Según las conclusiones de Google Threat Intelligence Group (GTIG), varios actores patrocinados por el estado, entidades hacktivistas y grupos delictivos de China, Irán, Corea del Norte y Rusia se han centrado en el sector de las bases industriales de defensa (DIB).

La división de inteligencia de amenazas del gigante tecnológico dijo que los ataques contradictorios contra el sector se centran en cuatro temas clave: atacar a las entidades de defensa que despliegan tecnologías en el campo de batalla durante la guerra entre Rusia y Ucrania, el acercamiento directo a los empleados y la explotación del proceso de contratación por parte de actores norcoreanos e iraníes, el uso de dispositivos y aparatos periféricos como vías de acceso inicial para los grupos relacionados con China y el riesgo de cadena de suministro derivado de la brecha en el sector manufacturero.

«Muchos de los principales actores estatales que patrocinan el ciberespionaje y los hacktivistas han mostrado interés por los vehículos autónomos y los drones, ya que estas plataformas desempeñan un papel cada vez más importante en la guerra moderna», dijo GTIG dijo . «Además, la tendencia de «evadir la detección» [...] continúa, ya que los actores se centran en puntos finales únicos y en personas, o llevan a cabo intrusiones de una manera que busca evitar por completo las herramientas de detección y respuesta (EDR) de puntos finales».

adsense

Algunos de los actores de amenazas notables que han participado en la actividad incluyen -

  • APT44 (también conocido como Sandworm) ha intentado extraer información de las aplicaciones de mensajería cifrada de Telegram y Signal, probablemente después de garantizar el acceso físico a los dispositivos obtenidos durante las operaciones sobre el terreno en Ucrania. Esto incluye el uso de un script por lotes de Windows llamado WAVESIGN para descifrar y filtrar datos de la aplicación de escritorio de Signal.
  • Temp.Vermin (también conocido como UAC-0020) ha utilizado malware como VERMONSTER, SPECTRUM (también conocido como SPECTR) y FIRMACHAGENT con contenido atractivo que gira en torno a la producción y el desarrollo de drones, los sistemas de defensa antidrones y los sistemas de seguridad de videovigilancia.
  • UNC5125 (también conocido como FlyingYeti y UAC-0149) ha llevado a cabo campañas muy específicas centradas en las unidades de drones de primera línea. Ha utilizado un cuestionario alojado en Google Forms para detectar posibles operadores de drones, y ha distribuido malware a través de aplicaciones de mensajería como MESSYFORK (también conocido como COOKBOX) a un operador de vehículos aéreos no tripulados (UAV) con sede en Ucrania.
  • UNC5125 también se dice que utilizó un malware para Android llamado GREYBATTLE, una versión personalizada del Hidra troyano bancario, para robar credenciales y datos distribuyéndolos a través de un sitio web que suplanta a una empresa de inteligencia artificial militar ucraniana.
  • UNC5792 (también conocido como UAC-0195) ha aprovechado las aplicaciones de mensajería segura para atacar a entidades militares y gubernamentales ucranianas, así como a personas y organizaciones en Moldavia, Georgia, Francia y los EE. UU. El actor de amenazas se destaca por utilizar como arma la función de enlace de dispositivos de Signal para secuestrar las cuentas de las víctimas.
  • UNC4221 (también conocido como UAC-0185) también se ha centrado en las aplicaciones de mensajería segura utilizadas por el personal militar ucraniano, utilizando tácticas similares a las de la UNC5792. El autor de la amenaza también ha aprovechado un malware para Android llamado STALECOOKIE que imita la plataforma de gestión del campo de batalla de Ucrania DELTA para robar las cookies del navegador. Otra táctica empleada por el grupo es el uso de Haga clic en Fijar para entregar el descargador TINYWHALE que, a su vez, elimina el Agente de mensajería software de administración remota.
  • UNC5976 , un grupo de espionaje ruso que ha llevado a cabo una campaña de suplantación de identidad que distribuye archivos de conexión RDP maliciosos configurados para comunicarse con dominios controlados por actores que imitan a una empresa de telecomunicaciones ucraniana.
  • UNC6096 , un grupo de espionaje ruso que ha llevado a cabo operaciones de entrega de malware a través de WhatsApp utilizando temas relacionados con Delta para ofrecer un acceso directo malicioso a LNK dentro de un archivo de almacenamiento que descarga una carga útil secundaria. Se ha descubierto que los ataques dirigidos a dispositivos Android generan un malware llamado GALLGRAB, que recopila archivos almacenados localmente, información de contacto y datos de usuarios que pueden estar cifrados desde aplicaciones especializadas en el campo de batalla.
  • UNC5114 , un presunto grupo de espionaje ruso que ha lanzado una variante de un malware para Android disponible en el mercado llamado Crax Rat haciéndola pasar por una actualización para Kropiva , un sistema de control de combate utilizado en Ucrania.
  • APT45 (también conocido como Andariel) ha tenido como objetivo a las entidades de fabricación de automóviles, semiconductores y defensa de Corea del Sur con Tigre pequeño malware.
  • APT43 (también conocido como Kimsuky) es probable que haya aprovechado una infraestructura que imita a las entidades relacionadas con la defensa de Alemania y EE. UU. para implementar una puerta trasera llamada THINWAVE.
  • UNC2970 (también conocido como Lazarus Group) ha llevado a cabo la campaña Operation Dream Job dirigida a los sectores aeroespacial, de defensa y energético, además de confiar en herramientas de inteligencia artificial (IA) para realizar el reconocimiento de sus objetivos.
  • UNC1549 (también conocido como Nimbus Manticore) se ha dirigido a las industrias aeroespacial, aeronáutica y de defensa de Oriente Medio con familias de malware como MINIBIKE, TWOSTROKE, DEEPROOT y CRASHPAD. El grupo es conocido por orquestar al estilo del Grupo Lazarus Campañas de Dream Job para engañar a los usuarios para que ejecuten programas maliciosos o renuncien a sus credenciales con el pretexto de obtener oportunidades de empleo legítimas.
  • UNC6446 , un actor de amenazas con vínculos con Irán que ha utilizado aplicaciones de creación de currículums y pruebas de personalidad para distribuir malware personalizado a objetivos del sector aeroespacial y de defensa en EE. UU. y Oriente Medio.
  • APT5 (también conocido como Keyhole Panda y Mulberry Typhoon) ha atacado a empleados actuales y anteriores de los principales contratistas aeroespaciales y de defensa con señuelos de suplantación de identidad personalizados.
  • UNC3236 (también conocido como Volt Typhoon) ha realizado actividades de reconocimiento contra portales de acceso públicos de contratistas militares y de defensa de América del Norte, utilizando el marco de ofuscación ARCMAZE para ocultar su origen.
  • UNC6508 , un grupo de amenazas relacionado con China que atacó a una institución de investigación con sede en EE. UU. a finales de 2023 al aprovechar un exploit de RedCap para lanzar un malware personalizado llamado INFINITERED que es capaz de provocar acceso remoto persistente y robar credenciales tras interceptar el proceso de actualización del software de la aplicación.
enlaces

Además, Google dijo que también ha observado que grupos de amenazas relacionados con China utilizan redes de cajas de relés operacionales (ORB) para el reconocimiento de objetivos industriales de defensa, lo que complica los esfuerzos de detección y atribución.

«Si bien los riesgos específicos varían según la huella geográfica y la especialización del subsector, la tendencia más amplia es clara: la base industrial de defensa se encuentra bajo un estado de asedio constante y multivectorial», afirma Google. «Los actores con motivaciones financieras extorsionan a este sector y a la base manufacturera en general, al igual que muchos de los otros sectores verticales a los que se dirigen para obtener beneficios monetarios».

«Las campañas contra los contratistas de defensa en Ucrania, las amenazas o la explotación del personal de defensa, el volumen persistente de intrusiones por parte de actores relacionados con China y el hackeo, la filtración y la interrupción de la base de fabricación son algunas de las principales amenazas para esta industria en la actualidad».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.