Hackers rusos se hacen pasar por diplomáticos para hackear embajadas

Tres expertos en seguridad cibernética han descubierto una operación de piratería masiva dirigida a embajadas diplomáticas. Un grupo de piratas informáticos rusos se hacen pasar por empleados de estas embajadas para engañar a sus víctimas para que descarguen el archivo adjunto malicioso en su correo electrónico. Una vez hecho esto, el malware infecta la PC y recupera una gran cantidad de datos confidenciales.

Créditos: Pexels

En los últimos años, se ha hablado mucho de la escena pirata rusa. Hoy en día, los piratas informáticos del país se encuentran entre los más peligrosos del mundo y no dudan en atacar a las autoridades gubernamentales a través de ataques que a veces tienen consecuencias dramáticas. Desde el comienzo de la guerra en Ucrania, estos últimos han demostrado de lo que son capaces pirateando centrales eléctricas o incluso tomando el control de las cuentas de Facebook de los soldados.

Hoy, una nueva operación fue descubierta por tres expertos en ciberseguridad de la empresa Mandiant. El grupo de hackers que hay detrás se llama APT29, y tiene la particularidad de contar con el apoyo no oficial del gobierno ruso. En otras palabras, estos objetivos se eligen de acuerdo con los intereses políticos de Rusia. Es por eso que APT29 ahora está atacando embajadas.

Campaña rusa de phishing apunta a embajadas y diplomáticos

Los primeros rastros del ataque datan de enero de 2022. Mandiant dice que la operación se prolongó al menos hasta marzo de este año a través de varias oleadas sucesivas. Para empezar, los piratas informáticos se apoderaron de las direcciones de correo electrónico publicadas en los sitios web oficiales de las embajadas. De esta forma, se aseguraban de no despertar sospechas en sus víctimas.

Una vez hecho esto, se dirigieron a otros diplomáticos y empleados de la embajada enviándoles un correo electrónico, reclamando un cambio en las reglas de procedimiento, para llamar su atención. El correo electrónico en cuestión contiene un archivo adjunto que puede resultar ser una imagen o un archivo ISO. En realidad, el archivo contiene un archivo INK, es decir, un acceso directo de Windows, que camuflaron usando una extensión y un ícono falso.

mejores contraseñas de hackers francia
Créditos: Pixabay

Cuando se abre el archivo INK, ejecuta un archivo DLL malicioso. A su vez, el archivo DLL inicia la descarga de BOOMIC mediante la aplicación BEATDROP, un malware que se ejecuta directamente en la memoria de la computadora y se conecta a la herramienta en línea Trello, que es muy popular en el mundo dentro de las empresas. Una vez más, el uso de esta herramienta permite que los piratas informáticos pasen desapercibidos. Además, les permite recuperar otras direcciones de correo electrónico de los colaboradores de los diplomáticos objetivo.

Las embajadas tienen su red infiltrada y sus datos confidenciales robados

Cuando se inicia BOOMIC, realiza varias tareas que van desde recuperar entradas de teclado, guardar capturas de pantalla, instalar un servidor proxy, pero también cosas más serias como filtrar credenciales de cuentas o escanear puertos. Finalmente, el malware es capaz de modificar el Registro de Windows para descargar otros códigos y aplicaciones maliciosos.

Relacionado — Ransomware: los piratas informáticos rusos se embolsaron el 74 % de los rescates en 2021

En menos de 12 horas, los hackers de APT29 logran obtener el nivel más alto de privilegios dentro de la red de la embajada, lo que entre otras cosas les da permiso para escribir archivos que contienen tickets de Kerberos. A partir de ese momento, pueden escanear toda la red en busca de otras víctimas y direcciones de correo electrónico para enviar BOOMIC.

“El análisis de SharedReality.dll ha identificado que es un cuentagotas de solo memoria escrito en el lenguaje Go que descifra y ejecuta una carga útil BEACON incrustada. La carga útil de BEACON se identificó como SMB BEACON que se comunica a través de Named Pipe of SharedReality.dll”dijo Mandiant en su comunicado de prensa.

Leave a Reply

Your email address will not be published.