Las operaciones rusas de guerra cibernética de Trident Ursa o APT Gamaredon se han mantenido activas desde la invasión de Ucrania. Además, hubo un intento de ataque contra una importante refinería de petróleo en un estado miembro de la OTAN.
Ucrania se ha enfrentado a amenazas cibernéticas crecientes de Rusia desde principios de febrero, cuando la Unidad 42 de Palo Alto Networks informó ampliamente sobre el grupo APT Trident Ursa (también conocido como Gamaredon, UAC-0010, Primitive Bear, Shuckworm). Trident Ursa es un grupo afiliado a la agencia de inteligencia nacional rusa FSB. A medida que el conflicto continúa sobre el terreno y en el ciberespacio, Trident Ursa sigue siendo una de las APT más extendidas, continuamente activas y dirigidas contra Ucrania.
500 nuevos dominios como plataforma de ataque
Dada la situación geopolítica actual y el enfoque objetivo específico de este grupo APT, los investigadores de la Unidad 42 continúan buscando activamente indicadores de operaciones. Al hacerlo, han identificado más de 500 nuevos dominios, 200 muestras y otros IoC (indicadores de compromiso) que respaldan los diversos objetivos de phishing y malware de Trident Ursa durante los últimos diez meses. Mientras monitoreaban estos dominios, así como la información de fuente abierta, los investigadores notaron varias actividades notables:
- Un intento fallido el 30 de agosto de 2022 de comprometer una refinería importante en un estado miembro de la OTAN.
- Una persona aparentemente relacionada con Trident Ursa amenazó a un investigador de ciberseguridad ucraniano inmediatamente después de la invasión inicial.
- Varios cambios en Tácticas, Técnicas y Procedimientos (TTP).
Hallazgos de la investigación
Trident Ursa sigue siendo una APT ágil y adaptable que no emplea técnicas demasiado sofisticadas o complejas en sus operaciones. En la mayoría de los casos, el grupo se basa en herramientas y secuencias de comandos disponibles públicamente, junto con un grado significativo de ofuscación, así como en intentos de phishing de rutina para realizar operaciones con éxito.
Estos son descubiertos regularmente por investigadores y organizaciones gubernamentales, por lo que el grupo parece no inmutarse. Simplemente agrega ofuscaciones adicionales, nuevos dominios y nuevas técnicas, y vuelve a intentarlo, a menudo incluso reutilizando patrones anteriores. Trident Ursa ha estado operando de esta manera desde al menos 2014 y no ha mostrado signos de desaceleración durante este tiempo de conflicto. Por todas estas razones, sigue siendo una amenaza importante para Ucrania y sus aliados.
Acciones de protección y reparación
La mejor defensa contra Trident Ursa es una postura de seguridad que favorezca la prevención. La Unidad 42 recomienda que las empresas tomen las siguientes medidas:
- Búsqueda de registros de red y puntos finales para indicadores de compromiso asociados con este grupo de amenazas.
- Asegúrese de que las soluciones de ciberseguridad bloqueen de manera efectiva los IoC de la infraestructura activa.
- Implementación de una solución de seguridad de DNS para detectar y mitigar solicitudes de DNS para infraestructuras C2 conocidas. A menos que una empresa tenga un caso de uso específico para servicios como la mensajería de Telegram y las herramientas de búsqueda de dominios en su entorno empresarial, estos dominios deben agregarse a la lista de bloqueo. En el caso de las redes Zero Trust, los dominios no deben incluirse en la lista de dominios permitidos.
- Aplicar una verificación adicional a todo el tráfico de red que se comunica con AS 197695 (Reg[.]ru).
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.