Fancy Bear es considerado uno de los grupos de amenazas persistentes avanzadas (APT) más peligrosos a nivel mundial. Se especializa en atacar infraestructuras críticas de países de la OTAN, y en ejecutar operaciones de desinformación, desestabilización e influencia electoral. En este informe la alumna becada del Máster Profesional de Analista de Inteligencia de LISA Institute, Raquel Ibáñez examina su historial operativo, las tácticas, técnicas y procedimientos utilizados, así como su impacto en la ciberseguridad global.
Fancy Bear, también conocido como APT-28, Sofacy, Sednit, Pawn Storm o Strontium, es un grupo de amenaza persistente avanzada (APT) con supuestos vínculos con la Inteligencia militar rusa, específicamente con el Directorio Principal de Inteligencia del Alto Estado Mayor de las Fuerzas Armadas de Rusia (GRU). Activo desde entre 2004 y 2008, su principal objetivo es el espionaje y el robo de información relevante para el gobierno ruso. Este grupo se distingue por ejecutar operaciones altamente sofisticadas, dirigidas a sectores clave como infraestructuras críticas, gobiernos, organizaciones militares, medios de comunicación y empresas privadas.
APT-28 ha sido responsable de numerosos incidentes de alto perfil, lo que ha generado un gran riesgo para la seguridad de instituciones públicas y privadas. Entre sus operaciones más destacadas se encuentra la interferencia en procesos electorales en Estados Unidos, Alemania y Francia, así como el ciberataque NotPetya de 2017. En 2014, estuvo implicado en el ataque al Comité Nacional Demócrata de Estados Unidos, filtrando información interna a través de WikiLeaks. Dos años más tarde, en 2016, tras el escándalo del dopaje en la Federación Rusa, atacó la Agencia Mundial Antidopaje (WADA), exfiltrando informes sobre atletas internacionales.
Los vectores de ataque más empleados por Fancy Bear incluyen el spearphishing, exploits de día cero (Zero Day), malware desarrollado por ellos mismos, ataques de tipo watering hole y técnicas Living-off-the-Land.
➡️ Te puede interesar: La Operación Matrioska o cómo Rusia manipula la verificación de noticias a nivel global
Tácticas, técnicas y procedimientos de Fancy Bear
Fancy Bear emplea frecuentemente campañas de spearphishing o phishing dirigido para enviar los payloads o cargas maliciosas, camuflándose como correos electrónicos de una fuente confiable.
El grupo también es conocido por explotar fallos de seguridad en software, incluidas
vulnerabilidades Zero Day o de día cero. En esta línea, el pasado año 2023, explotaron este tipo de vulnerabilidades en Outlook (CVE-2023-23397), una vulnerabilidad de ejecución remota de código en rúters Cisco (CVE-2017-6742), y una falla en WinRar (CVE 2023-38831). Logran la persistencia en los sistemas de la víctima, con lo que permanecen en ellos durante largos períodos de tiempo sin ser detectados.
- Ataques de malware: utilizan varios tipos de malware, incluidos algunos de
creación propia, como Sofacy, X-Agent, Sednit y Zebrocy. - Ataques Watering Hole: comprometen sitios web que probablemente visitarán sus
objetivos. - Robo de credenciales: emplean técnicas para robar credenciales, como el uso de
keyloggers o herramientas de recolección de credenciales, para obtener acceso a
sistemas y redes. - Mecanismos de persistencia: utilizan varios métodos para mantener el acceso a
sistemas comprometidos por un período prolongado. Algunos de estos
mecanismos son la creación de puertas traseras, el uso de tareas programadas o
la manipulación de servicios del sistema. - Registro de dominios e infraestructura: para el despliegue de sus operaciones y
conseguir engañar a sus objetivos, registran dominios que imitan a los legítimos. - Uso de Servidores Privados Virtuales (VPS): utilizan proveedores de VPS para alojar
sus servidores de comando y control (C2). Con ello consiguen ocultar su rastro y
dificultar la atribución. - Objetivos geopolíticos: sus campañas coinciden con eventos geopolíticos y se
alinean con los intereses del gobierno ruso, de ahí su vinculación con Rusia.
➡️ Te puede interesar: Masterclass | Ciberinteligencia Criminal: estrategias y métodos para combatir el cibercrimen
Actividades recientes de Fancy Bear
Según los investigadores de la Unidad 42 de Palo Alto, Fancy Bear utilizó la explotación de la vulnerabilidad de Outlook durante más de 20 meses en 14 naciones de valor estratégico para el gobierno ruso. Sus ataques se centraron en infraestructuras críticas y organizaciones relacionadas con la energía, operaciones de oleoductos y ministerios e instituciones gubernamentales en países miembros de la OTAN. Fuera de los aliados de la OTAN, Ucrania, Jordania y los Emiratos Árabes Unidos fueron sus objetivos. A través de la explotación de la vulnerabilidad de Cisco consiguieron crear puertas traseras en los rúters de esta marca instalados en Europa, instituciones gubernamentales de Estados Unidos y Ucrania.
➡️ Te puede interesar: Ciberseguridad militar: Desafíos de la inteligencia artificial frente a los ciberataques
En diciembre de 2023, expertos en seguridad descubrieron una campaña de ataques de
Fancy Bear en la que utilizaron señuelos relacionados con la guerra entre Israel y Hamás para distribuir una puerta trasera personalizada llamada HeadLace. El objetivo de la campaña fueron organizaciones de infraestructuras críticas situadas en Hungría, Turquía, Australia, Polonia, Bélgica, Ucrania, Alemania, Azerbaiyán, Arabia Saudita, Kazajstán, Italia, Letonia y Rumania. La cadena de infección explotó una vulnerabilidad de WinRAR para propagar la puerta trasera.
Respuesta internacional ante Fancy Bear
La respuesta internacional a las actividades de Fancy Bear ha sido variada. Varios países
han implementado sanciones contra Rusia en respuesta a los ataques atribuidos a APT-28. Además, la cooperación internacional en ciberseguridad se ha intensificado, con la OTAN y la Unión Europea adoptando medidas para mejorar la ciberdefensa colectiva.
Estados Unidos ha respondido específicamente con una serie de sanciones dirigidas a individuos y entidades vinculadas al GRU. También ha habido un esfuerzo concertado para exponer públicamente las actividades de Fancy Bear, con el objetivo de disuadir futuros ataques a través de la atribución pública.
Recomendaciones para protegerse de Fancy Bear
- Fortalecer las medidas de ciberseguridad en las organizaciones, en especial, las de
aquellas relacionadas con infraestructuras críticas. - Implementación de estrategias de defensa en profundidad y de detección y
mitigación. - Mantener los equipos y sistemas actualizados y parcheados.
- Realizar ejercicios de simulación de ciberataques para mejorar la preparación,
capacidad de respuesta y resiliencia de las instituciones. - Formación y concienciación en ciberseguridad del personal según su rol y riesgo.
- Promover la cooperación internacional en la respuesta ante incidentes y la
comunicación de nuevas amenazas detectadas. - Detectar y combatir las campañas de desinformación y los intentos de injerencia
en los gobiernos.
➡️ Te puede interesar: Entrevista: «La ciberinteligencia es un elemento imprescindible para la geopolítica y la geoeconomía»
Fancy Bear representa una amenaza significativa para la seguridad de la información y ciberseguridad a nivel mundial. Sus capacidades técnicas y organizativas para llevar a cabo operaciones de ciberespionaje y exfiltración de información a gran escala, los intentos de injerencia en procesos electorales mediante el despliegue de campañas de desinformación y manipulación de la población, combinada con el presunto apoyo estatal del gobierno ruso, lo convierten en una amenaza muy peligrosa para la seguridad global.
En un entorno como el actual de guerra híbrida es preciso extremar las medidas de detección temprana de ataques, así como fomentar la capacidad de resiliencia de las organizaciones, en especial aquellas vinculadas a infraestructuras y sectores críticos. Mediante la combinación de estrategias defensivas avanzadas, inteligencia de amenazas, detección de campañas de desinformación y cooperación internacional, es posible mitigar los riesgos asociados con Fancy Bear.
➡️ Si quieres adentrarte en el mundo de la Ciberseguridad, te recomendamos los siguientes programas formativos: