La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una alerta el martes que detalla una variedad de tácticas utilizadas por grupos patrocinados por el estado ruso para atacar a los gobiernos locales y tribales en los EE. UU. entre septiembre de 2020 y diciembre de 2020.
Cuando se le preguntó por qué se estaba publicando la guía ahora y qué gobiernos locales fueron atacados en 2020, CISA dijo que era parte de su «misión continua de ciberseguridad» con «socios interinstitucionales para advertir a las organizaciones sobre posibles ciberamenazas criminales o estatales».
«Como se describe en el aviso, los actores patrocinados por el estado ruso se han dirigido a una variedad de organizaciones de infraestructura crítica de EE. UU. e internacionales a lo largo de los años. Esta guía se publica para compartir ampliamente tácticas, técnicas y procedimientos conocidos, y alentar a los defensores de la red a tomar acciones recomendadas», dijo un vocero de CISA.
La alerta decía que los actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés) patrocinados por el estado ruso generalmente se han dirigido a las organizaciones de infraestructura crítica internacionales y de EE. gobiernos territoriales (SLTT) y redes de aviación en el otoño de 2020.
CISA dijo que los grupos «se dirigieron a docenas de redes gubernamentales y de aviación SLTT» y pudieron comprometer las redes con éxito antes de extraer datos de un número desconocido de víctimas.
La agencia de ciberseguridad de EE. UU. también dijo que los grupos APT llevaron a cabo campañas de «intrusión en varias etapas» en varias empresas del sector energético, implementando malware centrado en ICS y recopilando datos empresariales y relacionados con ICS de 2011 a 2018.
El aviso incluye una variedad de consejos para las organizaciones mientras intentan protegerse a sí mismas y a sus sistemas. CISA, el FBI y la NSA también publicaron una lista completa de vulnerabilidades que los grupos patrocinados por el estado ruso suelen usar para obtener acceso inicial a las redes objetivo.
Rick Holland, CISO de Digital Shadows, dijo que estos grupos usan «tácticas comunes pero efectivas», confiando en la fruta al alcance de la mano, así como en capacidades sofisticadas.
«Si bien no es sexy, la higiene de seguridad efectiva, como parchear vulnerabilidades conocidas en servicios externos, aumenta los costos del adversario y dificulta su trabajo. No sea un objetivo fácil», dijo Holland, señalando los problemas geopolíticos recientes que involucran a EE. UU. y Rusia. relación.
El experto en la industria de ICS/OT, Mark Carrigan, dijo que la guía sería útil porque «las amenazas altamente sofisticadas de los actores patrocinados por el estado no van a desaparecer y las empresas grandes y pequeñas están en la mira».
«La influencia política que se puede obtener al infiltrarse en la infraestructura crítica es enorme», dijo Carrigan, vicepresidente de ciberseguridad de OT en Hexagon PPM. «Las huellas dactilares de Energetic Bear, la organización rusa detrás de los ataques anteriores a la infraestructura crítica, son visibles en estas actividades recientes».
EE. UU. aún se encuentra en proceso de recuperación del escándalo de SolarWinds, en el que grupos gubernamentales rusos obtuvieron acceso generalizado a 100 contratistas gubernamentales y múltiples agencias, incluidos el Departamento de Estado, el Departamento de Seguridad Nacional, los Institutos Nacionales de Salud, el Pentágono, el Tesoro. Departamento, el Departamento de Comercio, el Departamento de Energía y la Administración Nacional de Seguridad Nuclear.
La representante Carolyn Maloney, presidenta del Comité de Supervisión y Reforma de la Cámara de Representantes, celebró una audiencia el martes sobre los esfuerzos para fortalecer la Ley Federal de Gestión de la Seguridad de la Información (FISMA), que obligaría a las agencias federales a mejorar sus estándares de ciberseguridad.
Maloney señaló que FISMA no se ha actualizado desde 2014 y que las agencias federales informaron 30,819 incidentes de seguridad cibernética solo en 2020.
El lanzamiento de CISA también se produce cuando EE. UU. y Rusia discuten sobre múltiples problemas en Ucrania y Kazajstán. La alerta cita ataques informados anteriormente por grupos rusos en infraestructura crítica en Ucrania. Un informe de Seguridad Nacional de EE. UU. de 2016 dijo que 225.000 clientes se quedaron sin electricidad dos días antes de Navidad debido al ataque ruso a tres empresas regionales de distribución de energía eléctrica.
CISA explicó el martes que los grupos rusos involucrados en el ataque usaron el malware BlackEnergy para robar las credenciales de los usuarios, y luego usaron su componente de malware KillDisk para hacer que las computadoras infectadas no funcionen.
“En 2016, estos actores llevaron a cabo una campaña de intrusión cibernética contra una empresa de transmisión eléctrica ucraniana e implementaron el malware CrashOverride diseñado específicamente para atacar las redes eléctricas”, dice la alerta de CISA.
Chris Krebs, ex director de CISA, tuiteó sobre la alerta, diciendo«El estado y el NSC están en Ginebra en este momento tratando de mantener a los rusos fuera de Ucrania, pero en caso de que eso no funcione, es posible que desee prepararse para la maldad…»