Hackers rusos muy activos: Fancy Bear ataca a proveedores de armas ucranianos

Los fabricantes de armas soviéticas fuera de Rusia son la columna vertebral de la defensa ucraniana. Pero estas empresas en Bulgaria, Rumania y Ucrania son aparentemente presa fácil para Fancy Bear, un conocido equipo de piratas informáticos del Kremlin.

El famoso grupo de hackers ruso Fancy Bear ha atacado a empresas de armas que suministran armas a Ucrania. Así lo revela un reciente estudio de la empresa de seguridad alemana Eset de Jena. Posteriormente, los ataques se dirigieron principalmente contra los fabricantes de tecnología armamentística soviética en Bulgaria, Rumania y Ucrania, que desempeñaron un papel clave en la defensa contra la invasión rusa. Las fábricas de armamento en África y Sudamérica también se vieron afectadas.

El grupo de hackers Fancy Bear también es conocido como Sednit o APT28. También se le atribuyen los atentados contra el Bundestag alemán en 2015, contra la política estadounidense Hillary Clinton un año después y contra la sede del partido SPD en 2023. Según los expertos, el grupo forma parte de una estrategia más amplia de los servicios de inteligencia rusos para utilizar los ciberataques como medio de influencia política y desestabilización. Además del espionaje, el foco también está en campañas de desinformación dirigidas contra las democracias occidentales.

En la actual campaña de espionaje denominada "Operación RoundPress", los piratas informáticos explotaron vulnerabilidades en programas de correo web populares, incluidos Roundcube, Zimbra, Horde y MDaemon. Varias vulnerabilidades podrían haberse eliminado mediante un buen mantenimiento del software. Sin embargo, en un caso, las empresas afectadas quedaron prácticamente impotentes porque los atacantes lograron explotar una vulnerabilidad de seguridad previamente desconocida en MDaemon que inicialmente no se pudo cerrar.

Según los investigadores de Eset, los ataques generalmente se lanzaban con correos electrónicos manipulados disfrazados de informes de noticias. Los remitentes parecen ser fuentes confiables como Kyiv Post o el portal de noticias búlgaro News.bg. Tan pronto como se abre el correo electrónico en el navegador, se inicia un código malicioso oculto. Los filtros de spam se han superado con éxito.

Los expertos de Jena pudieron identificar el malware "SpyPress.MDAEMON" al analizar los ataques. El programa hacker no sólo es capaz de leer datos de acceso y rastrear correos electrónicos. Incluso podría eludir la autenticación de dos factores. La autenticación de dos factores (2FA, por sus siglas en inglés) es una medida de seguridad adicional al iniciar sesión en cuentas en línea o acceder a datos confidenciales. Asegura que no sólo es suficiente una contraseña para acceder, sino que también se requiere una segunda prueba. Sin embargo, los hackers de Fancy Bear lograron eludir la protección 2FA en varios casos y obtener acceso permanente a los buzones de correo utilizando las llamadas contraseñas de aplicación.

"Muchas empresas utilizan servidores de correo web obsoletos", afirmó el investigador de Eset Matthieu Faou. "El simple hecho de mostrar un correo electrónico en un navegador puede ser suficiente para ejecutar código malicioso sin que el destinatario haga clic activamente en nada".