Recientemente, Microsoft ha emitido una advertencia sobre la expansión de APT29, un grupo de ciberespionaje, lo que ha encendido las alarmas en la comunidad de seguridad informática a nivel mundial.
APT29, también conocido como 'Cozy Bear', es un grupo de hackers asociado con el gobierno ruso. Este grupo ha sido responsable de numerosos ataques de ciberespionaje, principalmente dirigidos a gobiernos, organizaciones políticas y empresas de diferentes sectores. La importancia de APT29 radica en su capacidad avanzada para realizar ataques sofisticados y en su constante evolución para burlar las medidas de seguridad existentes.
También te podrá interesar leer: DarkCasino: Descubriendo la Nueva Amenaza APT
El jueves pasado, Microsoft informó que los actores respaldados por el estado ruso, quienes fueron responsables de un ciberataque a sus sistemas a finales de noviembre de 2023, han estado dirigiendo sus esfuerzos hacia otras organizaciones. La compañía ha comenzado a notificar a estas organizaciones sobre la amenaza.
Este anuncio se produce un día después de que Hewlett Packard Enterprise (HPE) revelara que también había sido víctima de un ataque perpetrado por un grupo de hackers conocido como APT29 o BlueBravo, entre otros nombres. Según el equipo de Microsoft Threat Intelligence, este grupo se enfoca principalmente en gobiernos, entidades diplomáticas, organizaciones no gubernamentales (ONG) y proveedores de servicios de TI en Estados Unidos y Europa.
El objetivo principal de estas operaciones de espionaje es recopilar información estratégicamente importante para Rusia, manteniendo un acceso prolongado sin levantar sospechas. La reciente revelación sugiere que la magnitud de la campaña podría ser mayor de lo que se pensaba inicialmente, aunque Microsoft no ha proporcionado detalles sobre otras entidades afectadas.
APT29 utiliza cuentas legítimas comprometidas para acceder y expandir su presencia en el entorno objetivo sin ser detectados. También abusan de las aplicaciones OAuth para moverse dentro de infraestructuras en la nube y para actividades posteriores al compromiso, como la recopilación de correos electrónicos.
Este grupo utiliza diversas tácticas, incluyendo el uso de credenciales robadas y ataques a la cadena de suministro. También explotan la cadena de confianza de proveedores de servicios para acceder a clientes intermedios. Una táctica notoria es el uso de cuentas de usuario comprometidas para crear y otorgar permisos elevados a aplicaciones OAuth, lo que les permite mantener el acceso incluso si pierden la cuenta inicialmente comprometida.
Estas aplicaciones OAuth maliciosas se utilizan para autenticarse en Microsoft Exchange Online y acceder a cuentas de correo electrónico corporativas de Microsoft para robar datos de interés. En el incidente dirigido a Microsoft en noviembre de 2023, el grupo utilizó un ataque de pulverización de contraseñas para infiltrarse en una cuenta de prueba heredada sin autenticación multifactor habilitada.
Posteriormente, aprovecharon esta entrada para comprometer una aplicación OAuth heredada con acceso elevado, utilizando esta aplicación para crear aplicaciones OAuth maliciosas adicionales y otorgarles acceso a buzones de correo. Los ataques se realizan a través de una infraestructura de proxy residencial distribuida para ocultar su ubicación, lo que dificulta la detección tradicional.
Conoce más sobre: Hackers rusos hurtan emails de Microsoft
En resumen, Microsoft está alertando sobre la actividad continua de un grupo de hackers rusos respaldados por el estado que han estado dirigiendo ataques cibernéticos a organizaciones y que emplean tácticas sofisticadas para mantener su presencia y robar información valiosa. Las organizaciones deben tomar medidas para protegerse contra este tipo de amenazas, como asegurar adecuadamente las cuentas y las aplicaciones OAuth.
La advertencia de Microsoft sobre la expansión de APT29 es un recordatorio de la constante evolución de las amenazas cibernéticas. En este contexto, es esencial que tanto individuos como organizaciones estén siempre alerta y actualizados en prácticas de seguridad cibernética. Asimismo, la colaboración internacional juega un papel crucial en la lucha contra estos grupos de ciberespionaje. A medida que avanzamos en esta era digital, la seguridad cibernética se convierte en una prioridad ineludible para garantizar la protección de nuestros datos y sistemas.