Un grupo de hacking malicioso presuntamente patrocinado por actores estatales logró comprometer los sistemas y robar información de múltiples organizaciones gubernamentales de la Federación Rusa. Estos ataques fueron detectados en 2020 aunque fueron revelados hasta esta semana.
Estos ataques fueron descritos en un reporte elaborado por Rostelecom-Solar, la división de ciberseguridad del gigante de las telecomunicaciones en Rusia, en colaboración con el Centro Nacional de Coordinación de Incidentes Informáticos (NKTsKI): “Evaluando a los atacantes en términos de capacitación y competencias, creemos que este es un grupo de hacking a sueldo que colabora con un actor estatal”, señala el reporte.
Las agencias reportan que los hackers emplearon un amplio conjunto de vectores de ataque, incluyendo campañas de spear phishing, abuso de fallas de seguridad en aplicaciones web y el hacking de infraestructura gubernamental. Una vez que conseguían acceso, los hackers realizaban ataques de recolección de información confidencial desde cualquier fuente posible, incluyendo servidores email, estaciones de trabajo, entre otros.
Los atacantes también empleaban dos cepas de malware nunca antes vistas y bautizadas como Mail-O y Webdav-O, que trabajan como backdoors en los hosts infectados para el robo de información privada. Estas variantes de malware permitieron extraer toda clase de datos para controlar la infraestructura alojada en proveedores de servicios en la nube con sede en Rusia.
Estas variantes de malware fueron especialmente diseñadas para evadir las más sofisticadas soluciones antivirus de la firma de seguridad Kaspersky, empleadas en la mayoría de agencias gubernamentales rusas. Los hackers habrían disfrazado el tráfico malicioso como comunicaciones legítimas para aplicaciones como Disk-O y Yandex.Disk de Mail.ru. El informe contiene información más detallada sobre estas variantes de malware y la campaña de hacking completa.
Hasta el momento las autoridades rusas no han atribuido este ataque a ningún país en específico, aunque se esperan más actualizaciones al respecto en las próximas semanas. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.