Select your language

APT29: Infraestructura de C2 de nivel 2

Mar 28 ,10:30:00 - 11:00:00 | Sala 25 - Módulo Amenazas y Tendencias

APT29 es un grupo de ciberespionaje perteneciente o comandado por el Servicio de Inteligencia Exterior de la federación Rusa (SVR). Su principal interés es la obtención de inteligencia de organismos gubernamentales, no gubernamentales y Think Tanks de: Europa, Asia central y lo que se denomina los 5 ojos o Five Eyes (EEUU, Canadá, Australia, UK, Nueva Zelanda). En especial suelen focalizar sus esfuerzos en Ministerios de Exteriores, delegaciones diplomáticas y organizaciones relacionadas con la defensa nacional. Para llevara a cabo las actividades de sustracción de información (correos electrónicos, documentos, etc), APT29 dispone de una compleja arquitectura jerárquica de servidores y recursos, para evitar su seguimiento y atribución en caso de ser descubiertos. Dentro de ese ecosistema de activos del grupo se encuentra lo que se denomina los servidores de control de Nivel 2 o C2L2, es decir, equipos adquiridos mediante pago de bitcoints y bastionados por los atacantes, cuyo objetivo es servir como últimos niveles en el movimiento de la información robada antes de llegar a su “cuartel general”. La investigación realizada ha permitido a Lab52 identificar cuáles son los proveedores de servicios de VPS más utilizados por el actor, observando cómo incluso con el paso de los años y pese a que públicamente se ha apuntado en alguna ocasión su uso, el grupo sigue trabajando con estas compañías, como es el caso de M247 o Leaseweb.

Ponente(s):

Roberto Amado
S2GRUPO