Así ataca misiones diplomáticas en Ucrania el grupo cibercriminal ruso Cloaked Ursa
- Actualidad
©Freepik
El grupo de investigación Unit 42 de Palo Alto Networks ha descubierto una campaña del Servicio de Inteligencia Exterior de Rusia (SVR) dirigida a misiones diplomáticas en Ucrania. Unit 42 ha bautizado a este grupo como Cloaked Ursa (alias APT29).
Recientemente, los investigadores de la Unit 42 han observado casos en los que este grupo cibercriminal utiliza señuelos centrados en los propios diplomáticos más que en los países a los que representan. Su estudio revela que tiene como objetivo al menos 22 de las más de 80 misiones extranjeras situadas en Kiev y, aunque Unit 41 no dispone de detalles sobre su tasa de éxito en la infección, se trata de una cifra realmente asombrosa para una operación clandestina llevada a cabo por una amenaza persistente avanzada (APT) que Estados Unidos y el Reino Unido atribuyen públicamente al Servicio de Inteligencia Exterior de Rusia (SVR).
Los hackers rusos son bien conocidos por atacar misiones diplomáticas en todo el mundo. Para sus intentos de acceso en los últimos dos años han utilizado predominantemente señuelos de phishing con temática de operaciones diplomáticas como notas de voz (comunicaciones diplomáticas informales de gobierno a gobierno), actualizaciones del estado operativo de las embajadas, horarios de diplomáticos e invitaciones a actos de la embajada.
Este tipo de señuelos suelen enviarse a profesionales que manejan este tipo de correspondencia de embajadas como parte de su labor diaria. El objetivo, atraerlos y que estos abran los archivos en nombre de la organización para la que trabajan.
Ataque a diplomáticos a través de un BMW en venta
Una de las más recientes de estas novedosas campañas que observaron los investigadores de la Unit 42 parecía utilizar como punto de partida la venta legítima de un BMW para atacar a diplomáticos en Kiev en Ucrania.
A mediados de abril de 2023, un diplomático del Ministerio de Asuntos Exteriores polaco envió por correo electrónico su folleto legítimo a varias embajadas anunciando la venta de un BMW serie 5 situado en Kiev. La venta de un coche fiable por parte de un diplomático de confianza podría ser una gran ayuda para un recién llegado, lo que este grupo de atacantes ruso supo aprovechar como una oportunidad.
Como explica Jesús Díaz Barbero, director de Ingeniería de Sistemas para el sur de Europa de Palo Alto Networks, y según nuestros investigadores, Cloaked Ursa utilizó direcciones de correo electrónico de embajadas disponibles públicamente para aproximadamente el 80% de las víctimas objetivo. El 20% restante eran direcciones de correo electrónico inéditas que no se encontraban en la web”.
