El artículo de Giuseppe Gagliano
El Centro de Coordinación de Ciberseguridad (HC3) del Departamento de Salud y Servicios Humanos de EE. UU. emitió una nota de amenaza que proporciona información sobre las organizaciones cibernéticas de los servicios de inteligencia rusos que representan una amenaza para las organizaciones en los Estados Unidos, incluida la atención médica y la salud pública (HPH).
El Resumen de amenazas proporciona información sobre cuatro importantes actores de amenazas persistentes avanzadas que realizan actividades cibernéticas ofensivas y espionaje dentro de los servicios de inteligencia rusos. Estos actores estaban vinculados al Servicio Federal de Seguridad (FSB), al Servicio de Inteligencia Exterior (SVR) y a la Dirección General de Inteligencia del Estado Mayor General de las Fuerzas Armadas (GRU).
Turla, también conocido como Venomous Bear / Iron Hunter / KRYPTON / Waterbug, opera bajo la dirección del FSB y se dirige principalmente a sectores como la academia, la energía, el gobierno, el ejército, las telecomunicaciones, la investigación, las empresas farmacéuticas y las embajadas extranjeras, y ha estado activa desde hace menos de 2004. Se sabe que el grupo utiliza malware sofisticado y puertas traseras y se centra principalmente en actividades de espionaje diplomático en países del antiguo bloque del Este, aunque fue responsable del ataque al comando central de EE. UU. en 2008, a los participantes del G20 en 2017 y a la red informática del gobierno en Alemania en 2018.
APT29, también conocido como Cozy Bear, YTTRIUM, Iron Hemlock y The Dukes, opera bajo la dirección de SVR y atiende principalmente a las industrias y grupos de expertos académicos, energéticos, financieros, gubernamentales, de salud, de medios, farmacéuticos y tecnológicos. El actor APT existe desde al menos 2008 y utiliza una variedad de malware y variantes de puerta trasera. El actor APR se dirige principalmente a países europeos y de la OTAN y es conocido por realizar campañas de phishing selectivo para obtener acceso sigiloso a largo plazo a las redes objetivo, y es particularmente persistente y centrado en objetivos específicos. El actor de APT roba la información pero no la filtra. Se sabe que APT29 está detrás del ataque al Pentágono en 2015, el ataque a SolarWinds Orion en 2020 y los desarrolladores de la vacuna COVID-19 a los que se dirigieron durante la pandemia.
APT28, también conocido como Fancy Bear, STRONTIUM, Sofacy, Iron Twilight, opera bajo la dirección de GRU y ha estado en funcionamiento desde 2004. APT28 atiende a disidentes y a los sectores aeroespacial, de defensa, energía, gobierno, atención médica, ejército y medios de comunicación. El grupo utiliza una variedad de malware, un programa de descarga para infecciones de siguiente nivel y recopila información y metadatos del sistema para distinguir los entornos reales de los entornos limitados.
APT28 se dirige principalmente a los países de la OTAN y es conocido por usar malware, phishing y recopilación de credenciales y tiende a realizar ataques ruidosos en lugar de sigilosos. El grupo roba y filtra información para promover los intereses políticos de Rusia. El grupo estuvo detrás del ataque a la Agencia Mundial Antidopaje en 2016, el ataque cibernético y la filtración de datos del Comité Nacional Demócrata de EE. UU. y la campaña de Clinton en 2016, y las elecciones alemanas y francesas en 2016 y 2017.
Sandworm, también conocido como Voodoo Bear, ELECTRUM, IRIDIUM, Telebots y Iron Viking, opera bajo la dirección de GRU y ha estado en funcionamiento desde al menos 2007. Sandworm se dirige principalmente a los sectores de energía y gobierno y es el más destructivo. Sandworm se dirige a los sistemas informáticos con fines destructivos, como realizar ataques de malware de limpieza, especialmente en Ucrania. El grupo utiliza malware como BadRabbit, BlackEnergy, GCat, GreyEnergy, KillDisk, NotPetya e Industroyer. Sandworm estuvo detrás de los múltiples ataques contra el gobierno ucraniano y la infraestructura crítica en 2015-2016 y 2022, los ataques a sitios web georgianos antes de la invasión rusa en 2008 y los ataques NotPetya en 2017.
Las tácticas, técnicas, procedimientos y malware utilizados por cada uno de estos grupos son diferentes, pero se pueden implementar algunas mitigaciones para mejorar la resiliencia y bloquear los principales vectores de ataque.
Esta es una traducción automática de una publicación publicada en StartMag en la URL https://www.startmag.it/sanita/tutte-le-minacce-informatiche-russe-alla-sanita-usa/ el Thu, 26 May 2022 05:50:16 +0000.