El FSB de Rusia está detrás de una campaña masiva de espionaje, mediante phishing

Dos escuadrones de ciberespionaje alineados con Rusia han estado llevando a cabo una sofisticada campaña de phishing dirigido contra entidades de la sociedad civil rusa y occidental durante dos años, según Citizen Lab.

En un nuevo informe publicado el 14 de agosto de 2024, el grupo de investigación de la Universidad de Toronto compartió que Coldriver, un notorio grupo de piratas informáticos respaldado por el Servicio Federal de Seguridad de Rusia (FSB), estaba detrás de la campaña.

Los objetivos incluyen figuras prominentes de la oposición rusa en el exilio, financiadores de organizaciones de medios y personal de ONG estadounidenses y europeas.

La actividad se llevó a cabo junto con Coldwastrel, un grupo recién descubierto. Aunque Citizen Lab reconoce que los ataques de Coldwastrel “se alinean con los intereses del gobierno ruso”, el grupo de investigación no atribuyó formalmente el nuevo actor de amenazas a ningún país.

La campaña de phishing, denominada River of Phish, fue descubierta después de una investigación de un mes realizada por investigadores de Citizen Lab en colaboración con Access Now, una organización sin fines de lucro de defensa de los derechos digitales, así como otras organizaciones de la sociedad civil.

Comenzó en 2022, coincidiendo con la invasión a gran escala de Ucrania por parte de Rusia.

El enfoque típico de los piratas informáticos implica un intercambio de correos electrónicos con el objetivo durante el cual el remitente se hace pasar por alguien que conocen y le pide que revise un documento relevante para su trabajo, como una propuesta de subvención o el borrador de un artículo.

El mensaje de correo electrónico suele contener un señuelo como un archivo PDF adjunto que pretende estar cifrado o «protegido», utilizando un servicio en línea centrado en la privacidad como ProtonDrive, por ejemplo.

Si el objetivo hace clic en el enlace, su navegador obtendrá un código JavaScript del servidor Hostinger del atacante que calcula una huella digital del sistema del objetivo y la envía al servidor. Luego, el objetivo será redirigido a una página web diseñada por el atacante para que parezca una página de inicio de sesión genuina para el servicio de correo electrónico del objetivo (por ejemplo, Gmail o ProtonMail).

Si el objetivo ingresa su contraseña y el código de autenticación de dos factores (2FA) en el formulario, estos elementos se enviarán al atacante, quien los usará para completar el inicio de sesión y obtener una cookie de sesión para la cuenta del objetivo.

El informe también menciona técnicas adicionales para hacer que todo el proceso parezca legítimo y evitar la detección, como omitir intencionalmente el PDF adjunto en un correo electrónico o completar previamente la página de inicio de sesión de correo electrónico falsa con la dirección de correo electrónico del objetivo.

El uso de dominios de Hostinger, que generalmente se alojan en servidores compartidos que rotan las direcciones IP aproximadamente cada 24 horas, hace que la campaña sea más difícil de rastrear.

Coldriver, también conocido como Star Blizzard, (Blue) Callisto y Blue Charlie, es un grupo de ciberespionaje con sede en Rusia que se cree que está vinculado al Centro 18 del FSB.

Citizen Lab dijo que el grupo ha estado activo desde al menos 2019. Algunas empresas de ciberseguridad, incluida F-Secure, creen que el grupo estuvo activo ya en 2017 o incluso en 2015.

Se sabe que se centra en campañas de phishing de credenciales dirigidas a ONG de alto perfil, ex oficiales militares y de inteligencia y gobiernos de la OTAN, con fines de espionaje.

Big HeadSendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.