El grupo APT 28, también conocido como Fancy Bear o Sofacy, el cual en el 2016 hackeó al Comité Nacional Demócrata, cuenta con una nueva herramienta de phishing en su arsenal, según los hallazgos de la firma de seguridad Palo Alto Networks. El troyano, oculto en un documento adjunto malicioso, utiliza algunas técnicas clásicas para enviar información sobre un sistema de destino a un servidor remoto, pero la herramienta ha sido rediseñada para su uso actual.
APT 28 es conocido por evolucionar constantemente sus herramientas y que recurre a métodos que han pasado de moda para crear algo nuevo que vuela bajo el radar. Su nuevo troyano “Cannon”, que Palo Alto vio durante los ataques a fines de octubre y principios de noviembre, hace ambas cosas. El malware se comunica con su servidor de comando y control a través de correos electrónicos enviados mediante una conexión encriptada, por lo que no se pueden leer en el camino. Los piratas informáticos utilizan todo tipo de esquemas de comunicación para comando y control, como ocultar comunicaciones en el tráfico de red habitual de una víctima, participar en servicios web comprometidos o manipular las solicitudes de protocolo de Internet normales. El uso del correo electrónico para esta comunicación es una técnica que fue muy popular hace varios años, pero se desvaneció en gran medida hasta su reaparición.
“Los actores se alejaron probablemente porque la técnica se hizo más conocida”, dice Miller-Osborn. “Encaja con la reorganización constante de Sofacy. No es raro verlos salir con una nueva variante o una familia de malware totalmente nueva”.
Los investigadores de Palo Alto Networks solo han encontrado una muestra del documento malintencionado Cannon hasta el momento, pero fue parte de una campaña de phishing APT 28 más amplia que observaron que se enfocó en objetivos gubernamentales en América del Norte, Europa y un antiguo estado de la URSS que la empresa se negó a nombrar.
Mientras tanto, los investigadores de FireEye observaron una extensa campaña de phishing lanzada la semana pasada que parece provenir de hackers APT 29, también llamados Cozy Bear. El grupo participó en el DNC y otros trucos durante las elecciones presidenciales de 2016 en los EE. UU. Y luego pasó a otros piratas informáticos del gobierno internacional, pero parece que está inactivo desde algún momento de 2017.
En parte debido a ese largo período de inactividad, es difícil decir con certeza que es el mismo grupo que está resurgiendo ahora. Pero después de profundizar en la ola de ataques, FireEye dice que es probable que Cozy Bear esté detrás de ella.
“Hace tanto tiempo que no los vemos que esto me sorprendió”, dice Matthew Dunwoody, investigador principal de seguridad en FireEye. “Este es un grupo que históricamente ha sido muy innovador en la forma en que han hecho las cosas. Algunos otros grupos intentan ser muy bajos y lentos sobre cómo lanzan un ataque. Pero a veces ser muy ruidoso y usar eso como cobertura para tus actividades más discretas también puede funcionar, especialmente si eres Rusia y no estás tan preocupado necesariamente por las repercusiones “.
APT 29 ha utilizado este estilo bullicioso para perseguir una serie de objetivos internacionales en las últimas semanas, incluidos think tanks, medios de comunicación, transporte, grupos farmacéuticos, agencias de aplicación de la ley, contratistas de defensa y grupos militares de los EE. UU. Los atacantes se centran en muchas víctimas, tanto grupos como personas individuales, a las que se han dirigido en el pasado, y sus ataques a esta campaña están diseñados para individuos, en lugar de llegar al azar a personas dentro de una organización.
Los mensajes de phishing están diseñados para que parezcan provenir del Departamento de Estado de EE. UU., Aunque FireEye enfatiza que no hay evidencia de que el Departamento de Estado haya comprometido las cuentas. Los mensajes contienen enlaces maliciosos que inician la descarga de una puerta trasera de Windows, el popular malware llamado Cobalt Strike que es utilizado por numerosos grupos de piratería diferentes. Dunwoody dice que APT 29 se basa tradicionalmente en malware personalizado, pero podría estar pasando a explotaciones comerciales como parte de una tendencia criminal más grande hacia el uso de herramientas más genéricas que ya están disponibles.
“Definitivamente prepararon esto con cuidado y se tomaron su tiempo, y parece que son objetivos seleccionados”, dice Dunwoody. “Muchos atacantes perseguirán a la persona que creen que es más probable que haga clic en un enlace, mientras que APT 29 tiene un historial de perseguir a individuos específicos para aumentar las probabilidades de obtener realmente los datos que están buscando”.
Es posible que las similitudes entre la campaña de phishing que observó FireEye y los movimientos pasados del APT 29 sean falsas, plantadas para hacer que la actividad parezca piratería patrocinada por el estado ruso cuando en realidad es otra cosa. Pero Dunwoody dice que FireEye quería publicar su evidencia para que otros investigadores puedan evaluar la atribución al APT 29.
En conjunto, los dos informes sugieren que, a pesar de los esfuerzos recientes de los EE. UU. Para controlar la actividad de piratería en Rusia a raíz de las elecciones de 2016, incluida una acusación detallada relacionada con sus actividades, y decirles a los piratas informáticos que no lo hagan, no han disuadido por completo al GRU .
“Estamos viendo que APT 28 continúa haciendo phishing”, dice Dunwoody. “Eso no debería sorprender a nadie”.
