El GRU ruso penetra en empresas logísticas para espiar la ayuda militar a Ucrania.
Se llevó a cabo la supervisión de las cámaras en los puntos de cruce fronterizo.
Desde el año 2022, el grupo de ciberenfrentamiento conocido como Fancy Bear ha estado dirigiendo su atención a organizaciones logísticas en países occidentales, con la intención de monitorear la ayuda extranjera destinada a Ucrania. Este grupo, también denominado APT28, ha sido identificado por un informe conjunto de ciberseguridad elaborado por 21 agencias gubernamentales de Estados Unidos, Reino Unido, Canadá, Alemania, Francia, República Checa, Polonia, Austria, Dinamarca y los Países Bajos.
El análisis revela que Fancy Bear ha puesto en la mira a proveedores logísticos, empresas tecnológicas y gobiernos que facilitan el transporte de asistencia hacia Ucrania. Las operaciones abarcan todos los modos de transporte, incluyendo aéreo, marítimo y ferroviario, involucrando sectores variados como defensa, transporte, gestión de tráfico aéreo y servicios informáticos.
Las empresas que fueron objeto de estas intrusiones se encontraban en varias naciones, entre las que se incluyen Bulgaria, República Checa, Francia, Alemania, Grecia, Italia, Moldavia, Países Bajos, Polonia, Rumania, Eslovaquia, Ucrania y Estados Unidos. Además, los atacantes monitorearon cámaras de videovigilancia en los cruces fronterizos como parte de su estrategia de espionaje.
Para obtener acceso inicial, Fancy Bear utilizó métodos de adivinación de credenciales y ataques de fuerza bruta, además de llevar a cabo campañas de phishing dirigidas y aprovechar vulnerabilidades en el software. Específicamente, emplearon la vulnerabilidad CVE-2023-23397 para atacar sistemas como Microsoft Exchange, Roundcube Webmail y WinRAR, lo que les permitió infiltrar redes corporativas. Una vez dentro, utilizaron herramientas como PsExec e Impacket para moverse lateralmente por la red, manipulando permisos de buzones de correo electrónico y ocultándose mediante el uso de Tor y VPNs para espiar comunicaciones sensibles.
El conflicto entre Rusia y Ucrania ha puesto de manifiesto cómo ha cambiado la guerra en los últimos años, destacando que el ciberespacio se ha convertido en un campo de batalla fundamental, con ciberdelincuentes de ambas partes atacando información crítica e infraestructura esencial. Este ataque debe servir como un recordatorio de que los sistemas ciberfísicos son ahora objetivos estratégicos para los adversarios, según Andrew Lintell, gerente general de EMEA en Claroty. Para hacer frente a estas amenazas, se requiere que las organizaciones tengan una visibilidad completa de sus entornos y adopten un enfoque basado en riesgos para su seguridad, dado que muchos de estos dispositivos, como las cámaras de seguridad, no fueron diseñados para enfrentar las amenazas modernas, convirtiéndolos en puntos de entrada vulnerables.
