in ,

Grupo de piratería estatal ruso APT 28. Una década de ataques selectivos contra Armenia

Armenia está constantemente sometida a ciberataques por diferentes grupos y el más activo lo realiza el equipo ruso APT 28. 

Armenia está constantemente sometida a ciberataques. Son llevados a cabo por diferentes grupos con motivos muy diferentes. El más activo contra Armenia y objetivos armenios lo realiza el equipo ruso APT 28.  

Las dos direcciones principales son los delitos cibernéticos puramente criminales y los intereses de varios estados. Esta vez dejemos de lado lo criminal y consideremos los motivos políticos y geopolíticos.  

Está claro que Azerbaiyán ataca constantemente el dominio cibernético de Armenia. Sin embargo, aquí nos enfrentamos a grupos de hackers muy diversos. Algunos son los llamados grupos patrióticos, otros pertenecen a diversas estructuras estatales o están controlados por ellas. Además, Azerbaiyán utiliza mercenarios, en su mayoría grupos de hackers independientes que operan en la CEI, que realizan tareas de servicios especiales a cambio de dinero. Azerbaiyán también es un comprador activo en el mercado de software espía, principalmente Pegasus .  

Sin embargo, si hablamos de grupos de hackers profesionales y de largo plazo controlados por estados influyentes, que son capaces de llevar a cabo ataques perspicaces y de largo plazo, hoy Azerbaiyán, así como Armenia, no están en la lista de tales grupos.  

Desde el punto de vista de los ataques de grupos de hackers estatales similares, el más activo contra Armenia y objetivos armenios (aunque pueda parecer extraño para algunas personas) es el equipo ruso APT 28.  

¿Quiénes son APT 28?  

Fancy Bear, también conocido como APT28 , es un destacado grupo ruso de piratería informática o ciberespionaje vinculado a la agencia de inteligencia militar rusa, el GRU. El grupo ha estado activo desde mediados de la década de 2000 y promueve principalmente los intereses políticos rusos. Los objetivos del grupo incluyen organizaciones gubernamentales, militares y de seguridad centradas en el Cáucaso Meridional, los países postsoviéticos y los países de la OTAN.  

Han llevado a cabo ataques de alto perfil contra instituciones como los parlamentos alemán y noruego, TV5Monde, la OTAN, la Casa Blanca, el Comité Nacional Demócrata y participantes en la campaña presidencial de Hillary Clinton y la campaña del candidato presidencial francés Emmanuel Macron. 

APT 28 tiene diferentes nombres (según el laboratorio de amenazas cibernéticas): 

  • oso de lujo
  • Tormenta de peones 
  • Grupo Sofacy 
  • sednit 
  • Ventisca del bosque 
  • Equipo Zar 
  • ESTRONCIO 
  • ITG05 

Oso de lujo en Armenia. casos conocidos recientes

Recientemente nos enteramos de los últimos ataques contra Armenia.  

En marzo de 2024, IBM X-Force informó sobre múltiples campañas de phishing llevadas a cabo por el equipo de piratería APT 28 patrocinado por el estado ruso a finales de febrero de 2024, dirigidas a organizaciones en al menos Argentina, Ucrania, Georgia, Bielorrusia, Kazajstán, Polonia, Armenia y Azerbaiyán. y Estados Unidos. 

Anteriormente, en septiembre de 2023, ESET informó sobre ataques selectivos del grupo APT 28 contra instituciones gubernamentales en Ucrania, Armenia y Tayikistán.  

apt 28 armenia
Armenia está constantemente sometida a ciberataques por diferentes grupos y el más activo lo realiza el equipo ruso APT 28. 

Oso de lujo en Armenia. Ataque a personal militar y diplomáticos.  

Los primeros ataques conocidos que este grupo llevó a cabo contra Armenia comenzaron hace exactamente diez años. En un informe de octubre de 2014 de FireEye (ahora conocido como Trellix), los investigadores descubrieron que APT28 había registrado un dominio a través del cual apuntaba al ejército armenio mediante la instalación de una página de inicio de sesión de correo electrónico falsa. 

El truco fue simple y brillante. El dominio real del Ministerio de Defensa de la RA es Mil.am, el falso es RNil.am. Visualmente, la diferencia entre mil.am y rnil.am es de un píxel. APT 28 instaló una página de inicio de sesión falsa de Yahoo. 

Y el dominio falso se utilizó para continuar con el phishing con correos electrónicos falsos. Según un informe de Trend Micro , mail.rnil.am se utilizó como herramienta en una campaña de phishing dirigida al ejército armenio. 

En 2015, APT 28 registró otro dominio falso para ataques de phishing. Esta vez, los piratas informáticos atacaron a diplomáticos armenios con webmail-mfa.am. 

A principios de abril de 2016, durante el ataque militar contra Artsaj por parte de Azerbaiyán, un desconocido registró en línea un nuevo dominio falso que imitaba el sitio web del Ministerio de Asuntos Exteriores de Armenia e instaló en él el servidor de correo mail.rnfa.am. Esta vez, el dominio fue bloqueado inmediatamente, por lo que no tenemos evidencia directa de si se trataba nuevamente de APT 28 o si era posible que la inteligencia azerbaiyana imitara el método. 

Citizen Lab informó sobre un ataque híbrido masivo de phishing + desinformación en 2017 que involucró a APT 28. Este grupo es conocido como parte de ataques híbridos, donde los ciberataques son parte de operaciones de influencia. Los más famosos fueron los ataques a gran escala contra los demócratas durante las elecciones estadounidenses de 2016 .

Los políticos y militares armenios también fueron el objetivo de esta campaña híbrida a gran escala. 

  • Políticos, funcionarios y funcionarios gubernamentales de Afganistán, Armenia, Austria, Camboya, Egipto, Georgia, Kazajstán, Kirguistán, Letonia, Perú, Rusia, Eslovaquia, Eslovenia, Sudán, Tailandia, Turquía, Ucrania, Uzbekistán y Vietnam. 
  • Personal militar de Albania, Armenia, Azerbaiyán, Georgia, Grecia, Letonia, Montenegro, Mozambique, Pakistán, Arabia Saudita, Suecia, Turquía, Ucrania y Estados Unidos, así como funcionarios de la OTAN. 

Próximos pasos. la sociedad civil también es un objetivo 

Como informara SoyArmenio, en 2017 se reveló un masivo ataque global de phishing contra periodistas y activistas. Y nuevamente Fancy Bear o APT 28. Y nuevamente Armenia fue uno de los principales objetivos. 

En Armenia, APT 28 atacó a más de 40 personas, en su mayoría periodistas, miembros de la sociedad civil y analistas políticos.  La editora de EVN Report, María Titizian , fue atacada por Fancy Bear el 26 de junio de 2015. Titizyan vinculó el ataque con Electric Ereván .  

Estos son sólo ataques conocidos del APT 28 contra objetivos armenios. Estamos seguros de que es sólo una parte. El grupo utiliza tácticas muy sofisticadas y muchos ataques pueden pasar desapercibidos. Pero lo que vemos es lo siguiente: Armenia ha sido y seguirá siendo uno de los principales objetivos de Fancy Bear en el futuro. 

También cabe señalar que otros grupos estatales rusos también estaban activos en Armenia, por ejemplo, Turla asociado con el FSB, o los grupos Ember Bear atribuidos al GRU.

Written by SoyArmenio

Mesa de noticias en español de la redacción de SoyArmenio.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    El volumen de construcción en Armenia en dos meses aumentó 10,8%

    La Iglesia Apostólica Armenia llamó a las autoridades a abandonar la “política derrotista”