Tarlogic ha inventariado una veintena de herramientas maliciosas empleadas por este grupo vinculado a la inteligencia militar rusa y cuyos objetivos han sido las elecciones de Estados Unidos, Emmanuel Macron, el Bundestag y el CSIC español
09 mar 2023 . Actualizado a las 18:31 h.Tarlogic Security, la empresa de servicios de ciberseguridad con sedes en Santiago y Madrid, ha presentado esta tarde en la capital de España la investigación que ha realizado sobre las técnicas y procedimientos que emplea Fancy Bear, un grupo criminal de ciberinteligencia ruso, especializado en robar información de alto nivel para desestabilizar a los países occidentales como España. Ana Junquera Méndez, Threat Hunter de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security, ha hecho públicos los resultados de esta investigación para detectar los ciberataques de Fancy Bear en el transcurso de la RootedCON 2023, uno de los mayores congresos de ciberseguridad a nivel global.
Durante el último año, el equipo de Tarlogic ha identificado y analizado las técnicas empleadas por este grupo con el objetivo de optimizar la detección de sus actividades maliciosas. Los ataques efectuados por Fancy Bear para intervenir en las elecciones de Estados Unidos, espiar a Emmanuele Macron, sabotear el CSIC y comprometer las redes del Bundestag muestran que su objetivo es desestabilizar a los países occidentales.
Fancy Bear usa herramientas desarrolladas por el propio grupo para buscar vulnerabilidades en software de uso cotidiano como Internet Explorer, Microsoft Office, Oracle o Adobe. Es decir, soluciones que emplean las víctimas para acceder a documentos que les llegan adjuntos a su correo electrónico o que se descargan a través de otros dispositivos como memorias USB. El grupo ataca a usuarios finales, como profesionales de una empresa o personal de una Administración pública. El objetivo de esta estrategia es lograr un primer vector de entrada en la organización que se busca atacar. A partir de ahí, proceden al despliegue de malware en el equipo del usuario, ganando persistencia en la compañía objetivo del grupo.
Tarlogic ha inventariado más de 20 herramientas maliciosas empleadas por Fancy Bear. Downloaders que sirven para descargar malware como Sofacy; backdoors para controlar el equipo de forma remota como Chopstick; rootkits para ejecutar actividad en el equipo sin dejar rastro como LoJax... Estos malware permiten a Fancy Bear comprometer el equipo de un usuario y actuar como si fuesen empleados maliciosos dentro de la organización. Lo que les facilita su capacidad de acceso y exfiltración de datos de gran valor.
¿Qué es Fancy Bear?
Fancy Bear es un APT, es decir, amenaza persistente avanzada. Lo que implica que realiza ataques de manera periódica a lo largo de un gran periodo de tiempo. Es capaz de adaptarse a las nuevas defensas que se diseñan en el terreno de la ciberseguridad. Y mantiene un alto nivel de interacción. Este grupo de ciberdelincuentes, vinculado con la inteligencia militar rusa, comenzó a operar a mediados de la década de los 2000 y se ha centrado en espiar y robar información sensible a instituciones y compañías de sectores clave: defensa, aeroespacial, energía, gobiernos, medios de comunicación y disidentes.
Desnudando las tácticas, técnicas y procedimientos del grupo
Los ciberataques dejan rastro. Los indicadores de compromiso (IOCs), como un fichero o el registro de una comunicación con una dirección de IP maliciosa, han sido empleados para rastrear las actividades delictivas. Sin embargo, estos indicadores son fácilmente modificables por un grupo de ciberdelincuencia tan avanzado como Fancy Bear. Lo que les permite ocultar el rastro que dejan sus actividades criminales. Por ello, la estrategia llevada a cabo por el equipo de BlackArrow de Tarlogic ha consistido, como señala Ana Junquera Méndez, en identificar y analizar las tácticas, técnicas y procedimientos (TTPs) diseñados e implementados por Fancy Bear. Estos TTPs son altamente invariables, de ahí que esta estrategia sea más adecuada para ciberataques sofisticados, como los que lleva a cabo este grupo criminal de ciberinteligencia ruso.
Tarlogic se ha centrado en desentrañar las últimas cuatro fases de la cadena de compromiso de los ataques de Fancy Bear: explotación, instalación, mando y control y acciones sobre objetivos. Así, la compañía de ciberseguridad ha procedido a identificar y estudiar las técnicas y procedimientos utilizados por el grupo, para cada una de las mencionadas fases de la cadena de compromiso. Desde la ejecución y la evasión de defensas, hasta la recopilación y exfiltración de información, pasando por la escalada de privilegios o el movimiento lateral dentro de los sistemas de las organizaciones que atacan.Gracias a esta investigación es posible entender cómo opera Fancy Bear y establecer oportunidades de detección de sus tácticas y técnicas. Lo que facilitará la capacidad de contener sus ataques contra las democracias occidentales y mitigar sus repercusiones económicas, políticas y sociales.
Tarlogic es una empresa de servicios de ciberseguridad con sedes en Santiago (Teo, A Coruña) y Madrid. Su plantilla está integrada por un centenar de profesionales, el 90 % de ellos ingenieros y profesionales de alto nivel de especialización en campos como la ciberseguridad, la ciberinteligencia o la auditoría de servicios ofensivos y defensivos. La compañía cuenta entre sus clientes con empresas del Ibex 35, así como firmas líderes en sus respectivos sectores. Este año volvió a ser incluida en el ránking 1000 Europe's Fastest Growing Companies que elabora el Financial Times.
