La Coalición Internacional de Agencias Gubernamentales de Ciberseguridad publica conjuntamente un aviso sobre las actividades de piratería informática del Servicio de Inteligencia Exterior de Rusia.

La Agencia de Ciberseguridad y Infraestructura (CISA) y otras agencias internacionales responsables de la ciberseguridad publicaron un aviso conjunto en el que describían los esfuerzos realizados por el Servicio de Inteligencia Exterior ruso (SVR) para acceder a entornos en la nube. Aunque el informe no sugiere ningún motivo para tales ataques, otras directrices de la CISA indican que al menos uno de los motivos es la interrupción de las infraestructuras críticas en Occidente durante una crisis. 

Métodos de ataque

También conocido como APT29, Dukes, CozyBear y NOBELIUM/Midnight Blizzard, el informe describe las tácticas utilizadas por el SVR para obtener acceso inicial a los servicios en la nube, entre las que se incluyen:

• Acceso a través de cuentas de servicio y cuentas inactivas, que pueden proporcionar acceso privilegiado.
• Autenticación mediante token basada en la nube 
• Inscribir nuevos dispositivos en la nube (después de eludir la autenticación por contraseña utilizando técnicas como el rociado de contraseñas y el bombardeo MFA).
• Proxies residenciales (hacen que el tráfico parezca provenir de direcciones IP utilizadas por los ISP para clientes residenciales de banda ancha, lo que dificulta la detección de actividades maliciosas a partir de reglas de firewall basadas en direcciones IP). 

Recomendaciones para las empresas

El aviso recomienda una serie de estrategias de mitigación que pueden resultar útiles para defenderse de los ataques basados en lo anterior. Entre ellas se incluyen:

• Uso de MFA
• Exigir contraseñas seguras y únicas para las cuentas que no pueden utilizar la autenticación multifactorial (MFA).
• Desactivación de cuentas de usuario y del sistema que ya no son necesarias
• Adoptar el principio del mínimo privilegio para las cuentas del sistema y de servicio.
• Implementar cuentas de servicio «canarias», que parecen legítimas, pero que nunca son utilizadas por servicios legítimos, y configurar la supervisión y las alertas en las cuentas en caso de que se utilicen.
• Minimizar la duración de las sesiones para los tokens de sesión (equilibrando con métodos de autenticación adecuados que tengan en cuenta la experiencia del usuario).
• Permita únicamente el registro de dispositivos autorizados, lo que puede incluir el uso de técnicas de registro sin intervención o el uso de autenticación multifactorial (MFA) sólida que sea resistente al phishing y a los ataques de bombardeo de mensajes.
• Tenga en cuenta diversas fuentes de información, como el registro basado en aplicaciones y hosts, que pueden sugerir un comportamiento malicioso.

La CISA, en colaboración con el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y otros socios estadounidenses e internacionales, ha publicado el aviso conjunto «Los ciberdelincuentes del SVR adaptan sus tácticas para el acceso inicial a la nube». Este aviso proporciona las tácticas, técnicas y procedimientos (TTP) recientes utilizados por los ciberactores del Servicio de Inteligencia Exterior ruso (SVR), también conocidos como APT29, Dukes, CozyBear y NOBELIUM/Midnight Blizzard, para obtener acceso inicial a un entorno en la nube.

Ver artículo de referencia