Oso acogedor - Cozy Bear
| Formación | C. 2008 |
|---|---|
| Escribe | Amenaza Persistente Avanzada |
| Objetivo | Ciberespionaje , guerra cibernética |
Región |
Rusia |
| Métodos | Spearphishing , malware |
Idioma oficial |
ruso |
Organización matriz |
ya sea FSB o SVR |
| Afiliaciones | Oso de lujo |
Anteriormente llamado |
APT29, CozyCar, CozyDuke, Dark Halo, The Dukes, Grizzly Steppe (cuando se combina con Fancy Bear ), NOBELIUM, Office Monkeys, StellarParticle, UNC2452, YTTRIUM |
Cozy Bear , clasificado por el gobierno federal de los Estados Unidos como amenaza persistente avanzada APT29 , es un grupo de hackers rusos que se cree que está asociado con una o más agencias de inteligencia de Rusia . El Servicio de Seguridad e Inteligencia General de los Países Bajos (AIVD) dedujo de las imágenes de las cámaras de seguridad que está dirigido por el Servicio de Inteligencia Exterior de Rusia (SVR); Estados Unidos comparte esta opinión . La empresa de ciberseguridad CrowdStrike también sugirió anteriormente que podría estar asociada con el Servicio Federal de Seguridad de Rusia (FSB) o SVR. El grupo recibió varios apodos de otras empresas de ciberseguridad, como CozyCar , CozyDuke (de F-Secure ), Dark Halo , The Dukes (de Volexity), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 e YTTRIUM .
El 20 de diciembre de 2020, se informó que CozyBear fue responsable de un ataque cibernético a datos nacionales soberanos de EE. UU., Se cree que fue dirigido por el gobierno ruso.
Métodos y capacidad técnica
Kaspersky Lab determinó que las primeras muestras del malware MiniDuke atribuidas al grupo datan de 2008. El código original estaba escrito en lenguaje ensamblador . Symantec cree que Cozy Bear ha estado comprometiendo a organizaciones diplomáticas y gobiernos desde al menos 2010.
El malware CozyDuke utiliza una puerta trasera y un gotero . El malware exfiltra datos a un servidor de comando y control . Los atacantes pueden adaptar el malware al entorno. Los componentes de la puerta trasera del malware de Cozy Bear se actualizan con el tiempo con modificaciones en la criptografía , la funcionalidad de los troyanos y la antidetección. La velocidad a la que Cozy Bear desarrolla y despliega sus componentes recuerda al conjunto de herramientas de Fancy Bear, que también utiliza las herramientas CHOPSTICK y CORESHELL.
El conjunto de herramientas de malware CozyDuke de Cozy Bear es estructural y funcionalmente similar a los componentes de la segunda etapa utilizados en las primeras operaciones de Miniduke, Cosmicduke y OnionDuke. Un módulo de segunda etapa del malware CozyDuke, Show.dll, parece haberse construido en la misma plataforma que OnionDuke, lo que sugiere que los autores están trabajando juntos o son las mismas personas. Las campañas y los conjuntos de herramientas de malware que utilizan se denominan Dukes, incluidos Cosmicduke, Cozyduke y Miniduke. CozyDuke está conectado a las campañas MiniDuke y CosmicDuke, así como a la campaña de ciberespionaje OnionDuke. Cada grupo de amenazas rastrea sus objetivos y usa conjuntos de herramientas que probablemente fueron creados y actualizados por hablantes de ruso. Tras la exposición del MiniDuke en 2013, las actualizaciones del malware se escribieron en C / C ++ y se incluyeron con un nuevo ofuscador .
Se sospecha que Cozy Bear está detrás de la herramienta de acceso remoto 'HAMMERTOSS' que utiliza sitios web comúnmente visitados como Twitter y GitHub para transmitir datos de comandos .
Seaduke es un troyano de bajo perfil y altamente configurable que solo se utiliza para un pequeño conjunto de objetivos de alto valor. Normalmente, Seaduke se instala en sistemas que ya están infectados con CozyDuke, mucho más distribuido.
Ataques
Cozy Bear parece tener diferentes proyectos, con diferentes grupos de usuarios. El foco de su proyecto "Nemesis Gemina" son los sectores militar, gubernamental, energético, diplomático y de telecomunicaciones. La evidencia sugiere que los objetivos de Cozy Bear han incluido entidades comerciales y organizaciones gubernamentales en Alemania, Uzbekistán, Corea del Sur y los EE. UU., Incluidos el Departamento de Estado de EE. UU. Y la Casa Blanca en 2014.
Monos de oficina (2014)
En marzo de 2014, se descubrió que un instituto de investigación privado con sede en Washington DC tenía CozyDuke (Trojan.Cozer) en su red. Luego, Cozy Bear inició una campaña de correo electrónico para intentar atraer a las víctimas para que hicieran clic en un video flash de monos de oficina que también incluiría ejecutables maliciosos. En julio, el grupo había comprometido las redes gubernamentales y había ordenado a los sistemas infectados por CozyDuke que instalaran Miniduke en una red comprometida.
En el verano de 2014, agentes digitales del Servicio de Seguridad e Inteligencia General de los Países Bajos se infiltraron en Cozy Bear. Descubrieron que estos piratas informáticos rusos tenían como objetivo el Partido Demócrata de Estados Unidos, el Departamento de Estado y la Casa Blanca. Su evidencia influyó en la decisión del FBI de abrir una investigación.
Pentágono (agosto de 2015)
En agosto de 2015, Cozy Bear fue vinculado a un ciberataque de phishing contra el sistema de correo electrónico del Pentágono que provocó el cierre de todo el sistema de correo electrónico no clasificado del Estado Mayor Conjunto y el acceso a Internet durante la investigación.
Comité Nacional Demócrata (2016)
En junio de 2016, Cozy Bear estuvo implicado junto con el grupo de hackers Fancy Bear en los ciberataques del Comité Nacional Demócrata . Si bien los dos grupos estaban presentes en los servidores del Comité Nacional Demócrata al mismo tiempo, parecían no estar al tanto del otro, cada uno robando independientemente las mismas contraseñas y duplicando sus esfuerzos. Un equipo forense de CrowdStrike determinó que, si bien Cozy Bear había estado en la red de DNC durante más de un año, Fancy Bear solo había estado allí unas pocas semanas. El oficio más sofisticado de Cozy Bear y el interés en el espionaje tradicional a largo plazo sugieren que el grupo se origina en una agencia de inteligencia rusa separada.
Think tanks y ONG de EE. UU. (2016)
Después de las elecciones presidenciales de Estados Unidos de 2016 , Cozy Bear se vinculó a una serie de campañas de spear phishing coordinadas y bien planificadas contra grupos de expertos y organizaciones no gubernamentales (ONG) con sede en Estados Unidos.
Gobierno noruego (2017)
El 3 de febrero de 2017, el Servicio de Seguridad de la Policía de Noruega (PST, por sus siglas en inglés) informó que se habían realizado intentos de phishing con lanza en las cuentas de correo electrónico de nueve personas en el Ministerio de Defensa , el Ministerio de Relaciones Exteriores y el Partido Laborista . Los actos se atribuyeron a Cozy Bear, cuyos objetivos incluían a la Autoridad Noruega de Protección Radiológica , el jefe de la sección del PST, Arne Christian Haugstøyl, y un colega no identificado. La primera ministra Erna Solberg calificó los actos como "un grave ataque a nuestras instituciones democráticas". Según los informes, los ataques se llevaron a cabo en enero de 2017.
Ministerios holandeses (2017)
En febrero de 2017, se reveló que Cozy Bear y Fancy Bear habían hecho varios intentos de piratear ministerios holandeses, incluido el Ministerio de Asuntos Generales , durante los seis meses anteriores. Rob Bertholee , jefe de la AIVD, dijo en EenVandaag que los piratas informáticos eran rusos y habían intentado acceder a documentos secretos del gobierno.
En una sesión informativa al parlamento, el ministro holandés del Interior y Relaciones del Reino, Ronald Plasterk, anunció que los votos para las elecciones generales holandesas de marzo de 2017 se contarían a mano.
Operación fantasma
Las sospechas de que Cozy Bear había cesado sus operaciones se disiparon en 2019 con el descubrimiento de tres nuevas familias de malware atribuidas a Cozy Bear: PolyglotDuke, RegDuke y FatDuke. Esto muestra que Cozy Bear no cesó sus operaciones, sino que desarrolló nuevas herramientas que eran más difíciles de detectar. Los compromisos de Target que utilizan estos paquetes recién descubiertos se denominan colectivamente Operación Fantasma.
Datos de la vacuna COVID-19 (2020)
En julio de 2020, Cozy Bear fue acusado por la NSA , NCSC y el CSE de intentar robar datos sobre vacunas y tratamientos para COVID-19 que se están desarrollando en el Reino Unido, EE. UU. Y Canadá.
Ataque de cadena de suministro de malware SUNBURST (2020)
El 8 de diciembre de 2020, la firma estadounidense de ciberseguridad FireEye reveló que una colección de sus propias herramientas de investigación de ciberseguridad había sido robada, posiblemente por "una nación con capacidades ofensivas de primer nivel". El 13 de diciembre de 2020, FireEye anunció que las investigaciones sobre las circunstancias de ese robo de propiedad intelectual revelaron "una campaña de intrusión global ... [utilizando un] ataque a la cadena de suministro que troyanó las actualizaciones del software empresarial SolarWinds Orion para distribuir el malware que llamamos SUNBURST ... . Esta campaña puede haber comenzado ya en la primavera de 2020 y ... es el trabajo de un actor altamente calificado [que utiliza] una seguridad operativa significativa ".
Poco después, SolarWinds confirmó que varias versiones de sus productos de plataforma Orion se habían visto comprometidas, probablemente por una nación extranjera. El impacto del ataque llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una directiva de emergencia poco común. Aproximadamente 18.000 clientes de SolarWinds estuvieron expuestos a SUNBURST, incluidas varias agencias federales de EE . UU . Fuentes del Washington Post identificaron a Cozy Bear como el grupo responsable del ataque.
Según Microsoft, los piratas informáticos luego robaron certificados de firma que les permitieron hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del lenguaje de marcado de aserción de seguridad . Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una forma para que los proveedores de identidad intercambien datos de autenticación y autorización con los proveedores de servicios.
Comité Nacional Republicano (2021)
En julio de 2021, Cozy Bear violó los sistemas del Comité Nacional Republicano . Los funcionarios dijeron que creían que el ataque se había llevado a cabo a través de Synnex . El ciberataque se produjo en medio de una mayor repercusión sobre el ataque de ransomware que se propagó a través del software Kaseya VSA comprometido .