Operaciones de espionaje de APT28 Hacking Group
Las nuevas operaciones de espionaje de APT28 Hacking Group apuntan a organizaciones militares y gubernamentales
Los investigadores descubrieron nuevas operaciones de espionaje realizadas por un grupo de piratería APT28 que se dirige a organizaciones militares y gubernamentales para filtrar los datos altamente confidenciales.
APT28 ha involucrado varias actividades de delitos informáticos desde 2007, pero su atención pública se inició en 2016 y desde entonces involucra ataques cibernéticos muy sofisticados en todo el mundo.
APT28 también se llamó Fancy Bear, Sofacy Group, Sednit y está asociado con la agencia de inteligencia militar rusa.
Este grupo de espionaje cibernético fue responsable de los objetivos políticos contra los miembros del Comité Nacional Demócrata (DNC).
Se dirigen a través de una campaña de correo electrónico malintencionado para engañar a los destinatarios para que, supuestamente, cambien sus contraseñas de correo electrónico en un dominio de correo web falso.
Más tarde, han accedido a los destinatarios de trucos para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo web falso utilizando credenciales robadas para robar datos confidenciales y filtrarlos en línea.
Actividades 2017 y 2018 del Grupo de Hacking APT28
Las actividades de APT28 continuaron luego su operación en 2017 y 2018 con ataques más sofisticados con la motivación máxima de recopilar información y apuntar a diferentes organizaciones.
- Una organización internacional muy conocida.
- Objetivos militares en Europa.
- Gobiernos en Europa
- Un gobierno de un país sudamericano.
- Una embajada perteneciente a un país de Europa del Este.
Este grupo ataca activamente usando un malware llamado Sofacy para varios objetivos que contienen dos componentes principales,
- Trojan.Sofacy: reconocimiento básico en una computadora infectada y elimina otro malware.
- Backdoor.SofacyX: es otro malware que se usa para robar los datos de la computadora infectada.
Según Symantec, APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.
Enlace con Earworm Espionage Operations
Los investigadores creen que el APT28 podría tener un vínculo con otro grupo de delitos informáticos llamado Earworm (también conocido como Zebrocy).
Earworm ataca activamente desde 2016 y realiza operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.
Están utilizando dos componentes de malware siguientes para infiltrarse en la red objetivo,
- Trojan.Zekapab: capaz de llevar a cabo funciones básicas de reconocimiento y descargar malware adicional
- Backdoor.Zekapab - Tomar capturas de pantalla, ejecutar archivos y comandos, cargar y descargar archivos, realizar operaciones de registro y sistema de archivos.
Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EE. UU. A fines de 2016, la publicidad resultante no se dejó intimidar por APT28 y continúa organizando nuevos ataques con sus herramientas existentes, dijo Symantec.