El Departamento de Seguridad Interna de Estados Unidos y el FBI dieron a conocer el 29 de diciembre pasado un informe y análisis conjunto que confirma la larga investigación pública realizada por FireEye, la cual indica que el grupo APT28 es responsable por operaciones extensivas en apoyo a los intereses estratégicos rusos, principalmente los relacionados con defensa y geopolítica.
De acuerdo con Laura Galante, directora de inteligencia contra amenazas de FireEye, el contenido del informe revela mucho más de la posición política asumida por Rusia durante las elecciones presidenciales estadounidenses en 2016, que culminaron con la victoria del candidato republicano Donald Trump. “Ahora el punto más importante es comprender cómo son ejecutadas las operaciones llevadas por Rusia para alterar información – incluyendo intrusiones y ataques – con el objetivo de debilitar instituciones, gobiernos y demás actores que, de acuerdo con la percepción del gobierno ruso, constriñen y condenan sus actividades”.
Activo desde 2007, el grupo APT28 ganó mayor relevancia en los últimos dos años al realizar actividades de intrusión.
“Las operaciones destinadas a las elecciones americanas son apenas el último ejemplo de una capacidad poco comprendida que ya fue utilizada contra la OTAN (Organización del Tratado del Atlántico Norte), el gobierno alemán, organizaciones de medios e individuos clave”, concluyó Galante.
El malware y las tácticas de APT28 utilizan un conjunto de malware con características indicativas de los planos de grupo para operaciones continuas, ya sea como acceso de grupo a recursos y desarrolladores calificados, realizados con ayuda de un framework modular, ambiente de código formal y capacidad deincorporar análisis de resultados.
Estas herramientas utilizadas para llevar a cabo las operaciones, ponen en evidencia el apoyo del gobierno de Rusia. Una vez que el 97% de las muestras de malware fueron compiladas durante los días de la semana de trabajo, el 88% de éstas fueron en el periodo entre las 8 y las 18 horas del uso horarios de ciudades como Moscú y San Petersburgo. Además de eso, los desarrolladores de APT28 construyen malware con configuración en idioma ruso desde 2013.
El ataque se sucede normalmente en cuatro principales formas: infección con malware vía spear-phish; acceso a un webmail vía spear-pish; malware a través de comprometer estratégicamente la web (SWC por sus siglas en inglés); y acceso a servidores de internet. Cada una de estas tácticas suceden en cuatro o cinco etapas hasta que la red de la víctima queda completamente invadida.
Finalmente, el estudio señala que después de comprometer la organización víctima, el APT28 roba datos internos, los cuales son compartidos, alineados a las políticas e intereses rusos.
