Cómo actuaron los hackers rusos que intentaron robar información sobre vacunas contra el coronavirus

El Reino Unido, Estados Unidos y Canadá denunciaron que el grupo APT29, también conocido como Cozy Bear, y ligado a los servicios de inteligencia del Kremlin, atacó distintos laboratorios de sus países. El modus operandi

Guardar
Una científica trabaja en el
Una científica trabaja en el laboratorio de fabricación donde se ha producido una vacuna contra el coronavirus en el Hospital Churchill de Oxford, el 24 de junio de 2020 (Steve Parsons/Pool vía REUTERS)

El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido hizo este jueves el anuncio, que se coordinó con las autoridades de los Estados Unidos y Canadá. Las tres naciones alegaron que el grupo de hackers APT29, también conocido como Cozy Bear (“oso amigable”) y del que se dice que forma parte del servicio de inteligencia ruso, está atacando a las instituciones de investigación académica y farmacéutica que participan en el desarrollo de la vacuna contra el coronavirus, con el fin de robar información.

Los persistentes y continuos ataques son vistos por los funcionarios de inteligencia como un esfuerzo para robar la propiedad intelectual, pero no para interrumpir las investigaciones. La campaña de “actividad maliciosa” está en curso e incluye ataques ”predominantemente contra objetivos gubernamentales, diplomáticos, de centros de estudios, de salud y de energía,″ dijo el Centro Nacional de Ciberseguridad en un comunicado.

No está claro si alguna información llegó a ser efectivamente robada, pero el organismo dice que la información confidencial de los individuos afectados no se ha visto comprometida. Cozy Bear, alternativamente llamado “Los Duques”, ha sido identificado por Washington como uno de los dos grupos de hackers vinculados al gobierno ruso que irrumpieron en la red informática del Comité Nacional Demócrata y robaron correos electrónicos antes de las elecciones presidenciales de 2016. El otro grupo suele llamarse Fancy Bear (“oso sofisticado”).

Los hackers rusos son una
Los hackers rusos son una fuente de preocupación creciente para el Europa y Estados Unidos (REUTERS/Kacper Pempel/)

“APT29 utiliza una variedad de herramientas y técnicas para dirigirse predominantemente a objetivos gubernamentales, diplomáticos, de centros de investigación, sanitarios y energéticos para obtener información”, informó el Centro Nacional de Ciberseguridad. “El grupo está utilizando malwares personalizados conocido como ‘WellMess’ y ‘WellMail’ para dirigirse a varias organizaciones a nivel mundial. Esto incluye a aquellas organizaciones involucradas en el desarrollo de la vacuna contra el COVID-19. WellMess y WellMail no habían sido sido previamente asociados públicamente a APT29”.

WellMess es un malware escrito en Golang o .NET y ha estado en uso desde al menos 2018. Se llama así por uno de los nombres de sus funciones: ‘wellmess’. Es un malware ligero diseñado para ejecutar comandos shell arbitrarios, cargar y descargar archivos. El malware soporta métodos de comunicación HTTP, TLS y DNS.

WellMail es otra herramienta ligera diseñada para ejecutar comandos o scripts y los resultados se envían a un servidor codificado. El NCSC ha denominado a este malware ‘WellMail’ debido a las rutas de archivo que contienen la palabra ‘mail’ y al uso del puerto 25 del servidor presente en la muestra analizada. Como WellMess, WellMail utiliza certificados TLS de cliente y de autoridad de certificación codificados para comunicarse con los servidores C2.

Los hackers aprovechan las fallas
Los hackers aprovechan las fallas de seguridad que son de público conocimiento para penetrar en los sistemas (REUTERS/Steve Marcus)

Cozy Bear utiliza con frecuencia fallas de seguridad de dominio público para realizar escaneos generalizados contra sistemas vulnerables, en un esfuerzo por obtener credenciales de autenticación que le permitan un mayor acceso. Esta amplia selección de objetivos puede dar al grupo acceso a un gran número de sistemas en todo el mundo, muchos de los cuales no tienen quizás un valor de inteligencia inmediato, pero pueden tenerlo en el futuro, como se ve ahora con los centros de investigación que están desarrollando tratamientos contra el coronavirus.

“El grupo puede mantener un almacén de credenciales robadas para acceder a esos sistemas en caso de que se vuelvan más pertinentes para sus necesidades. En los recientes ataques dirigidos a la investigación y el desarrollo de la vacuna contra el COVID-19, el grupo llevó a cabo un escaneo de vulnerabilidad básica contra direcciones de IP externas de las organizaciones. A continuación, el grupo explotó las vulnerabilidades de los servicios identificados”, explicó el informe.

Un laboratorio en el Imperial
Un laboratorio en el Imperial College de Londres donde se investigan tratamientos contra el coronavirus (Imperial College London/Thomas Angus/via REUTERS)

Una vez que acceden a un sistema, los hackers abandonan estos instrumentos y buscan obtener credenciales legítimas de los sistemas comprometidos para mantener un acceso permanente. Todo indica que utilizan servicios de anonimato al usar las credenciales robadas, de modo que no puedan ser identificados.

“Es probable que APT29 siga atacando a las organizaciones que participan en la investigación y el desarrollo de la vacuna contra el COVID-19, en la medida en que traten de responder a cuestiones de inteligencia adicionales relacionadas con la pandemia. Se recomienda encarecidamente a las organizaciones que utilicen las normas aconsejadas para detectar la actividad que se detalla en este informe”, sostuvo el NCSC en la conclusión del documento difundido.

Con información de AP

MÁS SOBRE ESTE TEMA

Guardar

Últimas Noticias

La enorme cifra por la que se vendió una histórica tabla con los Diez Mandamientos

La pieza arqueológica, subastada por Sotheby’s, superó las expectativas al recaudar millones de dólares. Un destino inesperado asegura su conservación y acceso público
La enorme cifra por la

China amenazó con “aplastar” cualquier acto separatista en Taiwán tras la llegada de tanques estadounidenses

El portavoz del Ministerio de Defensa del régimen chino, Zhang Xiaogang dijo tras la llegada de los 38 tanques M1A2T provenientes de EEUU que “unas pocas piezas de armamento no servirán para salvar vidas, sino que se convertirán en un objetivo más en el campo de batalla”
China amenazó con “aplastar” cualquier

¿Por qué han muerto tantos soldados norcoreanos en la guerra entre Rusia y Ucrania?

El ejército norcoreano es uno de los más grandes del mundo. Al unirse a la guerra de Rusia contra Ucrania, sus soldados están pagando un precio por las maniobras geopolíticas de Kim Jong-un.
¿Por qué han muerto tantos

Con motivo del Jubileo, el papa Francisco abrió la Puerta Santa en una cárcel de Roma y pidió que no se pierda la esperanza

El Sumo Pontífice llamó a la puerta con el puño y esta se abrió, y la atravesó a pie ayudado con un bastón, y no en silla de ruedas, como en la basílica de San Pedro, acompañado por el obispo auxiliar de Roma, Benoni Ambarus
Con motivo del Jubileo, el

Israel anunció el fin de la operación antiterrorista lanzada el martes en Cisjordania

El Ejército israelí cifró en al menos siete los terroristas muertos a manos de sus tropas, incluido Katzi Amin Ibrahim Akasha, un “alto cargo” de un grupo terrorista en Tulkarem
Israel anunció el fin de
MÁS NOTICIAS