Un grupo APT ataca el programa de inteligencia militar Delta de Ucrania

Las autoridades ucranianas han atribuido el ataque al grupo de amenazas persistentes avanzadas UAC-0142, presuntamente vinculado a Rusia.

Alberto Payo

Periodista

Guardar

Una mujer con la bandera de Ucrania
Una mujer con la bandera de Ucrania

El Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania, conocido por sus siglas CERT-UA, ha revelado que su programa nacional de inteligencia militar Delta ha sido objeto de un ataque basado en malware

El organismo recibió el pasado 17 de diciembre un aviso por parte del Centro de Innovación y Desarrollo del Ministerio de Defensa del país indicándole que había sufrido dicho ciberataque. 

Los actores de amenazas se han servido de la técnica del spear phishing, comprometiendo una dirección de correo electrónico perteneciente a un empleado del Ministerio de Defensa ucraniano y usándola para distribuir los mensajes maliciosos. 

El mensaje instaba a sus destinatarios a actualizar los certificados del sistema Delta, entre otras cosas. El correo en cuestión contenía un archivo ZIP malicioso alojado en un dominio falso. 

Al ejecutar el .exe que se incluía en el archivo descomprimido el receptor en realidad lo que está haciendo es instalar dos malware en los sistemas comprometidos. El primero de ellos es FateGrab, el cual usan los cibermalos para robar datos confidenciales. El segundo, el malware StealDeal, sustrae los datos del navegador web.

Una pieza clave en la defensa de Ucrania

“El Delta es un sistema para recopilar, procesar y mostrar información sobre las fuerzas enemigas, coordinar las fuerzas de defensa, así como proporcionar conocimiento de la situación de acuerdo con los estándares de la OTAN, desarrollado por el Centro de Innovación y Desarrollo de Tecnologías de Defensa del Ministerio de Defensa de Ucrania", ha explicado el ejército ucraniano.

Las autoridades del país han atribuido el ataque al grupo de amenazas persistentes avanzadas (APT) UAC-0142. Obviamente, se cree que detrás del ataque podría estar Rusia o piratas informáticos simpatizantes con el país.