La agrupación rusa con conexiones militares está en la mira por robar información a través de campañas falsas y apuntar contra blancos de alto perfil como diplomáticos.
Estados Unidos y Europa buscan dar con los responsables de los ataques de hackers y phishing más ambiciosos a nivel mundial. Entre los relevamientos aparece Fighting Ursa, un grupo ruso acusado de realizar campañas falsas para obtener información sensible, de tener vínculos con las Fuerzas Armadas de Rusia y ser funcional a los intereses de Vladimir Putin.
- Te puede interesar: Suplantación de identidad: las 10 marcas que más sufrieron el phishing en lo que va del 2024
El phishing ruso, a la caza de víctimas de alto perfil
Entre 2022 y 2023, el phishing de Fighting Ursa realizó 12 ataques a entidades militares, diplomáticas, públicas y privadas de países europeos, incluso la OTAN, con correos electrónicos infectados.
El grupo buscó objetivos sensibles en Ucrania, Polonia, Estados Unidos, Bélgica y en la alianza militar para extraer información y robar propiedad intelectual. El equipo ruso usó a su favor una vulnerabilidad en la seguridad en Microsoft Outlook para infectar dispositivos sin la necesidad de que el usuario abra el correo.
Recientemente, el mismo grupo fue apuntado por usar una página HTML maliciosa para realizar ventas falsas de autos diplomáticos de lujo y obtener datos sensibles. Fighting Ursa emuló una publicación de un Audi Q7 Quatro y situó el host de la web en Webhook.site y ImgBB.
Al momento de ingresar a la publicación, el propio sitio ofrece la posibilidad de bajar un archivo ZIP que contiene una aplicación escondida en la misma imagen que aparece en la HTML (IMG-387470302099.jpg.exe) con los datos del auto y el contacto del supuesto vendedor.
Este archivo es el disparador del malware HeadLace que actúa en fases para evitar la detección de los antivirus y robar paulatinamente la información del dispositivo infectado.
¿Quiénes están detrás de Fighting Ursa?
La información acerca de la agrupación criminal es difusa, pero Estados Unidos y los distintos organismos de ciberseguridad e inteligencia europeos llevan años recabando datos acerca de Fighting.
Según el informe del Repositorio Europeo de Incidentes Cibernéticos (EuRepoC), el grupo inició su actividad en 2004 y opera bajo los nombres APT28, Fancy Bear y Sofacy, todos categorizados como una amenaza persistente avanzada (APT).
El Departamento de Seguridad de Estados Unidos (DHS) y la Oficina Federal de Investigación (FBI) lo relacionaron en 2016 con el ejército ruso y con organizaciones de inteligencia civiles.
El Servicio de Inteligencia de Estonia afirmó en 2018 que los mismos individuos están permanentemente vinculados a la Unidad de Ciberseguridad 26165 del Departamento Central de Inteligencia (GRU), bajo la órbita de las Fuerzas Armadas. Ese mismo año, el Centro Nacional de Ciberseguridad de Reino Unido constató “con certeza” que Fighting Ursa es integrante del GRU.
- Te puede interesar: Dentro de la SIDE, así será la Agencia Federal de Ciberseguridad
Los objetivos del grupo ruso y del GRU
CrowdStrike fue la primera empresa privada en señalar principalmente a Fighting Ursa como un agente patrocinado por el gobierno ruso y acusarlo de los ataques a la red del Comité Democrático Nacional. El grupo también fue acusado de ser autor del hackeo al Parlamento alemán y noruego en 2015 y 2019 y de una campaña de desinformación acerca del sistema electoral de Francia durante la elección presidencial de 2017.
Otra compañía de ciberseguridad, la estadounidense-japonesa Trend Micro, responsabilizó al grupo por ataques contra civiles rusos identificados como disidentes por el gobierno de Vladimir Putin.
- Te puede interesar: Rusia y Corea del Norte firmaron un pacto militar defensivo
El reporte de EuRepoC recopiló los informes sobre los ataques y catalogó a Canadá, China, Alemania, Francia, Japón, Corea del Sur, Suiza, Turquía, Reino Unido y Estados Unidos como los países más afectados. El mismo documento también identificó a FireEye, Mandiant, CrowdStrike y Kaspersky como los objetivos principales de APT28, Fancy Bear y Sofacy.
