La NSA informa de los ataques del grupo ruso Fancy Bear

La NSA informa de los ataques del grupo ruso Fancy Bear
Julián Morales
1 minuto
La NSA informa de los ataques del grupo ruso Fancy Bear

Warning: preg_match(): Unknown modifier 'h' in /var/www/vhosts/ateneadigital.es/httpdocs/wp-content/themes/sevenserp-theme/inc/seo/inc/external-links.php on line 156

La Agencia de Seguridad Nacional (NSA), La Agencia de Seguridad Cibernética e Infraestructura (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro Nacional de Seguridad Cibernética (NCSC) han publicado un anuncio conjunto para señalar una campaña global iniciada por el grupo. Oso de lujo (también conocido como APT28 o Strontium y relacionado con Cozy Bear) a mediados de 2019 y aún en curso. Ciberdelincuentes rusos, vinculados a la Dirección Central de Inteligencia (GRU) ataques de «fuerza bruta» para acceder a redes de agencias gubernamentales y empresas privadas.

Fancy Bear: ataques en Europa y Estados Unidos

El comunicado dijo que los ataques se llevaron a cabo contra cientos de objetivos en Europa y Estados Unidos, incluido el gobierno de Estados Unidos y el Departamento de Defensa. Los ciberdelincuentes utilizaron el clúster de Kubernetes para realizar ataques «spray de contraseña«Con el objetivo de acceder a las redes internas una vez identificadas las credenciales mediante técnicas de» fuerza bruta «.

El grupo Fancy Bear ha reunido una serie de técnicas para acceder a archivos y correos electrónicos con dos vulnerabilidades conocidas. Microsoft Exchange (CVE-2020-0688 y CVE-2020-17144) que le permite ejecutar código arbitrario. Para lograr este objetivo, se utilizaron varios protocolos, incluidos HTTP / HTTPS, IMAP / IMAPS, POP3 y NTLM. Los ciberdelincuentes utilizan diversas técnicas de ocultación para detectar ataques.

Los intentos de obtener credenciales de inicio de sesión estaban «enmascarados». Tor o servicios VPN reconocidos, incluidos CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark y WorldVPN. Los ataques anónimos tuvieron lugar entre noviembre de 2020 y marzo de 2021, lo que permitió encontrar algunas direcciones IP del clúster de Kubernetes.

La NSA tiene enumerado Se deben implementar una serie de medidas de seguridad para reducir los riesgos, incluido el cambio de todas las credenciales de inicio de sesión y el uso de autenticación de dos factores.