imágenes falsas
Uno de los grupos de piratería más activos del Kremlin que tiene como objetivo Ucrania intentó recientemente piratear una gran empresa de refinación de petróleo ubicada en un país de la OTAN. El ataque es una señal de que el grupo está ampliando su recopilación de inteligencia mientras continúa la invasión de Rusia a su país vecino.
El intento de piratería ocurrió el 30 de agosto y no tuvo éxito, según investigadores de la Unidad 42 de Palo Alto Networks. dijo el martes
Poniendo la mira en la industria energética
En los últimos 10 meses, Unit 42 ha mapeado más de 500 dominios nuevos y 200 muestras y otras migas de pan que Trident Ursa ha dejado atrás en campañas de phishing dirigido que intentan infectar objetivos con malware que roba información. El grupo utiliza principalmente correos electrónicos con señuelos en idioma ucraniano. Sin embargo, más recientemente, algunas muestras muestran que el grupo también ha comenzado a usar señuelos en inglés.
“Evaluamos que estas muestras indican que Trident Ursa está intentando aumentar su recopilación de inteligencia y el acceso a la red contra los aliados de Ucrania y la OTAN”, escribieron los investigadores de la compañía.
Entre los nombres de archivo utilizados en el ataque fallido se encontraban: MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar y Lista de cosas necesarias para la provisión de asistencia humanitaria militar a Ucrania.lnk.
El informe del martes no nombró a la compañía petrolera objetivo ni el país donde se ubicaba la instalación. En los últimos meses, funcionarios alineados con Occidente han emitido advertencias de que el Kremlin ha puesto sus miras en las empresas de energía de los países que se oponen a la guerra de Rusia contra Ucrania.
La semana pasada, por ejemplo, el director cibernético de la Agencia de Seguridad Nacional, Rob Joyce, dijo que estaba preocupado por los importantes ataques cibernéticos de Rusia, específicamente en el sector energético mundial. según CyberScoop.
“No alentaría a nadie a ser complaciente o despreocupado por las amenazas al sector energético a nivel mundial”, dijo Joyce, según CyberScoop. “Como el [Ukraine] la guerra progresa, ciertamente existen oportunidades para aumentar la presión sobre Rusia a nivel táctico, lo que hará que reevalúen, prueben diferentes estrategias para liberarse”.
la NSA año anual en revisión señaló que Russian ha desatado al menos siete piezas distintas de malware de limpieza diseñadas para destruir datos de forma permanente. Uno de esos limpiaparabrisas eliminó miles de módems satelitales utilizados por los clientes de la empresa de comunicaciones Viasat. Entre los módems dañados había decenas de miles de terminales fuera de Ucrania que admiten turbinas eólicas y brindan servicios de Internet a ciudadanos privados.
Hace diez días, el primer ministro de Noruega, Jonas Gahr Støre, advirtió que Rusia planteaba un “amenaza real y seria… a la industria del petróleo y el gas” de Europa Occidental mientras el país intenta doblegar la voluntad de los aliados ucranianos.
Las técnicas de piratería de Trident Ursa son simples pero efectivas. El grupo utiliza múltiples formas de ocultar las direcciones IP y otras firmas de su infraestructura, documentos de phishing con bajas tasas de detección entre los servicios anti-phishing y documentos HTML y Word maliciosos.
Los investigadores de la Unidad 42 escribieron:
Trident Ursa sigue siendo una APT ágil y adaptable que no utiliza técnicas demasiado sofisticadas o complejas en sus operaciones. En la mayoría de los casos, se basan en herramientas y secuencias de comandos disponibles públicamente, junto con una cantidad significativa de ofuscación, así como en intentos de phishing de rutina para ejecutar sus operaciones con éxito.
Las operaciones de este grupo son captadas regularmente por investigadores y organizaciones gubernamentales y, sin embargo, no parece importarles. Simplemente agregan ofuscación adicional, nuevos dominios y nuevas técnicas y vuelven a intentarlo, a menudo incluso reutilizando muestras anteriores.
Operando continuamente de esta manera desde al menos 2014 sin signos de desaceleración durante este período de conflicto, Trident Ursa continúa teniendo éxito. Por todas estas razones, siguen siendo una amenaza importante para Ucrania, de la que Ucrania y sus aliados deben defenderse activamente.
El informe del martes proporciona una lista de hashes criptográficos y otros indicadores que las organizaciones pueden usar para determinar si Trident Ursa los ha atacado. También proporciona sugerencias sobre formas de proteger a las organizaciones contra el grupo.