Así ha actuado el grupo de APT Pawn Storm en 2019

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Pawn Storm, también conocido por los apodos APT28, Sofacy, Sednit, Fancy Bear y Strontium, es uno de los grupos de amenazas persistentes avanzadas más sofisticados del mundo y, como explica Trend Micro, esta campaña de  ciberespionaje en curso, con actividades que se remontan a 2004, ha ganado notoriedad tras dirigir ciberataques contra personal de contratistas de defensa, embajadas y fuerzas militares de Estados Unidos y sus aliados, así como contra medios de comunicación internacionales y diferentes sectores civiles, entre otros objetivos. Entre sus víctimas del pasado se encuentran el partido de la Unión Demócrata Cristiana Alemana (CDU), la Agencia Mundial Antidopaje (AMA) y el Comité Nacional Democrático (DNC), y también parece estar detrás de los correos electrónicos confidenciales de Hillary Clinton, que ayudaron a llegar al poder a Donald Trump.

Sus objetivos son de alto perfil y, durante años, Trend Micro ha seguido de cerca sus pasos, haciendo seguimiento de sus herramientas, tácticas y procedimientos (TTP). Según ha podido constatar, a lo largo de 2019, ha empleado varios métodos de ataque, que incluyen el uso de correos electrónicos de spear-phishing.

Fruto de su investigación, según explica en un comunicado, ha descubierto que ha llevado a cabo ataques watering hole contra sitios web comprometidos visitados frecuentemente por los objetivos; abuso de la Autenticación Abierta (OAuth), para objetivos comprometedores en esquemas avanzados de ingeniería social; kit de exploits privados, que incluía zero-days y vulnerabilidades comunes utilizadas para infectar objetivos; spyware iOS, diseñado específicamente para espionaje, y tabnabbing, para persuadir a los usuarios para que envíen credenciales a sitios conocidos (suplantados).

Datos destacables
Según Feike Hacquebord, del equipo de investigación de la firma, se ha descubierto más información sobre los métodos de ataque actuales del grupo, que se centran principalmente en el escaneo de servidores y el phishing de credenciales entre entidades de alto perfil, principalmente a partir de mayo del año pasado. La mayoría de los sistemas comprometidos eran de compañías de defensa en Oriente Medio, así como organizaciones de los sectores de transporte, servicios públicos y administración pública.

Pawn Storm también puso a prueba con frecuencia muchos servidores de correo electrónico y de Microsoft Exchange Autodiscover en todo el mundo. El grupo buscó sistemas vulnerables en un intento de obtener credenciales por fuerza bruta, extraer datos de correo electrónico y enviar oleadas de spam. 

El trabajo realizado por Trend Micro durante más de dos años de todas las solicitudes de DNS para los dominios de Pawn Storm también permitió supervisar y detectar las campañas de phishing de credenciales que el grupo ha facilitado desde sus servidores de 2017 a 2019. Las campañas incluyeron oleadas de spam contra proveedores de correo web en Estados Unidos, Rusia e Irán.