AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

APT28 intensifica ataques de robo de credenciales contra sectores energético y de investigación en Eurasia

admin

Introducción

Durante los últimos meses, el panorama de la ciberseguridad ha sido testigo de una intensificación de las campañas de ciberespionaje llevadas a cabo por grupos patrocinados por estados. Recientemente, se ha detectado una nueva oleada de ataques de robo de credenciales orquestados por APT28 (también conocido como BlueDelta o Fancy Bear), un actor de amenazas vinculado al gobierno ruso. Estas operaciones han tenido como objetivo a personal vinculado a una agencia turca de energía e investigación nuclear, miembros de un think tank europeo y empleados de organizaciones en Macedonia del Norte y Uzbekistán. El patrón de actividad revela la continua sofisticación y persistencia del grupo, así como su interés estratégico en sectores críticos y entidades con influencia política y tecnológica.

Contexto del Incidente o Vulnerabilidad

APT28 es un grupo de amenazas persistentes avanzadas (APT) vinculado al servicio de inteligencia militar ruso (GRU), conocido por sus operaciones de ciberespionaje orientadas a la obtención de información sensible en sectores gubernamentales, energéticos, militares y de investigación. En esta campaña reciente, detectada entre el primer y segundo trimestre de 2024, los atacantes han centrado sus esfuerzos en entidades clave de Turquía, Europa del Este y Asia Central, alineando sus objetivos con intereses geopolíticos y energéticos rusos.

La campaña se enmarca en el contexto de una escalada de la ciberguerra híbrida, en la que la obtención de credenciales de acceso es utilizada como vector inicial para conseguir persistencia y movilidad lateral en infraestructuras críticas. Cabe destacar que los ataques han coincidido con tensiones políticas en Eurasia y debates sobre políticas nucleares y energéticas, lo que sugiere un componente de inteligencia estratégica.

Detalles Técnicos

Los análisis forenses han identificado que APT28 ha empleado campañas de spear phishing altamente dirigidas, utilizando correos electrónicos que simulan provenir de organismos oficiales o partners estratégicos. Estos correos contienen enlaces a páginas de phishing diseñadas para capturar credenciales de acceso a plataformas corporativas y gubernamentales (O365, VPNs, portales internos), replicando interfaces legítimas con un alto nivel de precisión.

La campaña está asociada principalmente al CVE-2023-23397, una vulnerabilidad crítica en Microsoft Outlook que permite la explotación sin interacción del usuario, al enviar mensajes maliciosos que desencadenan la exfiltración de hashes NTLM. En combinación con técnicas de ingeniería social, APT28 ha utilizado dominios typosquatting y servicios de infraestructura como Evilginx2 para el bypass de MFA (Multi-Factor Authentication), permitiendo la captura de tokens de sesión.

Los TTPs identificados corresponden a las técnicas MITRE ATT&CK siguientes:
– T1566 (Phishing)
– T1078 (Valid Accounts)
– T1557 (Adversary-in-the-Middle)
– T1110 (Brute Force)
– T1087 (Account Discovery)

Entre los indicadores de compromiso (IoC) destacan direcciones IPs asociadas a la infraestructura de Cobalt Strike, dominios de phishing recién registrados y hashes de archivos utilizados en los payloads. Se ha observado también el uso de exploits automatizados integrados en frameworks como Metasploit para aprovechar vulnerabilidades no parcheadas.

Impacto y Riesgos

El impacto de la campaña es considerable, ya que la exposición de credenciales abre la puerta a accesos no autorizados, robo de información confidencial, sabotaje y posibles ataques de ransomware o wiper. El sector energético y nuclear es especialmente sensible, dado el potencial de interrupción de operaciones críticas y el riesgo de filtración de secretos industriales o de estado. Según datos preliminares, se estima que alrededor del 12% de las organizaciones objetivo han experimentado accesos no autorizados, con pérdidas económicas que podrían superar los 2 millones de euros en daños directos e indirectos.

Medidas de Mitigación y Recomendaciones

Ante la sofisticación de los ataques, se recomienda implementar las siguientes medidas:
– Aplicar de inmediato los parches de seguridad para CVE-2023-23397 y otras vulnerabilidades de Outlook y servicios de autenticación.
– Desplegar soluciones de detección y respuesta (EDR/XDR) con capacidades de monitorización de actividad sospechosa en cuentas privilegiadas.
– Configurar políticas estrictas de MFA robusto, preferiblemente con tokens físicos o autenticadores biométricos.
– Realizar campañas de concienciación periódicas sobre phishing dirigido y técnicas de ingeniería social.
– Monitorizar logs de acceso y correlacionar eventos con IoCs publicados por CERTs y agencias como ENISA.
– Segmentar adecuadamente la red y restringir accesos a sistemas críticos.

Opinión de Expertos

Especialistas del sector, como Daniel López, CISO de una utility europea, advierten: «Estamos ante un incremento de la sofisticación en el uso de técnicas de evasión de MFA y explotación de vulnerabilidades zero-day. La colaboración entre equipos de threat intelligence y SOC es clave para detectar estos ataques en las fases iniciales». Por su parte, analistas de S21sec y Deloitte subrayan la importancia de la inteligencia compartida y la actualización constante de herramientas de defensa.

Implicaciones para Empresas y Usuarios

Las empresas del sector energético, nuclear y de investigación deben extremar la vigilancia y revisar sus políticas de ciberseguridad, especialmente aquellas sujetas a normativas como NIS2 o GDPR, que exigen la protección de datos críticos y la notificación obligatoria de incidentes. El incumplimiento puede acarrear sanciones superiores al 2% de la facturación anual. Para los usuarios finales, la recomendación es evitar el uso de contraseñas repetidas y activar siempre mecanismos avanzados de autenticación.

Conclusiones

La campaña atribuida a APT28 muestra la evolución constante de los actores estatales en la sofisticación de sus ataques y la selección de objetivos estratégicos. La combinación de exploits recientes, ingeniería social avanzada y técnicas para evadir controles de acceso refuerza la necesidad de una defensa en profundidad y la cooperación internacional en materia de ciberinteligencia.

(Fuente: feeds.feedburner.com)