imágenes falsas
Hewlett Packard Enterprise (HPE) dijo el miércoles que actores respaldados por el Kremlin piratearon las cuentas de correo electrónico de su personal de seguridad y otros empleados en mayo pasado y mantuvieron acceso subrepticio hasta diciembre. La revelación fue la segunda revelación de una importante violación de la red corporativa por parte del grupo de piratas informáticos en cinco días.
El grupo de hackers que afectó a HPE es el mismo que Microsoft dijo el viernes irrumpió en su red corporativa en noviembre y monitoreó cuentas de correo electrónico de altos ejecutivos y miembros del equipo de seguridad hasta que fue expulsado a principios de este mes. Microsoft rastrea al grupo como Midnight Blizzard. (Según la convención de nomenclatura de actores de amenazas recientemente retirada de la compañía, que se basaba en elementos químicos, el grupo era conocido como Nobelium). Pero quizás sea más conocido por el nombre Cozy Bear, aunque los investigadores también lo han apodado APT29, los Dukes, Cloaked. Osa y Halo Oscuro.
“El 12 de diciembre de 2023, se notificó a Hewlett Packard Enterprise que un presunto actor estatal, que se cree que es el actor de amenazas Midnight Blizzard, el actor patrocinado por el estado también conocido como Cozy Bear, había obtenido acceso no autorizado al correo electrónico basado en la nube de HPE. medio ambiente”, escribieron los abogados de la empresa en un presentación con la Comisión de Bolsa y Valores. “La Compañía, con la asistencia de expertos externos en ciberseguridad, activó inmediatamente nuestro proceso de respuesta para investigar, contener y remediar el incidente, erradicando la actividad. Según nuestra investigación, ahora creemos que el actor de amenazas accedió y extrajo datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecen a personas en nuestros segmentos de ciberseguridad, comercialización, negocios y otras funciones”.
Un representante de HPE dijo en un correo electrónico que la entrada inicial de Cozy Bear a la red se realizó a través de “una cuenta de correo electrónico interna de HPE Office 365 comprometida”. [that] fue aprovechado para obtener acceso”. El representante se negó a dar más detalles. El representante también se negó a decir cómo HPE descubrió la infracción.
Cozy Bear se abrió paso en los sistemas de correo electrónico de dos de las empresas más poderosas del mundo y monitoreó las cuentas de los principales empleados durante meses no son las únicas similitudes entre los dos eventos. Ambas violaciones también involucraron el compromiso de un solo dispositivo en cada red corporativa, y luego extendieron ese control a la red misma. A partir de ahí, Cozy Bear acampó sin ser detectado durante meses. La intrusión de HPE fue aún más impresionante porque la divulgación del miércoles decía que los piratas informáticos también obtuvieron acceso a los servidores de Sharepoint en mayo. Incluso después de que HPE detectara y contuviera esa infracción un mes después, le tomaría otros seis meses descubrir las cuentas de correo electrónico comprometidas.
El par de revelaciones, que se produjeron con cinco días de diferencia entre sí, pueden crear la impresión de que ha habido una oleada reciente de actividad de piratería. Pero Cozy Bear en realidad ha sido uno de los grupos de estados-nación más activos desde al menos 2010. En los 14 años transcurridos, ha llevado a cabo una serie casi constante de ataques, principalmente contra las redes de organizaciones gubernamentales y las empresas de tecnología que las suministran. Múltiples servicios de inteligencia y empresas privadas de investigación han atribuido al grupo de hackers como un brazo del Servicio de Inteligencia Exterior de Rusia, también conocido como SVR.
La vida y la época de Cozy Bear (hasta ahora)
En sus primeros años, Cozy Bear operó en relativa oscuridad (precisamente el dominio que prefiere), ya que pirateó principalmente agencias gubernamentales occidentales y organizaciones relacionadas, como grupos de expertos políticos y subcontratistas gubernamentales. En 2013, investigadores de la firma de seguridad Kaspersky descubrieron MiniDuke, un sofisticado malware que se había apoderado de 60 agencias gubernamentales, grupos de expertos y otras organizaciones de alto perfil en 23 países, incluidos EE. UU., Hungría, Ucrania, Bélgica y Portugal. .
MiniDuke se destacó por su extraña combinación de programación avanzada y las referencias gratuitas a la literatura que se encuentran integradas en su código. (Contenía hilos que aludían a la obra de Dante Alighieri Divina Comedia y al 666, la Marca de la Bestia discutida en un versículo del Libro del Apocalipsis). Escrito en ensamblador, empleando múltiples niveles de encriptación y confiando en cuentas de Twitter secuestradas y búsquedas automatizadas en Google para mantener comunicaciones sigilosas con comando y control. servidores, MiniDuke estaba entre las piezas de malware más avanzadas encontradas en ese momento.
No quedó claro de inmediato quién estaba detrás del misterioso malware, otro testimonio del sigilo de sus creadores. Sin embargo, en 2015, los investigadores vincularon MiniDuke (y otras siete piezas de malware no identificadas previamente) con Cozy Bear. Después de media década de acechar, el grupo en sombras salió repentinamente a la luz del día.
Cozy Bear una vez más saltó a la fama el año siguiente cuando los investigadores descubrieron al grupo (junto con Fancy Bear, un grupo de piratería independiente del estado ruso) dentro de los servidores del Comité Nacional Demócrata, buscando información de inteligencia como la investigación de la oposición sobre Donald Trump, el Candidato republicano a la presidencia en ese momento. El grupo de piratas informáticos resurgió en los días posteriores a la victoria electoral de Trump ese año con un importante bombardeo de phishing dirigido a docenas de organizaciones gubernamentales, militares, contratistas de defensa, medios de comunicación y otras industrias.
Uno de los mayores logros de Cozy Bear se produjo a finales de 2020 con el descubrimiento de un extenso ataque a la cadena de suministro dirigido a los clientes de SolarWinds, el fabricante de herramientas de gestión de redes de Austin, Texas. Después de comprometer el sistema de compilación de software de SolarWinds, el grupo de piratas informáticos envió actualizaciones infectadas a aproximadamente 18.000 clientes. Luego, los piratas informáticos utilizaron las actualizaciones para comprometer nueve agencias federales y unas 100 empresas privadas, dijeron funcionarios de la Casa Blanca.
Cozy Bear se ha mantenido activo y en 2021 salieron a la luz varias campañas, incluida una que utilizaba vulnerabilidades de día cero para infectar iPhones completamente actualizados. El año pasado, el grupo dedicó gran parte de su tiempo a los ataques a Ucrania.