FireEye revela estrategias de hackers rusos

 

El Departamento de Seguridad Interna de Estados Unidos y el FBI confirmaron la investigación realizada por FireEye, el cual indica que el grupo APT28 es responsable por operaciones extensivas en apoyo a los intereses estratégicos rusos, principalmente los relacionados con defensa y geopolítica.

El informe revela mucho más de la posición política asumida por Rusia durante las elecciones presidenciales norteamericanas en 2016, que culminaron con la victoria del candidato republicano Donald Trump. “Ahora el punto más importante es comprender cómo son ejecutadas las operaciones llevadas por Rusia para alterar información – incluyendo intrusiones y ataques – con el objetivo de debilitar instituciones, gobiernos y demás actores que, de acuerdo con la percepción del gobierno ruso, constriñen y condenan sus actividades”.

Activo desde 2007, el grupo APT28 ganó mayor relevancia en los últimos dos años al realizar actividades de intrusión. “Las operaciones destinadas a las elecciones americanas son apenas el último ejemplo de una capacidad poco comprendida que ya fue utilizada contra la OTAN, el gobierno alemán, organizaciones de medios e individuos clave”, concluyó Laura Galante, de FireEye.

Se utiliza un conjunto de malware con características indicativas de losplanos de grupo para operaciones continuas, bien como acceso de grupo a recursos y desarrolladores calificados, realizados con ayuda de un framework modular, ambiente de código formal y capacidad de incorporar análisis de resultados.

Estas herramientas utilizadas para llevar a cabo las operaciones, ponen en evidencia el apoyo del gobierno de Rusia, una vez que el 97% de las muestras de malware fueron compiladas durante los días de la semana de trabajo, el 88% de éstas fueron en el periodo entre las 8 y las 18 horas del uso horarios de ciudades como Moscú y San Petersburgo. Además de eso, los desarrolladores de APT28 construyen malware con configuración en idioma ruso desde 2013.

El ataque se sucede normalmente en cuatro principales formas: infección con malware vía spear-phish; acceso a un webmail vía spear-pish; malware a través de comprometer estratégicamente la web (SWC por sus siglas en inglés); y acceso a servidores de internet. Cada una de estas tácticas suceden en cuatro o cinco etapas hasta que la red de la víctima queda completamente invadida.

La infraestructura usada para controlar las operaciones de APT28 habría sido fácilmente interrumpida por Moscú, en caso de que un gobierno no aprobara las acciones independientes llevadas a cabo solamente por los rusos. Las explicaciones alternativas para el financiamiento de APT28 solo parecen posibles cuando son presentadas para explicar un incidente aislado, y no son creíbles al analizar la totalidad de las operaciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PHP Code Snippets Powered By : XYZScripts.com