Los cibernerds del Kremlin entraron y filtraron los buzones de correo de las ONG • The Register

Una ONG pro democracia en Rusia dice que parece que el grupo COLDRIVER, vinculado al Kremlin, estuvo detrás del ataque de piratería y filtración del mes pasado que provocó que archivos y bandejas de entrada fueran volcados en línea.

La Fundación Rusia Libre inició una investigación tras el escándalo de Citizen Lab informe El mes pasado se publicaron dos campañas de phishing dirigidas a organizaciones sin fines de lucro en Rusia y Bielorrusia. Los hallazgos preliminares refuerzan la sugerencia de que al menos una de estas campañas fue orquestada por COLDRIVER.

«La Fundación Rusia Libre está siguiendo de cerca la difusión ilegal de documentos supuestamente relacionados con nuestras operaciones», dijo. dicho En un comunicado, se indica que se ha iniciado una investigación para determinar el origen, el alcance y la naturaleza de esta infracción y minimizar los riesgos para nuestro personal, nuestros socios y nuestros beneficiarios.

«Los hallazgos preliminares apuntan a recientes ataques de phishing por parte del grupo de amenazas COLDRIVER, vinculado al Kremlin. Varias entidades se han visto comprometidas, lo que ha dado lugar al robo de su correspondencia, incluidos informes de subvenciones y documentos internos.

«Uno de los posibles objetivos de este ciberataque criminal es servir de pretexto para una nueva ola de represión contra los rusos pro democracia».

Citizen Lab afirmó que los ataques de phishing eran altamente personalizados y a menudo provenían de cuentas comprometidas de una organización objetivo o de una cuenta falsa de una persona real conocida por la víctima. Los objetivos del ataque eran típicamente miembros de ONG como la Free Russia Foundation.

Los correos electrónicos a menudo tenían un archivo adjunto que parecía ser un archivo PDF bloqueado y un enlace para desbloquearlo. En realidad, este enlace solo conducía a una página de recopilación de credenciales.

Citizen Lab, que examina cuestiones relacionadas con la seguridad digital y posibles amenazas a los derechos humanos, dijo que es probable que las credenciales de las víctimas fueran robadas y utilizadas para acceder a sus cuentas de correo electrónico.

«Si tienen éxito, estos ataques podrían ser enormemente dañinos, en particular para las organizaciones rusas y bielorrusas y los medios de comunicación independientes, ya que es probable que sus cuentas de correo electrónico contengan información confidencial sobre las identidades, actividades, relaciones y paraderos de su personal», afirmó la organización.

«Cualquier contacto entre ONG rusas o medios de comunicación independientes con organizaciones con sede en Occidente podría ser calificado erróneamente por el gobierno ruso y utilizado como pretexto para designarlas como ‘agentes extranjeros’ u ‘organizaciones indeseables’. En algunos casos, esto podría incluso llevar a que se presentaran cargos penales contra esas personas y se las encarcelara.»

La Fundación Rusia Libre dijo que el ataque «no es una sorpresa», ya que este tipo de actividad es consistente con el modus operandi de COLDRIVER. Activa desde 2019, la unidad cibernética ofensiva vinculada al FSB generalmente ataca a ONG, gobiernos, Infraestructura críticae incluso occidentales elecciones.

Esto se suma a los actos de disidencia política en menor escala dentro de Rusia, llevados a cabo por grupos más pequeños que las organizaciones establecidas, individuos que organizan protestas en solitario o aquellos que dirigen blogs contra la guerra, por ejemplo.

Conductor frío y despilfarro frío

COLDRIVER es conocido por sus trucos para obtener credenciales, pero recientemente los investigadores descubrieron una táctica menos conocida.

Grupo de análisis de amenazas (TAG) de Google revelado en enero que COLDRIVER había estado incorporando una puerta trasera personalizada en sus ataques desde al menos 2022.

El malware, denominado SPICA, incluye una sólida lista de características que incluyen ejecución de comandos de shell, capacidades de robo de cookies del navegador y exfiltración de archivos.

Se cree que un grupo identificado como COLDWASTREL está detrás de la segunda campaña de spearphishing dirigida a ONG rusas, pero a pesar de las similitudes en las convenciones de nombres, no se ha demostrado de manera concluyente que esté afiliado al Kremlin, aunque ciertamente es prorruso en su ideología.

Citizen Lab afirmó que los ataques de COLDWASTREL se han producido durante años. Varias ONG internacionales afirmaron haber recibido el mismo correo electrónico de phishing vinculado al grupo en 2022 y que una de estas organizaciones volvió a ser el objetivo en agosto de 2024. ®