Estados Unidos y sus aliados han vinculado a un grupo de piratas informáticos rusos (identificados como Cadet Blizzard y Ember Bear) detrás de ataques globales a infraestructuras críticas con la Unidad 29155 de la Dirección Principal del Estado. General de División de las Fuerzas Armadas Rusas (también conocido como GRU).
En un aviso conjunto publicado hoy, los piratas informáticos del GRU de inteligencia militar rusa, conocidos por implementar el malware de borrado de datos WhisperGate en Ucrania en enero de 2022, se describen como “oficiales subalternos del GRU en servicio activo” que forman parte del 161.º Centro de Entrenamiento Especializado del GRU y coordinados por el liderazgo experimentado de la unidad 29155.
El grupo orquesta intentos de sabotaje y asesinato en toda Europa y ataques cibernéticos contra sectores de infraestructura críticos de miembros de la OTAN y países en América del Norte, Europa, América Latina y Asia Central desde 2020, con una transición para interrumpir los esfuerzos para brindar ayuda a Ucrania desde principios de 2022.
A investigación conjunta publicado por The Insider en abril, en colaboración con 60 Minutes y Der Spiegel, también vinculó la unidad GRU 29155 con síndrome de la habana incidentes.
“La Unidad 29155 ha ampliado su alcance para incluir operaciones cibernéticas ofensivas desde al menos 2020. Los objetivos de los actores cibernéticos de la Unidad 29155 parecen incluir la recopilación de información con fines de espionaje, socavar la reputación causada por el robo y la filtración de información confidencial y el sabotaje sistemático causado por destrucción de datos”, según El Consejo Consultivo Conjunto de hoy.
“Estas personas parecen estar adquiriendo experiencia en ciberseguridad y mejorando sus habilidades técnicas mediante la realización de operaciones e intrusiones cibernéticas. Además, el FBI cree que los ciberdelincuentes de la Unidad 29155 dependen de actores que no pertenecen al GRU, incluidos ciberdelincuentes y facilitadores conocidos, para llevar a cabo sus operaciones. »
El FBI dice que ha detectado más de 14.000 casos de escaneos de dominios dirigidos a al menos 26 miembros de la OTAN y varios países de la Unión Europea (UE). Los piratas informáticos asociados con la Unidad Rusa 29155 han desfigurado sitios web y han utilizado dominios públicos para filtrar datos robados.
Hoy, el Departamento de Estado de EE.UU. también anunció una recompensa de hasta 10 millones de dólares a través de su programa Recompensas por la Justicia, para obtener información sobre Vladislav Borovkov, Denis Igorevich Denisenko, Yuriy Denisov, Dmitry Yuryevich Goloshubov y Nikolay Aleksandrovich Korchagin, cinco de los oficiales de inteligencia militar rusos que se cree que forman parte de la Unidad 29155 del GRU.
“Estos individuos son miembros de la Unidad 29155 de la Dirección Principal de Inteligencia del Estado Mayor ruso (GRU), que ha llevado a cabo actividades cibernéticas maliciosas contra infraestructuras críticas de Estados Unidos, particularmente en los sectores energético, gubernamental y aeroespacial”, dijo el Departamento de Estado. dicho.
“Estos oficiales de la Unidad 29155 del GRU son responsables de atacar infraestructuras críticas en Ucrania y docenas de países aliados occidentales. »
Los cinco oficiales del GRU y el civil Amin Timovich (acusado en junio para el ataque WhisperGate) también fueron cargar hoy por su participación en ciberataques dirigidos a Ucrania antes de la invasión rusa de febrero de 2022 y a 26 miembros de la OTAN.
Se insta a las organizaciones de infraestructura crítica a tomar medidas inmediatas, incluida priorizar las actualizaciones del sistema y parchear las vulnerabilidades conocidas para defenderse contra estos ciberataques relacionados con GRU.
Las recomendaciones adicionales incluyen la segmentación de la red para contener la actividad maliciosa y la implementación de autenticación multifactor (MFA) resistente al phishing para todos los servicios externos, en particular el correo web, las redes privadas virtuales (VPN) y las cuentas con acceso a sistemas críticos.
En febrero de 2022, después de los ataques a Ucrania utilizando malware WhisperGate, malware HermeticWiper y señuelos de ransomware, CISA y el FBI advirtieron que los ciberataques de malware destructivos podrían extenderse a objetivos en otros países.
Estados Unidos también anunció el miércoles una ofensiva contra la desinformación rusa antes de las elecciones de 2024, confiscando 32 dominios web utilizados por la red de influencia Doppelgänger vinculada a Rusia para difundir desinformación y propaganda dirigida al público estadounidense antes de las elecciones presidenciales de este año.