Servidores de correo web vulnerables en Europa, en el objetivo de cibercriminales rusos

Una amenaza persistente avanzada (APT) rusa ha estado utilizando las vulnerabilidades XSS (cross-site scripting) de los servidores de correo web Roundcube para atacar infraestructuras gubernamentales críticas en Europa. Así se desprende de un estudio de Recorded Future.

El grupo de amenazas, conocido como Winter Vivern, fue rastreado como TAG-70 y se descubrió que realizaba campañas de espionaje dirigidas a más de 80 organizaciones, principalmente en Georgia, Polonia y Ucrania.

"La última actividad de TAG-70 se llevó a cabo entre octubre y diciembre de 2023, y recuerda a otros grupos de amenazas alineados con Rusia, como BlueDelta (APT28) y Sandworm, que han atacado soluciones de correo electrónico, incluido Roundcube, en campañas anteriores", dijo Insikt Group, el brazo de investigación de amenazas de Recorded Future, en un informe.

Insikt Group también pudo vincular la campaña con una actividad previa de Winter Vivern contra servidores de correo del gobierno de Uzbekistán, de la que había informado en febrero de 2023.

Espionaje utilizando vulnerabilidades menos críticas del servidor de correo

Se ha descubierto repetidamente que Winter Vivern, también rastreado como TA473 o UAC-0114, se aprovecha eficazmente de vulnerabilidades de gravedad media. En este caso, utilizó servidores de correo Roundcube vulnerables que permiten a un atacante remoto cargar código JavaScript arbitrario. Rastreada como CVE-2023-5631, la vulnerabilidad es un fallo de cross-site scripting con una puntuación CVSS de gravedad media de 6,1.

Según el informe, el grupo lleva a cabo campañas de ciberespionaje para servir a los intereses de Bielorrusia y Rusia y lleva activo al menos desde diciembre de 2020. Anteriormente, en marzo de 2023, el grupo había explotado un fallo de gravedad media en el correo web de Zimbra para atacar a entidades gubernamentales europeas.

Los servidores de correo web vulnerables parecen formar parte del modus operandi general que los hackers rusos utilizan para sus campañas de espionaje. Anteriormente, en junio de 2023, otro grupo de ciberespionaje ruso patrocinado por el Estado, BlueDelta (alias FancyBear, APT28), tenía como objetivo instalaciones vulnerables de Roundcube en toda Ucrania y también había explotado CVE202323397, una vulnerabilidad crítica de día cero en Microsoft Outlook en 2022, según Insikt Group.

Otros conocidos grupos rusos de actores de amenazas, como Sandworm y BlueBravo APT29, Midnight Blizzard, también han atacado soluciones de correo electrónico en diversas campañas en el pasado, añadió Insikt Group.

CVE-2023-5631 afecta a las versiones de Roundcube anteriores a 1.4.15, 1.5.x anterior a 1.5.5 y 1.6.x anterior a 1.6.4. "Para mitigar el riesgo que supone la campaña de TAG-70, las organizaciones deben asegurarse de que sus instalaciones de Roundcube están parcheadas y actualizadas, al tiempo que buscan activamente indicadores de compromiso (IoC) en sus entornos", añade el informe.

Campaña con motivos geopolíticos

La investigación señala que los servidores de correo electrónico representan un riesgo importante en el contexto del actual conflicto entre Rusia y Ucrania, ya que exponen información sensible relativa a los esfuerzos y planes bélicos de este país. El 31% de las víctimas de Wintern Vivern procedían de Ucrania, según los resultados de Insikt Group.

"Además, Insikt Group detectó que TAG70 tenía como objetivo las embajadas de Irán en Rusia y los Países Bajos, lo que es notable dado el apoyo de Irán al esfuerzo bélico de Rusia en Ucrania", añade el informe. "Del mismo modo, el espionaje contra entidades del gobierno georgiano refleja intereses en el seguimiento de las aspiraciones de Georgia para la adhesión a la Unión Europea (UE) y la OTAN".

En marzo de 2023 se informó que el grupo de amenazas había atacado a cargos electos de Estados Unidos y a su personal. Por la misma época, SentinelLabs reveló otras campañas de espionaje del grupo con objetivos mundiales.