El Departamento de Justicia de EE. UU. elimina la red de malware dirigida por actores rusos

El Departamento de Justicia de EE. UU. (DOJ) declaró el martes que desmanteló una red mundial de computadoras que estaban infectadas con malware, que los servicios de seguridad del estado ruso supuestamente usaron durante casi dos décadas para extraer información clasificada de los aliados de los Estados Unidos y la OTAN.

La iniciativa, cuyo nombre en código es "MEDUSA", tenía como objetivo eliminar el malware "Snake" utilizado por una unidad dentro del FSB ruso llamada "Turla", que los expertos cibernéticos consideran uno de los grupos de espionaje cibernético más avanzados del mundo. El FBI creó una herramienta llamada "PERSEUS", que neutraliza el malware Snake sin afectar la computadora central ni las aplicaciones legítimas, luego de que un juez de Brooklyn le concediera permiso para otorgar acceso a las computadoras contaminadas. El malware Snake apuntó a países que son miembros de la OTAN, instituciones financieras, periodistas y otros objetivos del gobierno ruso, desde 2004.

El FBI informó a todas las víctimas a cuyas computadoras se accedió en la operación MEDUSA, y los socios de los Estados Unidos y Five Eyes emitieron un aviso de ciberseguridad conjunto que incluye información técnica detallada sobre el malware para que los expertos en ciberseguridad puedan detectar si otras redes han sido potencialmente infectadas. Después de obtener acceso a las redes, se sabe que el grupo Turla usa una herramienta de "registro de teclas" que roba contraseñas de cuentas y otras credenciales de autenticación, lo que representa una amenaza continua para algunas de las personas objetivo.

¿Qué son los actores de amenazas patrocinados por el estado y cómo se aprovechan a menudo en el ciberespionaje internacional?

Los actores de amenazas patrocinados por el estado son delincuentes cibernéticos que reciben apoyo de los gobiernos nacionales para realizar ataques cibernéticos, espionaje cibernético u otras actividades maliciosas contra naciones, organizaciones o individuos extranjeros. Estos actores suelen estar altamente capacitados y bien financiados, y operan con el objetivo de promover los intereses económicos y estratégicos de sus respectivos países.

Los actores de amenazas patrocinados por el estado generalmente se enfocan en una amplia gama de objetivos, incluidas agencias gubernamentales, instituciones militares, infraestructura crítica, instituciones financieras, universidades y empresas privadas. Pueden usar una variedad de tácticas, como phishing selectivo, malware, ingeniería social y exploits de día cero para obtener acceso no autorizado a sistemas específicos o robar datos confidenciales.

Estas campañas de ciberespionaje a menudo comienzan con un reconocimiento para identificar sistemas vulnerables e información de interés. Una vez que se obtiene el acceso, los actores de amenazas se moverán lateralmente por la red para escalar sus privilegios y recopilar datos confidenciales. En algunos casos, pueden implementar puertas traseras, malware u otras herramientas para mantener el acceso a largo plazo a los sistemas comprometidos y continuar con sus operaciones sin ser detectados.

Los actores de amenazas patrocinados por el estado a menudo se aprovechan en campañas internacionales de ciberespionaje para obtener una ventaja estratégica sobre otras naciones o para robar propiedad intelectual valiosa. Los ataques se pueden usar para promover objetivos políticos, militares, económicos o diplomáticos, y los datos robados se pueden usar para informar políticas nacionales, informar decisiones comerciales o venderse con fines de lucro en la web oscura. El impacto potencial de las campañas de espionaje cibernético patrocinadas por el estado puede ser severo, incluida la pérdida de infraestructura crítica, daños a la seguridad nacional y pérdidas financieras significativas para individuos y organizaciones.