Un presunto actor de amenazas vinculado a Rusia llevó a cabo convincentes ataques de phishing contra entidades diplomáticas en Kazajstán.
UAC-0063, activo desde al menos 2021, fue documentado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en 2023. Con confianza media, CERT-UA lo vinculó con APT28 (también conocido como Fancy Bear, Forest Blizzard, Strontium, Sofacy), de la unidad militar 26165 de la Dirección Principal de Inteligencia (GRU) del Estado Mayor. APT28 es mejor conocido por su Ataques de alto perfil contra gobiernos occidentales.: EL Hackeo del Comité Nacional Demócrata (DNC) de 2016campañas contra órganos parlamentarios en Alemania, Noruega y Países Bajos, y mucho más.
UAC-0063, en particular, utilizó operaciones cibernéticas para recopilar inteligencia de entidades gubernamentales, organizaciones no gubernamentales (ONG), instituciones académicas y organizaciones de energía y defensa en Europa del Este, especialmente en Ucrania, así como en Asia Central. especialmente en Kazajstán, Kirguistán, Tayikistán y otros países vecinos, incluidos Israel y la India.
Su última campaña actual, que, en un publicación de blogLos investigadores de Sekoia se remontan al menos a 2022, podrían encajar en un esfuerzo más amplio del gobierno de Vladimir Putin para obtener información estratégica y obtener una ventaja sobre un antiguo estado soviético que ha tratado de ampliar sus horizontes diplomáticos en los últimos años.
Phishing a diplomáticos kazajos
El 16 de octubre de 2024, un mes después de su implementación, los investigadores detectaron un documento diplomático subido a VirusTotal. Parece un plan legítimo una declaración conjunta entre la Canciller alemana y los líderes de los países de Asia Central.
“El primer paso, cuando abres este documento, es que te pide que actives las macros”, recuerda Amaury Garçon, analista de inteligencia de ciberamenazas (CTI) de Sekoia ThreatDetection & Research (TDR), añadiendo que el documento estaba oscurecido. por “formularios” a primera vista. “Algunos documentos de phishing se ven realmente feos o en malas condiciones [at first] – solicitan al usuario que habilite las macros, porque si no las habilitas, no puedes escribir texto en el documento, no puedes mover imágenes, etc.”, señala.
Al hacer clic en “habilitar” se activarían varios comandos maliciosos e invisibles en un dispositivo de destino. Si bien se informaba al usuario del documento señuelo completo y puro, en segundo plano se degradaba su configuración de seguridad para eliminar la necesidad de futuras indicaciones de “habilitar macros”. A continuación, se creó un segundo documento en blanco y se abrió mediante una instancia oculta de Microsoft Word. El código Visual Basic (VB) asociado con este documento oculto (ahora habilitado de forma predeterminada, por supuesto) eliminó y ejecutó una aplicación HTML maliciosa (HTA) que contenía una puerta trasera llamada “HatVibe”.
El propósito de HatVibe es recibir y ejecutar código desde un servidor remoto. Aunque Sekoia no pudo identificar las cargas útiles asociadas con esta campaña de phishing, CERT-UA observó previamente que HatVibe descargaba y ejecutaba una puerta trasera de Python más compleja llamada “CherrySpy”.
Qué significa esto para Kazajstán y Rusia
Seis semanas después de que los investigadores detectaran la primera descarga de VirusTotal asociada con esta campaña, el 27 de noviembre, Putin realizó una visita de estado de dos días al país que consideraba el “verdadero aliado” de Rusia, Kazajstán. Él y el presidente de Kazajstán, Kassym-Jomart Tokayev, aprovecharon la oportunidad brindada por la cumbre de la Organización del Tratado de Seguridad Colectiva (OTSC) para discutir diversas áreas de asociación económica, particularmente en el sector de la seguridad energética, y firmaron acuerdos en las áreas de energía. , educación y transporte.
“Asia Central es un verdadero punto de interés para la influencia rusa”, explica Maxime Arquillière, analista senior de CTI en Sekoia TDR. “Sabemos que Kazajstán es un aliado cercano, pero desde el inicio de la guerra en Ucrania, Kazajstán se ha distanciado un poco de Rusia, intentando desarrollar nuevas relaciones con los Estados occidentales pero también con China”.
La centralidad de Kazajstán en el continente asiático lo posiciona bien como un puente comercial entre China y Europa, particularmente ahora que Ucrania y Rusia están devastadas por la guerra. Y como señala Sekoia en su blog, los vínculos geopolíticos cada vez más amplios del país son evidentes en los acuerdos recientes con Mongolia y el nuevo gobierno talibán de Afganistán y, más notablemente, en su postura equilibrada sobre la guerra en Ucrania: apoyar el derecho de Ucrania a la integridad territorial sin condenación. La invasión de Rusia.
Por lo tanto, esta última campaña cibernética encaja perfectamente en las iniciativas más amplias de Rusia hacia su vecino de Asia Central. Sekoia identificó 11 documentos señuelo en total, cada uno de ellos legítimo y probablemente procedente del Ministerio de Asuntos Exteriores de Kazajstán, sobre asuntos diplomáticos entre Kazajstán y posibles países socios.
No está claro cómo el actor de amenazas obtuvo estos documentos. Incluyen, por ejemplo:
-
Cartas de las embajadas de Kazajstán en Afganistán y Bélgica sobre acontecimientos diplomáticos y económicos.
-
Un proyecto de declaración conjunta entre Alemania y los Estados de Asia Central, tras la cumbre del 16 de septiembre de 2024 en Astaná.
-
Informes administrativos y sesiones informativas sobre las visitas del presidente kazajo a Mongolia y Nueva York.
“Es realmente consistente con el [need for] La inteligencia rusa debe realizar este tipo de ciberespionaje y conocer los intereses estratégicos entre Kazajstán y los Estados europeos”, explica Arquillière.