AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**APT28 refuerza el ciberespionaje global con ataques «malwareless» a través de DNS en routers vulnerables**

admin

### 1. Introducción

El panorama de amenazas avanzadas sigue evolucionando y, recientemente, se ha detectado una campaña de ciberespionaje especialmente sofisticada atribuida al grupo ruso APT28 (también conocido como Fancy Bear o Sofacy). Esta vez, los atacantes han recurrido a técnicas “malwareless”, prescindiendo por completo del despliegue de código malicioso en los sistemas de sus víctimas. En su lugar, han logrado comprometer organizaciones internacionales modificando un único parámetro DNS en routers vulnerables, eludiendo así la mayoría de mecanismos tradicionales de detección. Este artículo analiza en profundidad la naturaleza y riesgos de esta amenaza, así como las medidas de mitigación recomendadas.

### 2. Contexto del Incidente o Vulnerabilidad

APT28 es un actor de amenazas persistentes avanzadas con un largo historial de campañas dirigidas a organismos gubernamentales, infraestructuras críticas y empresas de alto valor estratégico. Desde principios de 2024, diversos CERT y equipos de respuesta a incidentes han reportado una escalada en la explotación de routers empresariales y de proveedor de servicios, especialmente aquellos con firmware desactualizado o configuraciones expuestas.

A diferencia de las campañas tradicionales basadas en la distribución de cargas maliciosas, estas operaciones se centran en manipular la configuración de DNS en dispositivos de red. La alteración del servidor DNS permite a los atacantes monitorizar, interceptar y redirigir tráfico sin instalar malware en los endpoints, lo que complica la atribución y detección.

### 3. Detalles Técnicos

El vector de ataque principal consiste en explotar vulnerabilidades conocidas en routers de fabricantes como Cisco, MikroTik y Ubiquiti. Entre las CVEs más relevantes asociadas a estos ataques figuran:

– **CVE-2019-1653** (Cisco RV320/RV325): permite la lectura de archivos confidenciales sin autenticación.
– **CVE-2018-14847** (MikroTik RouterOS): acceso no autorizado a través de Winbox.
– **CVE-2023-28771** (varios dispositivos SOHO): ejecución remota de comandos.

Una vez obtenidas credenciales o acceso administrativo, APT28 modifica el parámetro de DNS primario y/o secundario para apuntar a servidores controlados por los atacantes. Esta simple maniobra permite realizar ataques de tipo Man-in-the-Middle (MitM), phishing selectivo, y exfiltración de credenciales mediante la monitorización de peticiones DNS y la manipulación de respuestas.

**TTPs (MITRE ATT&CK):**
– **Initial Access:** Exploitation of Remote Services (T1210)
– **Persistence:** Modify System Configuration (T1610)
– **Discovery:** Network Sniffing (T1040)
– **Collection:** Data from Information Repositories (T1213)
– **Exfiltration:** Exfiltration Over Alternative Protocol (T1048.003)

**Indicadores de Compromiso (IoC):**
– Cambios no autorizados en configuraciones DNS de routers.
– Comunicación con servidores DNS de IPs asociadas a infraestructuras maliciosas.
– Aumento de logs de consultas DNS hacia dominios no habituales.

No se han detectado exploits automatizados de frameworks como Metasploit en esta fase, aunque la explotación inicial suele apoyarse en scripts personalizados y herramientas de reconocimiento de red.

### 4. Impacto y Riesgos

El impacto potencial de esta campaña es severo, especialmente en entornos donde el router actúa como único punto de entrada y salida del tráfico corporativo. El control del DNS concede a los atacantes capacidades como:

– Interceptar credenciales y datos sensibles de servicios web internos y externos.
– Redirigir a usuarios a portales de phishing o servidores maliciosos sin que endpoints lo detecten.
– Bypassear soluciones EDR/AV tradicionales, ya que no se ejecuta malware en endpoints.
– Facilitar movimientos laterales internos si el router enruta tráfico entre segmentos críticos.

Se estima que, hasta la fecha, miles de organizaciones en Europa, Asia y América han sido potencialmente susceptibles. Los sectores más afectados incluyen administraciones públicas, defensa, proveedores tecnológicos y entidades financieras.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de este tipo de ataque “malwareless”, se recomienda:

– Auditar y actualizar todos los routers y dispositivos de red a la última versión de firmware disponible.
– Cambiar las credenciales de acceso por defecto y deshabilitar servicios de administración remota (Telnet, HTTP) si no son necesarios.
– Monitorizar cambios en la configuración DNS mediante herramientas SIEM/SOC y alertas automáticas.
– Implementar DNSSEC y utilizar servidores DNS internos controlados por la organización.
– Realizar análisis de tráfico para detectar patrones anómalos en consultas DNS.
– Segmentar la red y limitar el acceso a dispositivos de red críticos conforme a los principios de Zero Trust.

### 6. Opinión de Expertos

Expertos en respuesta a incidentes y threat hunting como Costin Raiu (Kaspersky) y Timo Hirvonen (WithSecure) han destacado la peligrosidad de esta técnica: “La manipulación de DNS en dispositivos de borde representa un blind spot para la mayoría de soluciones de seguridad actuales. El hecho de que no se emplee malware hace que la detección dependa de la vigilancia activa sobre la infraestructura”. Además, remarcan la importancia de la visibilidad y control sobre los dispositivos de red, muchas veces gestionados por terceros o con políticas laxas.

### 7. Implicaciones para Empresas y Usuarios

En un entorno regulatorio cada vez más estricto (GDPR, NIS2), las organizaciones deben prestar especial atención a la seguridad de los dispositivos de red, tradicionalmente fuera del radar de auditorías TI convencionales. Un compromiso de este tipo puede derivar en fugas de información confidencial, sanciones regulatorias y daño reputacional. Los usuarios finales son igualmente vulnerables, especialmente en teletrabajo, donde routers domésticos pueden ser objetivo fácil de este vector.

### 8. Conclusiones

La campaña de APT28 demuestra que el ciberespionaje evoluciona hacia técnicas cada vez más sigilosas, donde la modificación de un simple parámetro puede abrir la puerta a la exfiltración de información estratégica sin dejar huella en los sistemas finales. La vigilancia activa y la protección integral de la infraestructura de red, sumadas a la concienciación de administradores y usuarios, son esenciales para hacer frente a este tipo de amenazas.

(Fuente: www.darkreading.com)