Los grupos hostiles de amenazas persistentes avanzadas (APT, por sus siglas en inglés) alineados con los intereses nacionales de Irán y Rusia están atacando a ciudadanos del Reino Unido, incluidos académicos, activistas, trabajadores de organizaciones benéficas y de ONG, funcionarios de defensa y gubernamentales, periodistas y políticos, con ataques de phishing cuidadosamente elaborados y altamente dirigidos. correos electrónicos, según nueva inteligencia del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
Las campañas distintas pero técnicamente similares se atribuyen con relativa confianza al TA453 de Irán, que también se conoce como Charming Kitten, entre otros nombres, y al Seabordium de Rusia, que también se conoce como Cold River y recientemente se vinculó a un ataque contra el exjefe del MI6 Richard Dearlove y un grupo de defensores duros del Brexit y un incidente contra científicos nucleares estadounidenses.
Se sospecha, aunque no ha sido confirmado por el NCSC, que el patrón continuo de actividad cibernética está relacionado con la recopilación de inteligencia en apoyo de los objetivos de los supuestos pagadores gubernamentales de las APT en Teherán y Moscú.
Es de escala relativamente pequeña y no representa una amenaza inmediata para la mayoría del público británico en el gran esquema de las cosas, según el director de operaciones del NCSC, Paul Chichester, quien dijo que fue más la sofisticación de los ataques, en lugar de el volumen, eso era una preocupación.
“El Reino Unido se compromete a exponer la actividad cibernética maliciosa junto con nuestros socios de la industria, y este aviso crea conciencia sobre la amenaza persistente que representan los ataques de phishing”, dijo.
“Estas campañas de actores de amenazas con sede en Rusia e Irán continúan persiguiendo despiadadamente a sus objetivos en un intento de robar credenciales en línea y comprometer sistemas potencialmente sensibles.
“Recomendamos encarecidamente a las organizaciones e individuos que se mantengan atentos a los posibles enfoques y sigan los consejos de mitigación en el aviso para protegerse en línea”.
El NCSC está emitiendo hoy un nuevo aviso dirigido directamente a las posibles víctimas, algo que generalmente solo hace cuando está relativamente seguro de que existe una necesidad urgente de llevar a cabo actividades de divulgación hacia organizaciones o personas vulnerables, por lo que vale la pena señalar sus hallazgos.
Las dos campañas de spear-phishing observadas despliegan elementos relativamente similares de comercio cibernético, particularmente cuando se trata de técnicas de spear-phishing.
El contacto generalmente parecerá benigno y puede parecer que se origina en contactos legítimos, ya que los grupos buscan ganarse la confianza de sus posibles víctimas. Los señuelos observados incluían invitaciones falsas a conferencias o eventos.
Se están realizando acercamientos a través de correo electrónico, redes sociales y redes profesionales, pero, en particular, en este caso, se ha visto que TA453 y Seabordium apuntan a las cuentas de correo electrónico personales de sus víctimas, a diferencia de las cuentas de trabajo oficiales.
El NCSC cree que esta táctica puede presentar una ruta más fácil para los atacantes, aprovechándose de que las personas se inclinan más a confiar en las personas a las que les han dado su dirección de correo electrónico personal, o están menos en guardia cuando usan servicios personales. También puede ayudarlos a eludir los controles de seguridad del correo electrónico que pueden existir en las redes organizacionales.
La correspondencia por correo electrónico también puede parecer parte de un hilo en curso y, en algunos casos, se ha observado que estos grupos adoptan múltiples personajes para crear hilos de correo electrónico convincentes, lo que ayuda a construir una relación y presenta una narrativa que la víctima puede estar más inclinada. responder a.
Compartir contenido malicioso
En última instancia, el objetivo de las campañas es compartir documentos maliciosos o enlaces a sitios web de phishing que pueden conducir al robo y compromiso de credenciales posteriores. En las campañas observadas, muchos de estos enlaces se disfrazaron como URL de reunión de Zoom.
El NCSC enfatizó que si bien las dos campañas comparten muchas similitudes, no ha encontrado evidencia de que estén vinculadas o que TA453 y Seabordium hayan estado colaborando.
El NCSC recomienda a las personas que trabajan en industrias específicas que estén particularmente atentas y adopten un conjunto de principios básicos de seguridad cibernética que pueden reducir enormemente sus posibilidades de verse comprometidos.
Estos incluyen el uso de contraseñas seguras y separadas en todas las cuentas de correo electrónico, la activación de la autenticación de múltiples factores siempre que sea posible, el mantenimiento de dispositivos y redes parcheados y actualizados, la habilitación de funciones de escaneo de correo electrónico automatizado de los proveedores y la desactivación del reenvío de correo. Además, como siempre, es importante mantener un grado saludable de escepticismo al abrir correos electrónicos inesperados, incluso si parecen ser de un contacto cercano.
El Centro para la Protección de la Infraestructura Nacional también mantiene una aplicación, Think Before You Link, que puede ayudar a las personas a identificar perfiles en línea maliciosos y reducir el riesgo de ser atacados.