Las empresas y organizaciones públicas se encuentran cada vez más en el foco de los ciberdelincuentes.  Uno de los objetivos preferentes de estos actores maliciosos es la infraestructura basada en la nube, dada su creciente adopción. En este contexto, el grupo de amenazas conocido como APT29 ha demostrado una adaptación notable en sus estrategias de espionaje, apuntando a organizaciones que han trasladado sus operaciones a entornos alojados en la nube y que pertenecen a sectores clave.

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, parte del GCHQ, junto con agencias de Estados Unidos, Australia, Canadá y Nueva Zelanda, han detallado en una nueva advertencia que el grupo de espionaje conocido como APT29 vinculados al Servicio de Inteligencia Extranjera de Rusia (SVR),  ha modificado sus técnicas para obtener más información y beneficios ilícitos, focalizando en sectores que han migrado a la infraestructura basada en la nube. Sectores clave como la salud o la educación, previamente accesibles mediante la explotación de vulnerabilidades de software, ahora presentan desafíos adicionales debido a su transición a la nube.

Nuevas técnicas avanzadas para ciberataques

En lugar de depender de métodos tradicionales, los ciberdelincuentes del SVR han estado en los últimos 12 meses utilizando técnicas avanzadas como el robo de tokens de acceso emitido por el sistema para comprometer cuentas de víctimas, inscribiendo nuevos dispositivos en el entorno en la nube de la víctima mediante la reutilización de credenciales de cuentas personales, y atacando cuentas de sistema específicas con pulverización de contraseñas y fuerza bruta.

Estas tácticas son facilitadas por el uso de contraseñas débiles y la ausencia de verificación en dos pasos (2SV), lo que permite, una vez ganado el acceso inicial, el despliegue de capacidades altamente sofisticadas.

Sectores bajo Amenaza

El NCSC ha detallado previamente cómo los ciberdelincuentes del SVR han dirigido sus ataques hacia objetivos gubernamentales de sectores como la educación, salud y energía.

Estos sectores manejan una gran cantidad de datos personales y confidenciales, en el caso de la salud incluidos también historiales médicos, información financiera y datos personales. La energía es un sector de infraestructura crítica. Un ataque exitoso puede tener consecuencias devastadoras, interrumpiendo servicios esenciales y potencialmente causando daños económicos y de seguridad nacional significativos.

Más recientemente, se ha observado cómo su enfoque ha expandido para incluir aviación, aplicación de la ley, consejos locales y estatales, departamentos financieros gubernamentales y organizaciones militares.

De SolarWinds a la Investigación de Vacunas: La Trayectoria de Ciberataques Globales de APT29

El grupo de ciberespionaje conocido como APT29, también identificado con los alias de Midnight Blizzard, los Dukes, o Cozy Bear, ha estado activo durante varios años y se le atribuye una serie de campañas sofisticadas dirigidas principalmente contra gobiernos occidentales, instituciones políticas, organizaciones de salud, y sectores de investigación. Se cree que APT29 opera bajo el auspicio del Servicio de Inteligencia Exterior de Rusia (SVR). Sus operaciones se caracterizan por su complejidad, discreción y su enfoque estratégico a largo plazo.

Quizás el incidente más conocido asociado con APT29 fue el ataque a SolarWinds en 2020, un sofisticado compromiso de la cadena de suministro que afectó a miles de organizaciones a nivel mundial, incluidos varios departamentos gubernamentales de Estados Unidos. APT29 ha infiltrado malware en las actualizaciones de software de Orion, una plataforma de gestión de redes ampliamente utilizada, lo que les permitió acceder a redes corporativas y gubernamentales sin ser detectados durante meses.

Durante la pandemia de COVID-19, APT29 fue acusado por gobiernos occidentales de llevar a cabo campañas de espionaje dirigidas a organizaciones involucradas en la investigación y el desarrollo de vacunas contra el coronavirus. Estos ataques buscaban acceder a información confidencial sobre la investigación de vacunas y tratamientos, lo que representa un claro ejemplo de cómo el espionaje cibernético también puede tener como objetivo la propiedad intelectual y datos científicos críticos.

 

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre