Cyberwarfare / ataques de estado-nación
,
Gestión de fraude y delito cibernético
Los gobiernos occidentales publican advertencia sobre las actividades de la Unidad 26165
David Perera (@Daveperera) •
21 de mayo de 2025
Imagen: Mikhail Zhbankov/Shutterstock
Una serie de agencias de ciberseguridad occidentales advirtieron el miércoles que la inteligencia rusa está dirigida a las compañías de logística y tecnología en una campaña de piratería prolongada que incluye un énfasis en las cámaras conectadas a Internet situadas a lo largo de cruces fronterizos e instalaciones militares.Ver también: Ondemand | Ejército secreto de Corea del Norte y cómo combatirlo
El consultivo Incluye indicadores de compromiso típico de un ataque de la Unidad 26165 de la Dirección de Inteligencia Principal de Rusia. Las firmas de amenaza de Intel rastrean la unidad de diversas maneras como Forest Blizzard, Fancy Bear y Apt 28.
US, British, Canadian, French, German, Danish, Czech, Polish, Estonian and Australian cyber agencies including the US National Security Agency said logistics and IT firms have faced elevated risk of hacking by the Kremlin following its invasion of Ukraine in February 2022. Russian intelligence turned its attention to those firms after a military attempt to quickly vanquish Ukraine failed and Western countries comenzó a entregar ayuda.
Los sectores de transporte aéreo, marítimo y ferroviario han sido objetivos, al igual que los servicios de TI y la industria de defensa. La Unidad 26165 también busca cámaras IP en ubicaciones clave para rastrear el movimiento de materiales hacia Ucrania.
Los piratas informáticos rusos implementan técnicas bien conocidas para obtener acceso, incluida la adivinación de las credenciales de inicio de sesión, utilizando la red Tor o las VPN comerciales para ocultar su infraestructura digital. También envían correos electrónicos de phishing de lanza que conducen a páginas de inicio de sesión falsas, generalmente alojadas en servicios de terceros gratuitos o dispositivos de oficina pequeños comprometidos. Algunas campañas utilizan redirectores de varias etapas como una técnica de ofuscación, lo que lleva a las agencias a sugerir bloquear el tráfico de Internet en los dominios como Mockbin, Webhook y Dynu. «Las excepciones permitidas para la actividad legítima», también dice el aviso.
Los defectos en Outlook son otro vector, incluido un día cero que Microsoft parcheado en marzo de 2023. La vulnerabilidad, rastreada como CVE-2023-23397 Puede activar Windows para transmitir contraseñas de hash enviando una solicitud de cita con mechones de Microsoft Outlook que contenga un parámetro para el sonido que el cliente de correo electrónico debe reproducir cuando la cita está atrasada. En lugar de reproducir un efecto de sonido alegre, el parámetro permite a los piratas informáticos obtener el nombre de inicio de sesión y la contraseña de la víctima (ver: Los hackers militares de Moscú usaron la vulnerabilidad de Microsoft Outlook).
Un defecto de Winrar parcheado en agosto de 2023, además, continúa pagando dividendos en Moscú. Rastreado como CVE-2023-38831el defecto permite a los atacantes subvertir cómo Winrar procesa los archivos .zip para que cuando un usuario haga doble clic en un archivo, el usuario en su lugar abrirá malware (consulte: Hackers de estado nación que explotan Winrar, Google Warns).
Una vez dentro de una red, los piratas informáticos rusos exfiltran las bases de datos de dominio activo y buscan listas de usuarios de Office 365 y elevan el permiso del buzón de una cuenta de víctimas. Inscriben cuentas comprometidas en el mecanismo de autenticación multifactorial «para aumentar el nivel de confianza». Especialmente buscan cuentas que tengan acceso a horarios de trenes o manifiestas de envío.
Las cámaras IP en Ucrania y los estados fronterizos, incluidos Rumania y Polonia, también son objetivos, que los piratas informáticos penetran utilizando credenciales predeterminadas públicamente conocidas y «intentos genéricos de acceso brutado de fuerza».
El presidente de los Estados Unidos, Donald Trump, y el presidente ruso, Vladimir Putin, realizaron una llamada telefónica el lunes para hablar sobre Ucrania, con Trump anuncio Posteriormente, que Rusia y Ucrania «inmediatamente» comenzarán las negociaciones de alto el fuego. Putin según se informa Dijo que la llamada no condujo a un gran avance y empujó a Ucrania a discutir directamente un «posible futuro tratado de paz».
Instituto sin fines de lucro de los Estados Unidos para el Estudio de la Guerra reportado El martes, el Secretario del Consejo de Seguridad de Rusia, Dmitry Medvedev, afirmó que el gobierno ucraniano es ilegítimo, continuando una narrativa de Kremlin de larga data solía justificar una negativa a participar en negociaciones de buena fe con Kiev. Medvedev también afirmó que la anexión del territorio ucraniano es legítima, «subrayando la falta de voluntad de Rusia para hacer negociaciones de concesiones en la paz para poner fin a la guerra en Ucrania».