Investigadores de la compañía de ciberseguridad Proofpoint han descubierto una campaña de spear-phishing patrocinada por un estado-nación que apunta a entidades gubernamentales europeas que brindan apoyo a los miles de ciudadanos ucranianos que han huido de su país desde que comenzó la invasión rusa el pasado jueves, 24 de febrero.
Ese mismo día, Proofpoint detectó por primera vez los correos electrónicos maliciosos de esta campaña, rastreada como "Asylum Ambuscade" y que considera tiene el objetivo de recopilar información sobre el movimiento de refugiados ucranianos y sobre otros temas importantes para el gobierno ruso.
Según explica en un informe publicado este mismo martes, los atacantes utilizaron la cuenta de correo electrónico de un miembro del servicio armado ucraniano "posiblemente comprometida" e incluían en sus mensajes "un macro adjunto malicioso que usaba temas de ingeniería social relacionados con la Reunión de Emergencia del Consejo de Seguridad de la OTAN celebrada el 23 de febrero de 2022".
"El correo electrónico también contenía un archivo adjunto malicioso que intentaba descargar el malware malicioso Lua llamado SunSeed y estaba dirigido al personal del gobierno europeo encargado de gestionar el transporte y el movimiento de población en Europa".
Proofpoint indica que este hallazgo se ha producido inmediatamente después de las alertas lanzadas por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania sobre campañas de phishing generalizadas dirigidas a su personal militar con archivos ZIP adjuntos y que tratan de robar información confidencial.
"¡Las fuerzas enemigas tienen como objetivo acceder a dispositivos electrónicos de los ucranianos para recoger una gran variedad de información! NUNCA ABRAS EL CONTENIDO DE ESTAS LETRAS Y MENSAJES!!! ¡Recuerda la higiene cibernética! ¡Cuiden sus vidas y Ucrania!", advirtió el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania a través de su cuenta de Facebook.
El responsable de esta campaña sería un grupo de amenazas bielorruso
Aunque Proofpoint afirma que todavía no ha determinado definitivamente quién está detrás de esta campaña de spear-phishing, el Equipo de Respuesta a Emergencias Informáticas de Ucrania responsabilizó directamente a un grupo vinculado al gobierno bielorruso conocido como "Ghostwriter" (también rastreado como TA445 o UNC1151).
"Estas acciones son realizadas por el llamado grupo UNC1151, que se encuentra en Minsk. Se compone de oficiales de estado mayor del Ministerio de Defensa de la República de Bielorrusia", afirmó el CERT-UA en su alerta del pasado 25 de febrero.
Para Proofpoint, la "atribución sigue sin estar clara" pero señala que existen varios indicadores que sugieren que este ataque de spear-phishing se alinea con las campañas reportadas por este mismo actor de amenazas bielorruso.
"La cadena de infección utilizada en esta campaña tiene similitudes significativas con una campaña histórica que Proofpoint observó en julio de 2021, por lo que es probable que el mismo actor de amenazas esté detrás de ambos grupos de actividad", indica la firma de ciberseguridad, apuntando que la campaña del pasado mes de julio utiliza la misma técnica que "Asylum Ambuscade" y se dirigió a profesionales de ciberseguridad y responsables de la toma de decisiones en empresas privadas estadounidenses, incluidas las del sector de Defensa.
"A medida que continúa el conflicto, los investigadores consideran que es probable que se produzcan ataques similares contra entidades gubernamentales en los países de la OTAN. Además, la posibilidad de explotar la inteligencia sobre los movimientos de refugiados en Europa con fines de desinformación es una parte comprobada de las técnicas estatales de Rusia y Bielorrusia. Ser consciente de esta amenaza y divulgarla públicamente es fundamental para crear conciencia entre las entidades objetivo, y durante un conflicto de alto ritmo, poseen la capacidad de ser bastante efectivos", apunta Proofpoint en la conclusión de su informe.
La nueva advertencia del CERT-UA
Este miércoles, un día después de que Proofpoint sacara a la luz este informe, el Equipo de Respuesta a Emergencias Informáticas de Ucrania ha lanzado una nueva advertencia en la que insta a los ciudadanos del país a extremar las precauciones en el contexto de una "guerra informativa y psicológica". En concreto, les pide a los ucranianos que tomen las siguientes medidas:
- Monitorizar cuidadosamente los dispositivos conectados en messenger y cualquier cuenta (por ejemplo, Google, Microsoft).
- En caso de que aparezca un dispositivo desconocido, desconectarlo inmediatamente y cambiar la contraseña de la cuenta.
- Activar la autenticación en dos pasos si se ha desactivado un PIN o contraseña adicional para acceder a la cuenta.
- Deshabilitar los dispositivos dejados en otra ciudad, ya que pueden ser usados por el enemigo.
- En caso de que recibir mensajes sospechosos de alguien conocido, intentar contactar a esta persona de otra manera y hacer un control de voz. Si se nota algo raro, preguntar por algo que solo sepa esta persona conocida y, si no hay respuesta, considerar que la cuenta está comprometida y bloquearla hasta que acabe la guerra.
- Utilizar el cifrado de extremo a extremo y no difundir información sensible, especialmente sobre la ubicación militar y tecnológica ucraniana-
- entonces revisa algunas preguntas de voz, la respuesta a la que solo tu conocido sabe. En ausencia de respuestas, considere comprometida esta cuenta y bloquearla hasta el final de la guerra.
"Mantente alerta, mantén la calma y no creas lo falso. ¡Gloria a Ucrania!", sentencia el aviso del CERT-UA.