El experto en ciberseguridad, José Israel Nadal Vidal, explica en este artículo cómo las tácticas utilizadas por los actores de amenazas persistentes avanzadas (APT, según sus siglas en inglés) impactan en la seguridad de las misiones diplomáticas a través del ejemplo del grupo cibercriminal relacionado con Rusia Cloaked Ursa (alias APT29) y brinda algunas recomendaciones para proteger la seguridad y confidencialidad de la información de la actividad diplomática.
La seguridad informática es un tema cada vez más relevante en la era digital en la que vivimos. Con el aumento de la conectividad y la dependencia de la tecnología, la protección de la información personal y empresarial se ha convertido en una necesidad crítica. En este contexto, las misiones diplomáticas se han convertido en un objetivo de alto valor para el ciberespionaje debido a la información confidencial que manejan.
En los últimos años, los avances tecnológicos han brindado —y brindan— a los actores maliciosos la capacidad de infiltrarse en las redes diplomáticas y robar información confidencial. Los actores de amenaza persistente avanzada (APT) están en constante evolución y modifican sus enfoques, incluyendo el spear pishing, para aumentar su efectividad.
Además, la invasión rusa de Ucrania ha aumentado la importancia de la Inteligencia relacionada con la guerra y los esfuerzos diplomáticos de los aliados. Un ejemplo de ello sería el de los cibercriminales del Servicio de Inteligencia Exterior de Rusia, a los que llamamos Cloaked Ursa (alias APT29, UAC-0004, Midnight Blizzard/Nobelium o Cozy Bear) conocidos por atacar misiones diplomáticas en todo el mundo. Sus intentos de acceso inicial en los últimos dos años han utilizado predominantemente señuelos de phishing con temática de operaciones diplomáticas como las siguientes:
- Notas verbales (comunicaciones diplomáticas semiformales de gobierno a gobierno).
- Actualizaciones del estado operativo de las embajadas.
- Horarios para diplomáticos.
- Invitaciones a actos de la embajada.
Este tipo de señuelos de phishing suelen enviarse a personas que manejan este tipo de correspondencia de embajadas como parte de su trabajo diario. Su objetivo es incitar a los destinatarios a abrir los archivos en nombre de la organización para la que trabajan. Recientemente, los investigadores observaron casos en los que APT29 utilizaba señuelos de phishing centrados en los propios diplomáticos más que en los países a los que representan.
Grupos de investigación como Unit 42 de Palo Alto Networks han detectado que la APT29 se dirige a misiones diplomáticas en Ucrania aprovechando algo que todos los diplomáticos recién llegados necesitan: un vehículo. Se observa que APT29 tenía como objetivo al menos 22 de las más de 80 misiones extranjeras ubicadas en Kiev. Aunque no disponemos de detalles sobre su tasa de éxito de infección, se trata de una cifra realmente asombrosa para una operación clandestina llevada a cabo por una amenaza persistente avanzada (APT) que Estados Unidos y el Reino Unido atribuyen públicamente al Servicio de Inteligencia Exterior de Rusia (SVR).
➡️ Te puede interesar: ¿Qué estrategias utiliza Rusia para infiltrar agentes en el extranjero?
Mi particular evaluación y la de la mayoría de profesionales de la ciberseguridad, es que APT29 es responsable de estos señuelos basándome en lo siguiente:
- Similitudes con otras campañas y objetivos conocidos de APT29.
- Uso de TTPs conocidos de APT.
- Solapamiento de código con otro malware de APT29 conocido.
Estos señuelos de phishing son poco convencionales y están diseñados para incitar al destinatario a abrir un archivo adjunto en función de sus propias necesidades y deseos, en lugar de como parte de sus obligaciones rutinarias. Los señuelos de phishing en sí son ampliamente aplicables en toda la comunidad diplomática y, por tanto, pueden enviarse y reenviarse a un mayor número de objetivos. También es más probable que se envíen a otras personas de la organización y de la comunidad diplomática.
En general, estos factores aumentan las probabilidades de éxito en el compromiso dentro de las organizaciones objetivo. Aunque no es probable que sustituyan por completo a los señuelos con temática de operaciones diplomáticas, estos señuelos centrados en individuos proporcionan a APT29 nuevas oportunidades y una gama más amplia de posibles objetivos de espionaje susceptibles.
➡️ Te puede interesar: Ciberespionaje desde China
Un ejemplo de ciberespionaje en misiones diplomáticas de APT29
Una de los últimos casos a destacar es la campaña de BMW, que comenzó con un hecho inocuo y legítimo. A mediados de abril de 2023, un diplomático del Ministerio de Asuntos Exteriores polaco envió por correo electrónico a varias embajadas un folleto legítimo en el que anunciaba la venta de un BMW serie 5 sedán de segunda mano situado en Kiev. El archivo se titulaba BMW 5 en venta en Kyiv – 2023.docx.
La naturaleza del servicio de los diplomáticos profesionales suele implicar un estilo de vida rotativo de misiones de corta o media duración en destinos de todo el mundo. Ucrania plantea retos únicos a los diplomáticos recién destinados, ya que se encuentra en una zona de conflicto armado entre Rusia y Ucrania.
¿Cómo se envían bienes personales, se consiguen alojamientos y servicios seguros y se organiza un transporte personal fiable mientras se está en un nuevo país? La venta de un coche fiable por parte de un diplomático de confianza podía ser una gran ayuda para un recién llegado, lo que APT29 vio como una oportunidad.
Creemos que APT29 probablemente recopiló y observó por primera vez este folleto publicitario legítimo a través de los servidores de correo de uno de los destinatarios del correo electrónico o mediante alguna otra operación de Inteligencia. Al ver su valor como señuelo de phishing genérico, pero atractivo, lo reutilizaron.
Dos semanas después, el 4 de mayo de 2023, APT29 envió este phishing a múltiples misiones diplomáticas por todo Kiev y atacó a, al menos, 22 de las más de 80 misiones extranjeras ubicadas en Kiev en esta campaña. Estos documentos falsos utilizaban archivos de Microsoft Word benignos con el mismo nombre que el enviado por el diplomático polaco. Para realizar el ataque lo hicieron de la siguiente manera:
- Utilizaron anuncios falsos de venta de un BMW 5 en Kyiv en 2023 para atraer a las víctimas. Estos anuncios contenían enlaces maliciosos que llevaban a un sitio web falso.
- Una vez en el sitio web, se descargaba un archivo HTA que contenía datos codificados en Base64 y código JavaScript.
- El código JavaScript realizaba una solicitud al mismo dominio y luego descargaba un archivo llamado bmw.iso. Este archivo, al ser ejecutado, montaba una imagen de disco en el sistema y abría el Explorador de archivos de Windows. Dentro de esta imagen de disco se encontraban nueve archivos LNK que se hacían pasar por imágenes, pero en realidad eran archivos de acceso directo.
- Además, se creaba una carpeta oculta llamada $Recycle.Bin que contenía imágenes PNG reales, tres DLL, un archivo de carga útil encriptado y una copia legítima de Microsoft Word llamada windoc.exe.
- Al hacer clic en uno de los archivos LNK, se ejecutaba un comando que cargaba dos de las DLL en el directorio actual de windoc.exe. Estas DLL tenían funcionalidades maliciosas y se utilizaban para ejecutar el archivo payload encriptado. Una vez en memoria, el archivo de payload se descifraba y se inyectaba en los procesos activos de Windows.
- Esto lograba el compromiso del sistema atacado.
Para la actividad que observamos, APT29 utilizó direcciones de correo electrónico de embajadas disponibles públicamente para aproximadamente el 80% de las víctimas objetivo. El 20% restante consistía en direcciones de correo electrónico inéditas que no se encontraban en la web. Esto indica que los atacantes probablemente también utilizaron otros datos de Inteligencia recopilados para generar su lista de víctimas objetivo, con el fin de asegurarse de que podían maximizar su acceso a las redes deseadas. La mayoría de las organizaciones objetivo de esta campaña eran embajadas.
➡️ Te puede interesar: Diplomacia digital y Metaverso: ¿hacia dónde va el futuro?
Soy diplomático: ¿cómo me protejo del ciberespionaje?
Existen varias medidas que tanto los diplomáticos como los ciudadanos y cualquier usuario que navegue por la red puede tomar para protegerse contra el phishing. Estas medidas incluyen la educación de los usuarios, la implementación de software de seguridad y la verificación de la autenticidad de los correos electrónicos y sitios web.
La educación y concienciación en ciberseguridad de los usuarios, ya sean diplomáticos o no, es esencial para protegerse contra el phishing. Los usuarios deben ser conscientes de las técnicas de ingeniería social utilizadas por los ciberdelincuentes para engañar a los usuarios y obtener información personal. Los usuarios deben ser educados sobre las mejores prácticas de seguridad, como no pinchar en enlaces sospechosos o descargar archivos de fuentes no confiables.
➡️ Te puede interesar: Masterclass | Autoprotección digital para ciberinvestigar de forma segura | LISA Institute
La implementación de software de seguridad, como software antivirus y antimalware, puede ayudar a proteger contra el phishing. Estos programas pueden detectar y eliminar correos electrónicos y sitios web falsos antes de que los usuarios pinchen en ellos. La verificación de la autenticidad de los correos electrónicos y sitios web también es clave para protegerse contra el phishing. Los usuarios deben verificar la dirección de correo electrónico del remitente y la URL del sitio web antes de ingresar información personal. Si la dirección de correo electrónico o la URL parecen sospechosas, los usuarios deben evitar pinchar en los enlaces y, en su lugar, ingresar manualmente la dirección del sitio web en el navegador.
Te puede interesar: