El Centro Canadiense de Seguridad Cibernética (Cyber Center) ha colaborado con la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y varios socios internacionales para emitir un aviso conjunto sobre actividades cibernéticas patrocinadas por el estado ruso. Este asesoramiento está particularmente dirigido a los proveedores de logística occidentales y las empresas tecnológicas que están involucradas en la asistencia a Ucrania.
Los objetivos de estas actividades cibernéticas incluyen organizaciones gubernamentales y entidades comerciales de los miembros de la OTAN y de Ucrania, así como organizaciones internacionales. Los sectores más afectados son la industria de defensa, centros de transporte como puertos y aeropuertos, el sector marítimo, la gestión del tráfico aéreo y servicios tecnológicos.
La campaña de espionaje cibernético es atribuido a la Unidad Militar 26165, que forma parte de la Dirección de Inteligencia Principal del Estado Mayor Ruso (GRU). Esta unidad es comúnmente reconocida en la comunidad de seguridad cibernética como APT28, también conocida por nombres como "oso elegante", "tormenta de nieve de bosque" o "delta azul".
El grupo utiliza una serie de tácticas, técnicas y procedimientos (TTP) que ya han sido utilizados anteriormente, lo que sugiere un enfoque sistemático y continuado. Entre las TTP empleadas se incluyen:
- Pulverización de contraseña: Un ataque que intenta acceder a múltiples cuentas con una sola contraseña.
- Pesca de lanza (spear phishing): Un método en el que los atacantes envían correos electrónicos diseñados para engañar a las víctimas para que revelen información.
- Modificación de los permisos de buzón de Microsoft Exchange: Alteración no autorizada de los permisos en plataformas de correo electrónico, lo que permite al atacante acceder a información sensible.
El aviso conjunta advierte a los ejecutivos y a quienes defienden las redes de las empresas de logística y tecnología sobre la creciente amenaza que representan estas actividades cibernéticas. Se enfatiza la necesidad de que estas organizaciones:
-
Reconozcan la amenaza: Es crucial que las empresas sean conscientes de que están siendo objetivo de ataques patrocinados por el estado ruso.
-
Ajusten su postura de seguridad cibernética: Se recomienda adoptar medidas de seguridad con la suposición de que se encuentran bajo vigilancia y en riesgo de ataque.
-
Aumenten la monitorización y la caza de amenazas: Elaborar y reforzar los mecanismos de detección de TTP e indicadores de compromiso relacionados con el aviso emitido.
- Implementen acciones de mitigación: Seguir las recomendaciones concretas proporcionadas en el aviso para reducir la exposición y el riesgo de sufrir un ataque.
Este asesoramiento es particularmente urgente considerando que las operaciones cibernéticas del estado ruso están en aumento, aprovechando la situación geopolítica actual. La atención inmediata a estos riesgos y la implementación de estrategias defensivas son esenciales para proteger la infraestructura crítica y la información sensible en estos sectores clave.
En resumen, este aviso conjunto subraya la importancia de una vigilancia cibernética robusta y la necesidad de ser proactivos ante la actividad maliciosa que afecta a entidades comprometidas con la asistencia a Ucrania en su conflicto con Rusia. Las empresas deben mantenerse informadas y aplicar las mejores prácticas en ciberseguridad para mitigar estas amenazas y asegurar sus operaciones.