De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Oso acogedor
FormaciónC. 2008 [1]
TipoAmenaza Persistente Avanzada
PropósitoCiberespionaje , guerra cibernética
Región
Rusia
MétodosSpearphishing , malware
Idioma oficial
ruso
Organización matriz
ya sea FSB o SVR [2] [3]
AfiliacionesOso de lujo
Anteriormente llamado
APT29, Office Monkeys, CozyCar, The Dukes, CozyDuke, Grizzly Steppe (cuando se combina con Fancy Bear )

Cozy Bear , clasificado por el gobierno federal de los Estados Unidos como amenaza persistente avanzada APT29 , es un grupo de hackers rusos que se cree está asociado con una o más agencias de inteligencia de Rusia . El Servicio de Seguridad e Inteligencia General de los Países Bajos (AIVD) dedujo de las imágenes de las cámaras de seguridad que está dirigido por el Servicio de Inteligencia Exterior de Rusia (SVR). [4] La firma de ciberseguridad CrowdStrike también sugirió previamente que podría estar asociada con el Servicio Federal de Seguridad de Rusia (FSB) o SVR. [2]El grupo recibió otros apodos de otras empresas de ciberseguridad, incluidas Office Monkeys , CozyCar , [5] The Dukes (de Volexity) y CozyDuke [6] [7] (de F-Secure ). El 20 de diciembre de 2020 se informó que CozyBear fue responsable de un ciberataque a datos nacionales soberanos de EE. UU., Se cree que fue dirigido por el gobierno ruso. [ cita requerida ]

Métodos y capacidad técnica [ editar ]

Diagrama que describe el proceso de uso de malware de Cozy Bear y Fancy Bear para penetrar objetivos

Kaspersky Lab determinó que las primeras muestras del malware MiniDuke atribuidas al grupo datan de 2008. [1] El código original estaba escrito en lenguaje ensamblador . [8] Symantec cree que Cozy Bear ha estado comprometiendo organizaciones diplomáticas y gobiernos desde al menos 2010. [9]

El malware CozyDuke utiliza una puerta trasera y un gotero . El malware exfiltra datos a un servidor de comando y control . Los atacantes pueden adaptar el malware al entorno. [1] Los componentes de puerta trasera del malware de Cozy Bear se actualizan con el tiempo con modificaciones en la criptografía , la funcionalidad troyana y la antidetección. La velocidad a la que Cozy Bear desarrolla y despliega sus componentes recuerda al conjunto de herramientas de Fancy Bear, que también utiliza las herramientas CHOPSTICK y CORESHELL. [10]

El conjunto de herramientas de malware CozyDuke de Cozy Bear es estructural y funcionalmente similar a los componentes de la segunda etapa utilizados en las primeras operaciones de Miniduke, Cosmicduke y OnionDuke. Un módulo de segunda etapa del malware CozyDuke, Show.dll, parece haberse construido en la misma plataforma que OnionDuke, lo que sugiere que los autores están trabajando juntos o son las mismas personas. [10] Las campañas y los conjuntos de herramientas de malware que utilizan se conocen como los Dukes, incluidos Cosmicduke, Cozyduke y Miniduke. [9] CozyDuke está conectado a las campañas MiniDuke y CosmicDuke, así como a la campaña de ciberespionaje OnionDuke. Cada grupo de amenazas rastrea sus objetivos y usa conjuntos de herramientas que probablemente fueron creados y actualizados por hablantes de ruso. [1]Tras la exposición del MiniDuke en 2013, las actualizaciones del malware se escribieron en C / C ++ y se incluyeron con un nuevo ofuscador . [8]

Se sospecha que Cozy Bear está detrás de la herramienta de acceso remoto 'HAMMERTOSS' que utiliza sitios web comúnmente visitados como Twitter y GitHub para transmitir datos de comandos . [11]

Seaduke es un bajo perfil altamente configurable, Trojan sólo se utiliza para un pequeño conjunto de objetivos de alto valor. Normalmente, Seaduke se instala en sistemas que ya están infectados con CozyDuke, mucho más distribuido. [9]

Ataques [ editar ]

Cozy Bear parece tener diferentes proyectos, con diferentes grupos de usuarios. El foco de su proyecto "Nemesis Gemina" son los sectores militar, gubernamental, energético, diplomático y de telecomunicaciones. [8] La evidencia sugiere que los objetivos de Cozy Bear han incluido entidades comerciales y organizaciones gubernamentales en Alemania, Uzbekistán, Corea del Sur y los Estados Unidos, incluido el Departamento de Estado de los Estados Unidos y la Casa Blanca en 2014. [10]

Monos de oficina (2014) [ editar ]

En marzo de 2014, se descubrió que un instituto de investigación privado con sede en Washington DC tenía Cozyduke (Trojan.Cozer) en su red. Luego, Cozy Bear inició una campaña de correo electrónico para intentar atraer a las víctimas para que hicieran clic en un video flash de monos de oficina que también incluiría ejecutables maliciosos. [9] [1] En julio, el grupo había comprometido las redes gubernamentales y había ordenado a los sistemas infectados por Cozyduke que instalaran Miniduke en una red comprometida. [9]

En el verano de 2014, agentes digitales del Servicio de Seguridad e Inteligencia General de los Países Bajos se infiltraron en Cozy Bear. Descubrieron que estos piratas informáticos rusos tenían como objetivo el Partido Demócrata de Estados Unidos, el Departamento de Estado y la Casa Blanca. Su evidencia influyó en la decisión del FBI de abrir una investigación. [4]

Pentágono (agosto de 2015) [ editar ]

En agosto de 2015, Cozy Bear fue vinculado a un ataque cibernético de phishing contra el sistema de correo electrónico del Pentágono que provocó el cierre de todo el sistema de correo electrónico no clasificado del Estado Mayor Conjunto y el acceso a Internet durante la investigación. [12] [13]

Comité Nacional Demócrata (2016) [ editar ]

En junio de 2016, Cozy Bear estuvo implicado junto con el grupo de hackers Fancy Bear en los ciberataques del Comité Nacional Demócrata . [2] Si bien los dos grupos estaban presentes en los servidores del Comité Nacional Demócrata al mismo tiempo, parecían no estar al tanto del otro, cada uno robando independientemente las mismas contraseñas y duplicando sus esfuerzos. [14] Un equipo forense de CrowdStrike determinó que, si bien Cozy Bear había estado en la red del DNC durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. [15]El oficio más sofisticado de Cozy Bear y el interés en el espionaje tradicional a largo plazo sugieren que el grupo se origina en una agencia de inteligencia rusa separada. [14]

Think tanks y ONG de EE. UU. (2016) [ editar ]

Después de las elecciones presidenciales de Estados Unidos de 2016 , Cozy Bear estuvo vinculado a una serie de campañas de spear phishing coordinadas y bien planificadas contra grupos de expertos y organizaciones no gubernamentales (ONG) con sede en Estados Unidos. [dieciséis]

Gobierno de Noruega (2017) [ editar ]

El 3 de febrero de 2017, el Servicio de Seguridad de la Policía de Noruega (PST, por sus siglas en inglés) informó que se habían realizado intentos de phishing con lanza en las cuentas de correo electrónico de nueve personas en el Ministerio de Defensa , Ministerio de Relaciones Exteriores y el Partido Laborista . Los actos se atribuyeron a Cozy Bear, cuyos objetivos incluían a la Autoridad Noruega de Protección Radiológica , el jefe de sección del PST, Arne Christian Haugstøyl, y un colega no identificado. La primera ministra Erna Solberg calificó los actos como "un grave ataque a nuestras instituciones democráticas". [17] Según los informes, los ataques se llevaron a cabo en enero de 2017 [18].

Ministerios holandeses (2017) [ editar ]

En febrero de 2017, se reveló que Cozy Bear y Fancy Bear habían intentado piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , jefe de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno. [19]

En una sesión informativa al parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano. [20]

Operación Fantasma [ editar ]

Las sospechas de que Cozy Bear había cesado sus operaciones se disiparon en 2019 con el descubrimiento de tres nuevas familias de malware atribuidas a Cozy Bear: PolyglotDuke, RegDuke y FatDuke. Esto muestra que Cozy Bear no cesó sus operaciones, sino que desarrolló nuevas herramientas que eran más difíciles de detectar. Los compromisos de Target que utilizan estos paquetes recién descubiertos se denominan colectivamente Operación Fantasma. [21]

Datos de la vacuna COVID-19 (2020) [ editar ]

En julio de 2020, Cozy Bear fue acusado por la NSA , NCSC y el CSE de intentar robar datos sobre vacunas y tratamientos para COVID-19 que se están desarrollando en el Reino Unido, EE. UU. Y Canadá. [22] [23] [24] [25]

SUNBURST Malware Supply Chain Attack (2020) [ editar ]

Artículo principal: violación de datos del gobierno federal de los Estados Unidos en 2020

El 8 de diciembre de 2020, la firma estadounidense de ciberseguridad FireEye reveló que una colección de sus propias herramientas de investigación de ciberseguridad había sido robada, posiblemente por "una nación con capacidades ofensivas de primer nivel". [26] [27] El 13 de diciembre de 2020, FireEye anunció que las investigaciones sobre las circunstancias de ese robo de propiedad intelectual revelaron "una campaña de intrusión global ... [utilizando] un ataque a la cadena de suministro que utiliza como troyanos las actualizaciones del software empresarial SolarWinds Orion para distribuir malware llamamos SUNBURST .... Esta campaña puede haber comenzado ya en la primavera de 2020 y ... es el trabajo de un actor altamente calificado [que utiliza] una seguridad operativa significativa ". [28] [ fuente promocional? ]

Poco después, SolarWinds confirmó que varias versiones de sus productos de la plataforma Orion se habían visto comprometidas, probablemente por una nación extranjera. [29] El impacto del ataque llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a emitir una directiva de emergencia poco común. [30] [31] Aproximadamente 18.000 clientes de SolarWinds estuvieron expuestos a SUNBURST, incluidas varias agencias federales de EE . UU . [32] Fuentes del Washington Post identificaron a Cozy Bear como el grupo responsable del ataque. [33]

Según Microsoft, [34] los piratas informáticos luego robaron certificados de firma que les permitieron hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del lenguaje de marcado de aserción de seguridad . Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una forma para que los proveedores de identidad intercambien datos de autenticación y autorización con los proveedores de servicios. [35]

Ver también [ editar ]

  • Interferencia de Rusia en las elecciones de Estados Unidos de 2016
  • El complot para hackear América

Referencias [ editar ]

  1. ^ a b c d e "Relación de MiniDuke 'CozyDuke' se dirige a la Casa Blanca" . Tiempos de inteligencia de amenazas . 27 de abril de 2015. Archivado desde el original el 11 de junio de 2018 . Consultado el 15 de diciembre de 2016 .
  2. ^ a b c Alperovitch, Dmitri. "Osos en el medio: intrusión en el Comité Nacional Demócrata" . Blog de CrowdStrike . Consultado el 27 de septiembre de 2016 .
  3. ^ "SEGURIDAD INTERNACIONAL Y ESTONIA" (PDF) . www.valisluureamet.ee . 2018 . Consultado el 15 de diciembre de 2020 .
  4. ↑ a b Huib Modderkolk (25 de enero de 2018). "Las agencias holandesas proporcionan información crucial sobre la interferencia de Rusia en las elecciones estadounidenses" . de Volkskrant .
  5. ^ "¿Quién es COZY BEAR?" . CrowdStrike . 19 de septiembre de 2016.
  6. ^ "Estudio de F-Secure vincula a CozyDuke con el espionaje de alto perfil" (Comunicado de prensa) . 30 de abril de 2015 . Consultado el 6 de enero de 2017 .
  7. ^ "Ciberataques vinculados a la reunión de inteligencia rusa" (Comunicado de prensa) . F-Secure. 17 de septiembre de 2015 . Consultado el 6 de enero de 2017 .
  8. ^ a b c Equipo de análisis e investigación global de Kaspersky Lab (3 de julio de 2014). "Miniduke está de vuelta: Nemesis Gemina y el Botgen Studio" . Securelist .
  9. ^ a b c d e " " Forkmeiamfamous ": Seaduke, última arma en la armería del Duke" . Respuesta de seguridad de Symantec . 13 de julio de 2015.
  10. ^ a b c Baumgartner, Kurt; Raiu, Costin (21 de abril de 2015). "El APT CozyDuke" . Securelist.
  11. ^ "HAMMERTOSS: tácticas sigilosas definen un grupo ruso de amenazas cibernéticas" . FireEye . 9 de julio de 2015 . Consultado el 7 de agosto de 2015 .
  12. ^ Kube, Courtney (7 de agosto de 2015). "Rusia piratea computadoras del Pentágono: NBC, citando fuentes" . Consultado el 7 de agosto de 2015 .
  13. ^ Starr, Barbara (7 de agosto de 2015). "Oficial: Rusia sospecha de intrusión en el servidor de correo electrónico del Estado Mayor Conjunto" . Consultado el 7 de agosto de 2015 .
  14. ^ a b "Oso en oso" . The Economist . 22 de septiembre de 2016 . Consultado el 14 de diciembre de 2016 .
  15. ^ Ward, Vicky (24 de octubre de 2016). "El hombre que lidera la lucha de Estados Unidos contra los piratas informáticos rusos es la peor pesadilla de Putin" . Esquire .
  16. ^ "PowerDuke: campañas de spear phishing generalizadas posteriores a las elecciones dirigidas a los think tanks y las ONG" . Volexidad . 9 de noviembre de 2016.
  17. ^ Stanglin, Doug (3 de febrero de 2017). "Noruega: los piratas informáticos rusos golpean la agencia de espionaje, defensa, partido laborista" . USA Today .
  18. ^ "Norge utsatt para et omfattende hackerangrep" . NRK . 3 de febrero de 2017.
  19. ^ Modderkolk, Huib (4 de febrero de 2017). "Russen faalden bij hackpogingen ambtenaren op Nederlandse ministerios" . De Volkskrant (en holandés).
  20. ^ Cluskey, Peter (3 de febrero de 2017). "Los holandeses optan por el recuento manual después de los informes de piratería rusa" . The Irish Times .
  21. ^ "Operación Fantasma: Los Duques no han vuelto, nunca se fueron" . Investigación de ESET . 17 de octubre de 2019.
  22. ^ "Equipos de la NSA con NCSC, CSE, DHS CISA para exponer los servicios de inteligencia rusos dirigidos a COVID" . Servicio de Seguridad Central de la Agencia de Seguridad Nacional . Consultado el 25 de julio de 2020 .
  23. ^ "Declaración del CSE sobre la actividad de amenazas dirigida al desarrollo de la vacuna COVID-19 - jueves 16 de julio de 2020" . cse-cst.gc.ca . Establecimiento de seguridad de comunicaciones. 14 de julio de 2020 . Consultado el 16 de julio de 2020 .
  24. ^ James, William (16 de julio de 2020). "Rusia intenta piratear y robar datos de la vacuna COVID-19, dice Gran Bretaña" . Reuters Reino Unido . Consultado el 16 de julio de 2020 .
  25. ^ "Reino Unido y sus aliados exponen los ataques rusos sobre el desarrollo de la vacuna contra el coronavirus" . Centro Nacional de Seguridad Cibernética. 16 de julio de 2020 . Consultado el 16 de julio de 2020 .
  26. ^ Sanger, David E .; Perlroth, Nicole (8 de diciembre de 2020). "FireEye, una empresa de ciberseguridad superior, dice que fue pirateado por un Estado-nación" . The New York Times .
  27. ^ agencias, personal de Guardian y (9 de diciembre de 2020). "La firma estadounidense de ciberseguridad FireEye dice que fue pirateada por un gobierno extranjero" . el guardián .
  28. ^ "Atacante altamente evasivo aprovecha la cadena de suministro de SolarWinds para comprometer a múltiples víctimas globales con SUNBURST Backdoor" . FireEye .
  29. ^ "Aviso de seguridad | SolarWinds" . www.solarwinds.com .
  30. ^ "cyber.dhs.gov - Directiva de emergencia 21-01" . cyber.dhs.gov .
  31. ^ "cyber.dhs.gov - Directivas de ciberseguridad" . cyber.dhs.gov .
  32. ^ Cimpanu, Catalin. "Documentos presentados ante la SEC: SolarWinds dice que 18.000 clientes se vieron afectados por un ataque reciente" . ZDNet .
  33. ^ Nakashima, Ellen; Timberg, Craig. "Los piratas informáticos del gobierno ruso están detrás de una amplia campaña de espionaje que ha comprometido a las agencias estadounidenses, incluidas las de Hacienda y Comercio" . Washington Post . ISSN 0190-8286 . Consultado el 14 de diciembre de 2020 . 
  34. ^ [1]
  35. ^ Goodin, Dan; Timberg. "~ 18.000 organizaciones descargaron la puerta trasera plantada por los piratas informáticos de Cozy Bear" . Ars Technica . Consultado el 15 de diciembre de 2020 .