Detección de ataques de la Unidad 29155: División de Inteligencia Militar afiliada a Rusia ataca infraestructura crítica a nivel global
Tabla de contenidos:
Los notorios grupos de hackers afiliados a Rusia están planteando desafíos desalentadores para las fuerzas defensivas, mejorando continuamente sus TTPs adversarios y mejorando las técnicas de evasión de detección. Tras el estallido de la guerra a gran escala en Ucrania, los colectivos APT respaldados por Rusia están especialmente activos mientras usan el conflicto como campo de pruebas para nuevos enfoques maliciosos. Además, se aprovechan métodos probados contra grandes objetivos de interés para el gobierno de Moscú en todo el mundo. Por ejemplo, en octubre de 2023, el APT28 ruso hackeó los sectores público y privado en Francia, utilizando las mismas vulnerabilidades y TTPs que en Ucrania durante 2022-2023.
El asesoramiento conjunto más reciente de CISA, NSA y FBI advierte nuevamente a los defensores cibernéticos sobre la amenaza creciente que representan los actores afiliados a Rusia. Específicamente, la unidad de inteligencia militar vinculada a la Dirección Principal de Inteligencia del Estado Mayor ruso (GRU) y rastreada como Unidad 29155 es responsable de una operación ofensiva de larga duración contra sectores críticos de infraestructura en los EE.UU. y en todo el mundo. Las operaciones duraron desde enero de 2022, cuando los actores cibernéticos desplegaron el destructivo malware WhisperGate contra múltiples organizaciones en Ucrania. Junto con operaciones como WhisperGate y otros ciberataques dirigidos a Ucrania, los actores cibernéticos han llevado a cabo operaciones de red contra varios miembros de la OTAN en Europa y América del Norte, así como en varios países de Europa, América Latina y Asia Central.
Detectar Ataques de la Unidad 29155
La creciente amenaza que presentan los colectivos APT exige una ultra capacidad de respuesta de los defensores cibernéticos para detectar ataques en tiempo real y tomar medidas proactivas contra intrusiones potenciales. Para adelantarse a las operaciones maliciosas orquestadas por la Unidad 29155 (también conocida como Cadet Blizzard, Ember Bear, UAC-0056), los profesionales de seguridad pueden aprovechar la Plataforma SOC Prime para la defensa cibernética colectiva. La Plataforma cura una colección de reglas Sigma dedicadas a abordar los TTPs de los atacantes, emparejados con soluciones avanzadas de detección y caza de amenazas para facilitar la investigación de amenazas.
Presiona el Explorar Detecciones botón de abajo e inmediatamente profundiza en un stack de detección personalizado que aborda los TTPs de la Unidad 29155 descritos en el aviso AA24-249A. Las reglas son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake, y están mapeadas al marco MITRE ATT&CK®. Además, las reglas están enriquecidas con metadatos extensivos, incluyendo intel de amenazas referencias, cronogramas de ataque y recomendaciones.
Los defensores cibernéticos que buscan más reglas para abordar los TTPs vinculados a la Unidad 29155 podrían buscar en el Mercado de Detección de Amenazas usando etiquetas personalizadas basadas en los identificadores del grupo: “Cadet Blizzard”, “DEV-0586”, “Ember Bear”, “Frozenvista”, “UNC2589”, “UAC-0056”, “Unidad 29155.”
Dado que la Unidad 29155 del GRU tiende a explotar un conjunto de vulnerabilidades conocidas para el reconocimiento y el acceso inicial, los profesionales de seguridad pueden acceder a colecciones dedicadas de reglas Sigma que abordan intentos de explotación de CVEs destacados utilizando los enlaces a continuación.
Reglas Sigma para Detectar Intentos de Explotación de CVE-2020-1472
Reglas Sigma para Detectar Intentos de Explotación de CVE-2021-26084
Reglas Sigma para Detectar Intentos de Explotación de CVE-2021-3156
Reglas Sigma para Detectar Intentos de Explotación de CVE-2021-4034
Reglas Sigma para Detectar Intentos de Explotación de CVE-2022-26138
Reglas Sigma para Detectar Intentos de Explotación de CVE-2022-26134
Además, el grupo utiliza principalmente técnicas estándar de red-teaming y herramientas ampliamente disponibles, como Raspberry Robin y SaintBot, compartiendo frecuentemente tácticas con otros actores cibernéticos. Esta superposición complica los esfuerzos para atribuir con precisión sus actividades. Para detectar ataques que involucren herramientas destacadas, los defensores cibernéticos podrían referirse a las listas de reglas a continuación.
Reglas Sigma Detectando Actividad Maliciosa Asociada con SaintBot
Reglas Sigma Detectando Actividad Maliciosa Asociada con Raspberry Robin
Para simplificar la investigación de amenazas, los profesionales de seguridad podrían usar Uncoder AI, el primer copiloto de AI de la industria para Ingeniería de Detección, para buscar instantáneamente indicadores de compromiso proporcionados en el aviso relacionado. Uncoder AI actúa como un empaquetador de IOCs, permitiendo a los defensores cibernéticos interpretar sin esfuerzo los IOCs y generar consultas de caza personalizadas. Estas consultas pueden integrarse sin problemas en sus sistemas SIEM o EDR preferidos para su ejecución inmediata.
Análisis de Ataques de la Unidad 29155
The aviso AA24-249A emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), Agencia de Seguridad Nacional (NSA) y Oficina Federal de Investigación (FBI) el 5 de septiembre de 2024 advierte a los defensores cibernéticos sobre la masiva operación ofensiva orquestada por los actores cibernéticos afiliados a Rusia vinculados al Centro de Entrenamiento Especializado 161 del GRU (Unidad 29155).
El NCSC del Reino Unido reveló que la Unidad 29155 consiste principalmente en oficiales junior del GRU en servicio activo, pero también recluta individuos no pertenecientes al GRU, incluidos cibercriminales y facilitadores conocidos, para llevar a cabo sus operaciones. Este grupo opera de manera diferente a las unidades cibernéticas más prominentes vinculadas al GRU, como la Unidad 26165 (Fancy Bear) y la Unidad 74455 (Sandworm).
A principios de enero de 2022, los actores cibernéticos del GRU desplegaron el destructor WhisperGate en ataques contra Ucrania, derribando los activos en línea del gobierno del país. A partir del 17 de enero de 2022, hasta 70 sitios web experimentaron problemas temporales de rendimiento debido a la intrusión, incluidos el Gabinete, siete ministerios, el Tesoro, el Servicio Nacional de Emergencias y los servicios estatales. Además, múltiples organizaciones sin fines de lucro y principales empresas de TI ucranianas fueron víctimas del ataque.
El aviso señala además que la Unidad 29155 expandió sus operaciones maliciosas a países europeos, América Latina y Asia Central, frecuentemente apuntando a miembros de la OTAN. Sus campañas de ciberespionaje, sabotaje y desinformación se centraron principalmente en los sectores gubernamental, financiero, de transporte, energético y sanitario en regiones de interés estratégico para Moscú. Las actividades de la Unidad 29155 incluyeron desfiguraciones de sitios web, escaneo de infraestructuras, exfiltración de datos y filtraciones de información destinadas a socavar los sistemas y reputaciones críticos. Según el FBI, se han detectado más de 14,000 instancias de escaneo de dominios en al menos 26 miembros de la OTAN y varios países adicionales de la UE.
Los actores cibernéticos de la Unidad 29155 han sido identificados apuntando a rangos de IP asociados con diversas organizaciones gubernamentales e infraestructuras críticas. Han empleado varias herramientas de acceso público como Acunetix, Nmap, VirusTotal, Shodan, DroopeScan, JoomScan para identificar puertos abiertos, servicios y vulnerabilidades en redes objetivo, obtener subdominios para proceder con ataques, descubrir máquinas de interés, etc.
Los actores cibernéticos de la Unidad 29155 realizan reconocimiento en redes víctimas para identificar vulnerabilidades en servidores web y máquinas. Adquieren scripts de explotación de CVE en GitHub, pero se ha observado que los usan principalmente para reconocimiento en lugar de explotación. Los CVEs notables que han adquirido incluyen CVE-2020-1472, CVE-2021-3156, CVE-2022-26134, y muchos otros.
Además, el grupo emplea técnicas comunes de red-teaming y herramientas ampliamente accesibles como Raspberry Robin y SaintBot para proceder con sus operaciones maliciosas. Su uso de estas técnicas a menudo se superpone con el de otros actores cibernéticos, lo que hace que sea un desafío atribuir sus actividades con precisión.
Para minimizar los riesgos de los ataques de la Unidad 29155, los defensores recomiendan aplicar parches para los CVEs utilizados como arma por el grupo, segmentar las redes para evitar la propagación de la actividad maliciosa y habilitar la autenticación MFA para todos los activos expuestos a la web. Detective de Ataques de SOC Prime ayuda a las organizaciones a optimizar su postura de ciberseguridad al obtener una visibilidad completa de amenazas y mejorar la cobertura de detección, obteniendo acceso a reglas de alta calidad y bajo ruido para alertas, y permitiendo la caza de amenazas automatizada.
