El actor de amenazas avanzado conocido como APT29 ha estado trabajando arduamente para robar la investigación de la vacuna COVID-19 de instituciones académicas y de investigación farmacéutica en varios países del mundo, incluido EE. UU.
Eso es según una alerta conjunta del Departamento de Seguridad Nacional de los Estados Unidos (DHS), el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y el Establecimiento de Seguridad de las Comunicaciones (CSE) de Canadá, emitido el jueves .
El aviso de 14 páginas detalla la actividad reciente de APT29 vinculado a Rusia (también conocido como CozyBear o los Dukes), incluido el uso de malware personalizado llamado “WellMess” y “WellMail” para la filtración de datos.
“A lo largo de 2020, APT29 se ha dirigido a varias organizaciones involucradas en el desarrollo de la vacuna COVID-19 en Canadá, Estados Unidos y el Reino Unido, muy probablemente con la intención de robar información y propiedad intelectual relacionada con el desarrollo y las pruebas de las vacunas COVID-19, “El informe señaló.
Esta actividad específica se observó a partir de abril, pero los investigadores de seguridad notaron que el espionaje de estado-nación dirigido a tratamientos y curas de coronavirus ha sido un fenómeno durante todo el año .
“COVID-19 es una amenaza existencial para todos los gobiernos del mundo, por lo que no es sorprendente que las capacidades de ciberespionaje se estén utilizando para recopilar información sobre una cura”, dijo John Hultquist, director senior de análisis de Mandiant Threat Intelligence, por correo electrónico. . “Las organizaciones que desarrollan vacunas y tratamientos para el virus están siendo fuertemente atacadas por actores rusos, iraníes y chinos que buscan una ventaja en su propia investigación. También hemos visto una focalización significativa de los gobiernos relacionada con COVID que comenzó tan temprano como enero “.
Explotaciones en juego
Para montar los ataques, APT29 está utilizando exploits para vulnerabilidades conocidas para obtener acceso inicial a objetivos, de acuerdo con el análisis, junto con spearphishing para obtener credenciales de autenticación para páginas de inicio de sesión accesibles por internet para organizaciones objetivo. Los exploits en rotación incluyen el reciente error de inyección de código de Citrix (CVE-2019-19781); una falla publicitaria de Pulse Secure VPN (CVE-2019-11510); y problemas en FortiGate (CVE-2018-13379) y Zimbra (CVE-2019-9670).
“El grupo realizó un análisis básico de vulnerabilidades contra direcciones IP externas específicas propiedad de las organizaciones [seleccionadas]”, según el informe. “El grupo luego desplegó exploits públicos contra los servicios vulnerables identificados. El grupo ha tenido éxito utilizando exploits recientemente publicados para ganar puntos de apoyo iniciales “.
Una vez que un sistema se ve comprometido, el grupo busca obtener credenciales de autenticación adicionales para permitir un mayor acceso y propagación lateral.
Malware personalizado
Una vez establecido en una red, APT29 está empleando malware de cosecha propia que el NCSC llama WellMess y WellMail, para llevar a cabo más operaciones en el sistema de la víctima y extraer datos.
WellMess, descubierto por primera vez en julio de 2018, es un malware que viene en versiones de Golang o .NET y es compatible con HTTP, TLS y DNS para las comunicaciones.
El nombre de uno de los nombres de funciones en el malware, “WellMess es un malware ligero diseñado para ejecutar comandos de shell arbitrarios, cargar y descargar archivos”, según el aviso.
Mientras tanto, el malware WellMail, llamado así por las rutas de los archivos que contienen la palabra ‘correo’ y el uso del puerto 25 del servidor, también es liviano y está diseñado para ejecutar comandos o scripts mientras se comunica con un servidor de comando y control (C2) codificado.
“El binario es una utilidad ELF escrita en Golang que recibe un comando o script que se ejecuta a través del shell de Linux”, según el NCSC. “Hasta donde sabemos, WellMail no ha sido nombrado previamente en el dominio público”.
Ambos malwares utilizan certificados TLS de cliente certificado y autoridad de certificación para comunicarse con sus servidores C2.
“Las muestras de WellMess y WellMail contenían certificados TLS con el asunto codificado subjectKeyIdentifier (SKI) ‘0102030406’, y utilizaron los temas ‘C = Túnez, O = IT’ y ‘O = GMO GlobalSign, Inc’ respectivamente”, detalla el informe. “Estos certificados se pueden usar para identificar más muestras de malware e infraestructura. Los servidores con este tema de certificado GlobalSign pueden usarse para otras funciones además de las comunicaciones de malware de WellMail “.
APT29 también está utilizando otro malware, denominado ‘SoreFang’ por el NCSC, que es un descargador de primera etapa que utiliza HTTP para extraer información de la víctima y descargar malware de segunda etapa. Está utilizando la misma infraestructura C2 que una muestra de WellMess, concluyeron las agencias.
Esta muestra no es un trabajo personalizado: “Es probable que SoreFang se dirija a dispositivos SangFor. Los informes de la industria indican que otros actores, como DarkHotel , también se han dirigido a dispositivos SangFor “, señaló el NCSC.
APT29: una amenaza esporádica de alto perfil
Durante mucho tiempo, se ha visto que APT29 apunta a objetivos de alto valor en los sectores de think-tank, aplicación de la ley, medios de comunicación, militares estadounidenses, imágenes, transporte, farmacéutico, gobierno nacional y contratación de defensa.
El grupo es quizás mejor conocido por la intrusión en el Comité Nacional Demócrata antes de las elecciones presidenciales de EE. UU. En 2016. También estuvo implicado en una campaña de phishing generalizada en noviembre de 2016, en ataques contra la Casa Blanca, el Departamento de Estado y los jefes conjuntos. del personal.
Luego se vio en noviembre de 2017 ejecutando una puerta trasera Tor , y luego volvió a surgir en 2018 con una campaña de espionaje generalizada contra objetivos militares, mediáticos y del sector público.
Sin embargo, su historia se remonta a unos pocos años: Kaspersky Lab también la vio llevando a cabo ataques de minería de datos contra la Casa Blanca y el Departamento de Estado en 2014.
Investigadores de empresas como Mandiant creen que APT29 está vinculado a operaciones respaldadas por el gobierno ruso, una evaluación que el DHS y el NCSC reiteraron en el último aviso, diciendo que es “casi seguramente parte de los servicios de inteligencia rusos”.
Si bien su actividad de perfil público tiende a ser esporádica, APT29 rara vez está en reposo, según Hultquist de Mandiant.
“A pesar de estar involucrado en varios incidentes de alto perfil, APT29 rara vez recibe la misma atención que otros actores rusos porque tienden a concentrarse en silencio en la recolección de inteligencia”, dijo por correo electrónico. “Mientras que los actores de GRU filtraron descaradamente documentos y llevaron a cabo ataques destructivos, APT29 se indaga a largo plazo, desviando la inteligencia de su objetivo”.
Este último caso no es una excepción a ese MO, según el aviso: “Es probable que APT29 continúe dirigiéndose a organizaciones involucradas en la investigación y el desarrollo de la vacuna COVID-19, ya que buscan responder preguntas de inteligencia adicionales relacionadas con la pandemia”, dijeron las agencias. concluido
Dicho esto, al menos un investigador advirtió que el final del juego de la actividad podría ser más nefasto que simplemente obtener una ventaja sobre una cura.
“APT29 (Cozy Bear, Office Monkeys) ha demostrado con éxito la extensión del poder del estado-nación a través de la acción cibernética durante más de una docena de años”, dijo Michael Daly, CTO de Raytheon Intelligence & Space, por correo electrónico. “Sin embargo, no se centran en el simple robo de propiedad intelectual. En cambio, su enfoque se basa en las operaciones de influencia: el cambio de corazones y mentes para frustrar y disminuir el poder de los gobiernos y las organizaciones “.
Añadió: “En el caso de esta violación de los centros de investigación de vacunas, deberíamos estar más preocupados no porque otra persona también pueda recibir una vacuna, sino que la información se utilizará para socavar la confianza del público en la seguridad o eficacia de las vacunas, retrasando su adopción, o de alguna manera hacen que su liberación se retrase. El efecto de tal demora sería a la vez impactante para la salud de las poblaciones occidentales, pero también para la estabilidad social y la estabilidad económica de Occidente “.