actores de amenazas mantuvieron el acceso continuo durante al menos seis meses”, dijo el anuncio conjunto. “Si bien los atacantes usan una variedad de malware para mantener la persistencia, el FBI, la NSA y CISA también han observado intrusiones que no dependen de malware u otros mecanismos de persistencia. En estos casos, es probable que los actores de amenazas confíen en tener Credenciales legítimas para mantener persistencia, lo que les permite cambiar a otras cuentas según sea necesario para mantener el acceso al entorno comprometido”.
El boletín contiene una lista de indicadores técnicos que los administradores pueden usar para determinar si su red está comprometida durante la actividad. Continúa instando a todos los CDC a investigar actividades sospechosas en sus entornos empresariales y de nube.
