Una empresa con sede en Moscú sancionada por Estados Unidos a principios de este año ha sido vinculada a otra operación de influencia diseñada para poner a la opinión pública en contra de Ucrania y erosionar el apoyo occidental desde al menos diciembre de 2023.
La campaña encubierta emprendida por la Agencia de Diseño Social (SDA) aprovecha videos mejorados con inteligencia artificial (IA) y sitios web falsos que se hacen pasar por fuentes de noticias acreditadas para dirigirse a audiencias en Ucrania, Europa y Estados Unidos. Operación socavada por Insikt Group de Recorded Future.
“Esta operación, que se lleva a cabo en conjunto con otras campañas como Doppelganger, está diseñada para desacreditar al liderazgo de Ucrania, cuestionar la efectividad de la ayuda occidental y provocar tensiones sociopolíticas”, dijo la compañía de ciberseguridad.
“La campaña también busca dar forma a las narrativas en torno a las elecciones estadounidenses de 2024 y los conflictos geopolíticos, como la situación entre Israel y Gaza, para profundizar las divisiones”.
La Agencia de Diseño Social se atribuyó anteriormente a Doppelganger, que también emplea cuentas de redes sociales y una red de sitios de noticias no auténticos para influir en la opinión pública. La empresa y sus fundadores fueron sancionados por Estados Unidos a principios de marzo, junto con otra empresa rusa conocida como Structura.
Operation Undercut comparte infraestructura con Doppelganger y Operation Overload (también conocida como Matryoshka y Storm-1679), una campaña de influencia alineada con Rusia que ha intentado socavar las elecciones francesas de 2024, los Juegos Olímpicos de París y las elecciones presidenciales de Estados Unidos utilizando una combinación de noticias falsas. sitios, recursos de verificación de datos falsos y audio generado por IA.
La última campaña no es diferente en el sentido de que abusa de la confianza que los usuarios depositan en marcas de medios confiables y aprovecha videos e imágenes impulsados por inteligencia artificial que imitan fuentes de medios para darle más credibilidad. Para amplificar el contenido se han utilizado no menos de 500 cuentas que abarcan varias plataformas de redes sociales, como 9gag y las mejores fotografías y videos de Estados Unidos.
Además, se ha descubierto que la operación utiliza hashtags de tendencia en países e idiomas específicos para llegar a una audiencia más amplia, así como para promover contenido de CopyCop (también conocido como Storm-1516).
“La Operación Undercut es parte de una estrategia más amplia de Rusia para desestabilizar las alianzas occidentales y presentar el liderazgo de Ucrania como ineficaz y corrupto”, dijo Recorded Future. “Al dirigirse a audiencias en Europa y Estados Unidos, la SDA busca amplificar el sentimiento anti-Ucrania, con la esperanza de reducir el flujo de ayuda militar occidental a Ucrania”.
APT28 lleva a cabo un ataque al vecino más cercano
La divulgación se produce cuando se observó que el actor de amenazas APT28 (también conocido como GruesomeLarch), vinculado a Rusia, infringió una empresa estadounidense a principios de febrero de 2022 mediante una técnica inusual llamada ataque del vecino más cercano que implicó comprometer primero una entidad diferente ubicada en un edificio adyacente ubicado dentro del Alcance Wi-Fi del objetivo.
El objetivo final del ataque dirigido a la organización anónima, que tuvo lugar justo antes de la invasión rusa de Ucrania, era recopilar datos de personas con experiencia y proyectos que involucraran activamente a la nación.
“GruesomeLarch finalmente pudo violar la red (de la organización) conectándose a su red Wi-Fi empresarial”, dijo Volexity. “El actor de amenazas logró esto encadenando su enfoque para comprometer múltiples organizaciones cercanas a su objetivo previsto”.
Se dice que el ataque se logró mediante la realización de ataques de pulverización de contraseñas contra un servicio público en la red de la empresa para obtener credenciales inalámbricas válidas y aprovechando el hecho de que conectarse a la red Wi-Fi empresarial no requería múltiples autenticación de factores.
La estrategia, dijo Volexity, era violar la segunda organización ubicada frente al objetivo y usarla como un conducto para moverse lateralmente a través de su red y finalmente conectarse a la red Wi-Fi de la empresa prevista proporcionando las credenciales obtenidas previamente, mientras estar a miles de kilómetros de distancia.
“El compromiso de estas credenciales por sí solo no dio acceso al entorno del cliente, ya que todos los recursos conectados a Internet requerían el uso de autenticación multifactor”, dijeron Sean Koessel, Steven Adair y Tom Lancaster. “Sin embargo, la red Wi-Fi no estaba protegida por MFA, lo que significa que la proximidad a la red objetivo y las credenciales válidas eran los únicos requisitos para conectarse”.