icon

APT29 es el nombre del cibercomando ruso que el fin de semana azotó Washington

Cozy Bear (también conocido por APT29, Office Monkeys, CozyCar, The Dukes, y CozyDuke), es un grupo de hackers rusos que se cree asociado con la inteligencia rusa, en especial con el Servicio de Inteligencia Exterior (SVR) y/o con el Servicio Federal de Seguridad (FSB), de acuerdo a FireEye. Wikipedia afirma que APT29 suele usar técnicas de phishing dirigido a la víctima, con un enlace en el correo. Sus ámbitos preferidos de ataque son además del ámbito militar, sectores como el farmacéutico, el financiero, el tecnológico, las ONG e incluso en organizaciones delincuenciales.

"Es la primera vez que vimos a los rusos volverse mucho más agresivos, y en lugar de simplemente desvanecerse como fantasmas cuando fueron detectados, en realidad forzaron el acceso a las redes", dijo Michael Daniel, quien era el coordinador de ciberseguridad de la Casa Blanca, y a luchado contra diferentes organismos de inteligencia rusos.

Cozy Bear, también conocido como APT29, es el responsable de una violación de seguridad que comprometió los departamentos del Tesoro y Comercio y otras agencias gubernamentales de USA, informó The Washington Post. 

APT29 o Cozy Bear habrían perforado la red de seguridad ya en los días de Barack Obama en la Casa Blanca y ahora se cree que apuntó a la investigación de la vacuna Covid-19.

Según Reuters, ahora la intrusión fue lo suficientemente grave como para que el Consejo de Seguridad Nacional celebrara una reunión de emergencia en la Casa Blanca el sábado 12/12.

Todavía no está claro exactamente qué información pudo haber sido robada o qué gobierno extranjero estuvo involucrado. Pero los piratas informáticos "altamente sofisticados" pudieron ingresar al software Microsoft Office de la NTIA, engañando los controles de autenticación para monitorear los correos electrónicos del personal durante meses, según Reuters .

Microsoft dio a conocer detalles sobre los métodos utilizados en el hackeo, el domingo por la noche. 

Microsoft dice que los piratas informáticos que operan en nombre de un Estado nacional no identificado comprometieron el software de administración y monitoreo Orion, de SolarWinds, lo que les dio a los atacantes una posición en las redes que querían perforar. 

SolarWinds Inc. es una compañía estadounidense que desarrolla software para empresas para ayudar a administrar sus redes, sistemas e infraestructura de tecnología de la información,

Luego, los intrusos pudieron "hacerse pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados".

Tanto Microsoft como SolarWinds están poniendo a disposición de los clientes contramedidas para ayudar a detectar, proteger y responder a la amenaza.

Varias agencias federales de aplicación de la ley, incluido el FBI, están investigando la violación.

Esto se ve muy, muy mal

La embajada rusa en Washington DC calificó los informes de piratería rusa como "infundados". 

En un comunicado en Facebook, dijo: "Los ataques en el espacio de la información contradicen" la política exterior rusa y los intereses nacionales. "Rusia no realiza operaciones ofensivas" en el dominio cibernético.

La Agencia de Seguridad de Infraestructura y Ciberseguridad federal (CISA) emitió una alerta advirtiendo sobre una "explotación activa" de la plataforma SolarWinds Orion, a partir de las versiones del software lanzadas en marzo y junio. 

“CISA alienta a las organizaciones afectadas a leer los avisos de SolarWinds y FireEye para obtener más información y la página de GitHub, de FireEye, para contramedidas de detección”, informó.

SolarWinds presentó un documento el lunes 14/12 ante la Comisión de Bolsa y Valores que informó que "menos de 18.000" de sus más de 300.000 clientes pueden haber instalado un parche de software que permitió el ataque ruso. 

No estaba claro, según el documento, cuántos sistemas fueron realmente pirateados. 

La presentación corporativa también dijo que el correo electrónico Office 365, de Microsoft, pudo haber sido "un vector de ataque" utilizado por los piratas informáticos.

Microsoft dijo en una publicación que no había identificado ninguna vulnerabilidad de productos o servicios.

La escala de la operación parece grande, dijeron varias personas familiarizadas con el asunto. “Esto se ve muy, muy mal”, dijo una persona. 

Los productos SolarWinds son utilizados por el ejército estadounidense, el Pentágono, el Departamento de Estado, el Departamento de Justicia, la NASA, la Oficina Ejecutiva del Presidente y la Agencia de Seguridad Nacional, según el sitio web de la firma.

Entre sus clientes también se encuentran las 10 principales empresas de telecomunicaciones de USA.

"Esto es un gran problema, y​sabemos ahora dónde ocurrieron las infracciones, espero que el alcance crezca a medida que se revisen más registros", dijo John Scott-Railton, investigador principal del Citizen Lab de la Universidad de Toronto. "Cuando un grupo agresivo como este obtiene un 'Ábrete Sésamo' a muchos sistemas deseables, lo usarán ampliamente".

FireEye

Desde 2004, FireEye es una empresa de ciberseguridad que cotiza en bolsa con sede en Milpitas, California. Ha participado en la detección y prevención de grandes ciberataques. Proporciona hardware, software y servicios para investigar ataques de ciberseguridad, protegerse contra software malicioso y analizar riesgos de seguridad de TI.
The Washington Post informó que APT29 era el grupo detrás de ese hack. 

"Es la primera vez que vimos a los rusos volverse mucho más agresivos, y en lugar de simplemente desvanecerse como fantasmas cuando fueron detectados, en realidad forzaron el acceso a las redes", dijo Michael Daniel, quien era el coordinador de ciberseguridad de la Casa Blanca, y a luchado contra diferentes organismos de inteligencia rusos. 

En 2016, la agencia de espionaje militar GRU filtró correos electrónicos pirateados a la organización anti-secreto en línea WikiLeaks en una operación que interrumpió la Convención Nacional de los demócratas en medio de la campaña presidencial.

En cambio el SVR, por el contrario, generalmente roba información con fines tradicionales de espionaje, buscando secretos que puedan ayudar al Kremlin a comprender los planes y motivos de los políticos y los responsables políticos. Sus operadores también han robado datos industriales y pirateado ministerios de Relaciones Exteriores.

Debido a que la Administración Obama vio la operación APT29 como un espionaje tradicional, no consideró tomar medidas punitivas, dijo Daniel, quien ahora es presidente y director ejecutivo de Cyber​Threat Alliance, un grupo de intercambio de información para empresas de ciberseguridad.

Pero Chris Painter, coordinador cibernético del Departamento de Estado en la Administración Obama, dijo que debería haber consecuencias: “Simplemente no tenemos que quedarnos quietos y decir 'buen trabajo'”.

Las sanciones podrían ser una respuesta, especialmente si se hacen en conjunto con aliados que se vieron afectados de manera similar, dijo. “El problema es que ni siquiera ha habido una condena desde arriba. El presidente Donald Trump no ha querido decir nada malo a Rusia, lo que solo los alienta a actuar de manera irresponsable en una amplia gama de actividades".

Como mínimo, dijo, "querría dejar en claro al [presidente ruso Vladimir] Putin que esto es inaceptable, el alcance es inaceptable".