Los actores de amenazas alineados o respaldados por Rusia han comprometido redes en múltiples organizaciones en el Reino Unido y otros países, incluida al menos una empresa Fortune 500 y más de 15 proveedores de atención médica, y parecen estar usándolas para lanzar ciberataques contra objetivos ucranianos.
Esto es según un nuevo análisis realizado por investigadores de Lupovis, un especialista en ciencia de datos e inteligencia de seguridad cibernética surgido de la Universidad de Strathclyde de Escocia, y graduado del programa NCSC for Startups, que ha desarrollado una plataforma de engaño como servicio para contrarrestar a los actores de amenazas dándoles la vuelta.
El equipo de Lupovis desplegó cinco señuelos encadenados en Internet para atrapar a los atacantes rusos y atraerlos haciéndolos parecer relacionados con organismos gubernamentales ucranianos, funcionarios y objetivos de infraestructura nacional crítica (CNI).
“El hallazgo más preocupante de nuestro estudio es que los ciberdelincuentes rusos han comprometido las redes de múltiples organizaciones globales”, dijo Xavier Bellekens, cofundador y director ejecutivo de Lupovis. “Los delincuentes rusos se están desviando a través de sus redes para lanzar ataques cibernéticos contra objetivos ucranianos, lo que en la práctica significa que están utilizando estas organizaciones para llevar a cabo su trabajo sucio”.
La propia cadena de señuelos comenzó con el llamado señuelo de los archivos de miel, que generaba documentos falsos que contenían información como credenciales y detalles de otros activos críticos de la red, que se filtraban estratégicamente en foros clandestinos clave y canales de Telegram.
Los actores de amenazas que siguieron el rastro fueron conducidos a uno de los dos portales web que imitan objetivos potenciales, configurados para intentar autenticarse de manera insegura en una interfaz de programación de aplicaciones (API). Estos portales condujeron además a servicios de alta interacción y shell seguro (SSH) configurados para aceptar las credenciales falsas de los portales web e informar un ataque si se siguió la cadena completa.
“A través de herramientas cibernéticas basadas en engaños y señuelos, podemos atraer a los actores de amenazas hacia objetivos tentadores y engañarlos para que piensen que están alcanzando algo de valor”, dijo Bellekens. “A través de este reconocimiento, también podemos comprender cómo operan los actores de amenazas y cómo comparten información entre sus pares.
“Los defensores de la seguridad, las organizaciones y los gobiernos pueden usar esta inteligencia para comprender a los actores de amenazas rusos y las técnicas que están desplegando para atacar a las víctimas y comprometer a las organizaciones para que lleven a cabo su trabajo sucio”.
Bellekens dijo que los señuelos atrajeron a tres tipos de adversarios: oportunistas, automatizados, como bots o escáneres; adversarios humanos que encontraron los señuelos por su cuenta, sin seguir el rastro de las migas de pan; y adversarios humanos que abrieron los documentos falsos, extrajeron la información que contenían y mordieron el anzuelo.
Aquellos que caían en las últimas dos categorías fueron etiquetados con indicadores que permitieron al equipo de investigación diferenciar entre bots y humanos, y de los humanos que eran hackers aleatorios o script kiddies, y quiénes eran los adversarios más interesantes que eran el objetivo del ejercicio.
Dijo que la telemetría mostró entre 50 y 60 atacantes humanos en los señuelos, muchos de los cuales accedieron a ellos a los pocos minutos de que se pusieran en marcha. Realizaron una variedad de ataques cibernéticos contra los señuelos, que van desde un simple reconocimiento hasta reclutarlos en botnets al servicio de ataques distribuidos de denegación de servicio (DDoS).
Los señuelos también enfrentaron una serie de ataques DDoS, a menudo bastante feroces, así como intentos de inyección SQL dirigida, inclusión de archivos remotos, explotación de Docker y uso de credenciales ucranianas filtradas y vulnerabilidades y exposiciones comunes conocidas (CVE).
La atribución completa a grupos APT conocidos, Cozy Bear et al, es una propuesta más compleja y actualmente no es posible desde el punto de vista de Lupovis, pero Bellekens dijo que había sido relativamente sencillo identificar a los atacantes como con sede en Rusia o respaldados, según sus tácticas. técnicas y procedimientos (TTP).
Los enlaces a las diversas organizaciones legítimas se demostraron a través de los datos de direcciones IP recopilados durante los ataques cibernéticos entrantes.
“Recopilamos los datos y las direcciones IP de quién está atacando a los señuelos”, dijo Bellekens a Computer Weekly. “Si observa el rango de direcciones IP, que generalmente son relativamente estáticas cuando se asignan a una organización, lo que vemos es qué organización está atacando actualmente al señuelo”.
Pero hay algunas limitaciones a esta técnica. “¿Podemos decir con certeza la organización que ha sido violada? La respuesta es no”, dijo Bellekens.
“Pero, ¿cuáles son las posibilidades de que alguien dentro de una gran organización esté utilizando su tecnología para lanzar una campaña cibernética para Rusia? Para ser sincero, existe la posibilidad de que alguien apoye a Rusia dentro de la organización, pero es muy poco probable”.
Sin embargo, para las organizaciones implicadas, la posibilidad de que hayan sido violadas y tengan actores de amenazas volando bajo su radar en sus redes y usándolas para ataques cibernéticos sin su conocimiento, debería ser excepcionalmente preocupante.
Esto se debe a que significa que están críticamente expuestos a la filtración de datos, la extorsión y los ataques de ransomware, pero también los expone potencialmente a riesgos legales y de cumplimiento.
Bellekens dijo que la evidencia que arrojó su investigación demostró la efectividad del uso de tácticas engañosas contra los ciberdelincuentes.
“Hemos estado construyendo muros durante mucho tiempo”, dijo. “Pero en algún momento, debemos darnos cuenta como comunidad de que dejar que los adversarios vengan a nosotros puede ser parte de la respuesta más amplia.
“En términos más generales, las organizaciones deberían centrarse en tener visibilidad en toda la infraestructura. Lo que hemos visto en estos ataques es que las personas no tienen suficiente visibilidad dentro de su red para detectar este tipo de ataques que se lanzan.
“Esto plantea otras preguntas: si no tiene la capacidad de identificar que se está lanzando un ataque, ¿qué más está sucediendo en su red?”