Resumen ejecutivo
En marzo de 2023, varios medios de comunicación publicaron detalles de documentos recibidos en febrero de 2022 de un antiguo empleado de NTC Vulkan que se oponía a la invasión rusa de Ucrania. NTC Vulkan, con sede en Moscú, fue contratada por la inteligencia rusa para crear las siguientes herramientas cibernéticas ofensivas:
- Scan o Scan-V: herramienta de exploración de Internet diseñada para descubrir vulnerabilidades y utilizarlas en posibles operaciones cibernéticas.
- Amesit o Amezit - "Marco utilizado para controlar el entorno de información en línea y manipular la opinión pública, mejorar las operaciones psicológicas y... apoyar las operaciones relacionadas con la OT y la OI".
- Krystal-2B : plataforma de entrenamiento para ciberataques contra infraestructuras críticas.
En esta investigación, los investigadores de Censys descubrieron seis hosts pertenecientes a NTC Vulkan y pudieron elaborar un perfil actual e histórico de las herramientas y el software que alojaban, proporcionando un perfil básico de la empresa. Lo más interesante es que Censys descubrió una conexión con un grupo llamado Raccoon Security a través de un certificado de NTC Vulkan. Este descubrimiento fue significativo en el sentido de que ningún otro medio mencionó este grupo conectado, a pesar de que las capacidades declaradas de Raccoon Security muestran una estrecha coincidencia con las herramientas que la inteligencia rusa buscaba en NTC Vulkan.
Dado el historial de Rusia en el uso de herramientas cibernéticas ofensivas en conjunción con objetivos militares o geopolíticos y que la intención de los contratos de NTC Vulkan para Sandworm del GRU ruso parecía incluir la habilitación de operaciones cibernéticas ofensivas rusas potencialmente dirigidas a elecciones e infraestructuras críticas, los investigadores de Censys evaluaron que las capacidades de NTC Vulkan podrían suponer una amenaza para las instituciones democráticas. Y puesto que NTC Vulkan fue fundado por dos antiguos oficiales de inteligencia rusos, los investigadores de Censys decidieron perfilar las disposiciones de los hosts vinculados a NTC Vulkan, en un esfuerzo por dar a conocer el grupo y sus capacidades.
Hallazgos
Anfitriones NTC Vulkan
Censys Los investigadores se centraron primero en los activos de dominio público pertenecientes a NTC Vulkan para establecer la atribución entre la empresa y cualquier dominio, host o certificado dentro del conjunto de datos del escaneado Censys . Durante esta búsqueda, Censys descubrió seis hosts de NTC Vulkan que ilustraban que la empresa ha utilizado o utiliza actualmente software de colaboración virtual BigBlueButton y Jitsi Meet; almacenamiento de datos y colaboración virtual Nextcloud; cortafuegos Cisco y pfSense; un servidor Nginx; y un servidor GitLab, entre otras herramientas.
Teniendo en cuenta que la información filtrada sobre Vulkan del NTC indicaba el desarrollo de herramientas para el GRU, el descubrimiento histórico del servidor GitLab de Censyspuede coincidir con esta afirmación. La presencia de herramientas de videoconferencia BigBlueButton y Jitsi Meet puede indicar colaboración remota interna o posiblemente colaboración con una entidad externa como un cliente. Los servidores Nextcloud pueden servir en una capacidad de colaboración similar y/o para uso interno de NTC Vulkan. Además, la postura externa de NTC Vulkan incluye el uso constante de dispositivos de red Cisco y pfSense.
Raccoon Security Anfitriones
Tras descubrir estos hosts NTC Vulkan, los investigadores de Censys enumeraron todos los certificados NTC Vulkan, tanto los actuales como los caducados. Para ello, Censys se basó en el campo de organización de uno de los certificados de un host NTC Vulkan confirmado, además de buscar el dominio ntc-vulkan[.]ru y variaciones de "NTC Vulkan" (por ejemplo, "NTCVulkan", "NTC Vulcan", etc.) en la base de datos de certificados de Censys. Al revisar estos certificados, los investigadores de Censys buscaron cualquier indicador adicional de atribución, incluidos otros dominios en los campos Subject Alternate Names (SANs) y Common Name (CN) para identificar más vínculos con el grupo o cualquier otra organización con la que pudiera estar afiliado.
Censys encontró raccoonsecurity[.]ru dentro del CN del sujeto del certificado y los SAN. Este indicador inicial condujo a una búsqueda de "raccoonsecurity" en los datos de certificados de Censys, lo que permitió descubrir no solo otros certificados, sino también un host virtual en un proveedor de alojamiento compartido con los dominios raccoonsecurity[.]org, raccoonsecurity[.]net y raccoonsecurity[.]org, todos los cuales redirigen a raccoonsecurity[.]ru.
Un vistazo al sitio web de Raccoon Security (traducido del ruso al inglés con Google Translate) muestra los siguientes servicios:
Aunque estos servicios se presentan de forma defensiva en el sitio web, su utilidad coincide con las iniciativas de contratos Vulkan del NTC que se han filtrado. Esto incluye Krystal-2B, un entorno de entrenamiento para atacar tecnología operativa, que podría habilitarse realizando y aprendiendo de los servicios ofrecidos anteriormente. También incluye Scan-V, cuyo objetivo era identificar vulnerabilidades en dispositivos identificados globalmente, coincidiendo con la verborrea anterior de "identificar errores de implementación y vulnerabilidades en productos y sistemas críticos." Además, el sitio web de Raccoon Security ofrece consultoría y planificación de diseño y desarrollo seguros, lo que coincide con la naturaleza de desarrollo de los proyectos para cuya ejecución GRU contrató a NTC Vulkan.
Además, una búsqueda en Google de raccoonsecurity[.]ru muestra la mención de Raccoon Security como marca interna y equipo de NTC Vulkan en ntc-vulkan[.]ru/about/news/racoon-security/.
Censys concluye, por tanto, que Racoon Security es una marca de NTC Vulkan y que es posible que las actividades de Raccoon Security incluyan la participación anterior o actual en las iniciativas filtradas anteriormente mencionadas contratadas por el GRU. Censys recomienda vigilar Raccoon Security, sus dominios, sitio web, dirección IP y cualquier certificado en el que se mencione para descubrir cualquier cambio temporal en la postura o infraestructura de la organización.
Evaluación
Censys evalúa con un alto nivel de confianza que los hosts, certificados y dominios de NTC Vulkan identificados en este informe pertenecen efectivamente al mismo NTC Vulkan identificado en las fuentes citadas en este informe. Las convenciones de nomenclatura de los certificados de NTC Vulkan y los dominios identificados en el conjunto de datos de Censyscorresponden al sitio web público de NTC Vulkan. Aunque los investigadores de Censys identificaron cambios de software en los hosts de NTC Vulkan y la creación de nuevos certificados al expirar los antiguos, las convenciones de nomenclatura se mantuvieron constantes en los certificados y Censys no observó cambios en las direcciones IP a lo largo del tiempo. Por lo tanto, estos indicadores permiten a Censys concluir que los activos identificados en este informe pertenecen a NTC Vulkan. Esta afirmación no es chocante, ya que NTC Vulkan es una empresa pública, pero es útil para aquellos que buscan supervisar de forma fiable la organización en busca de cambios en su postura o capacidades.
Censys también evalúa con alta confianza que Raccoon Security, y sus dominios, host y certificados relacionados pertenecen a la marca de desarrollo de ciberseguridad con sede en Moscú del mismo nombre. Esto se debe al hecho de que todos los dominios asociados de Raccoon Security redirigen al sitio web principal de Raccoon Security. Censys también confía en que Raccoon Security es un grupo dentro de NTC Vulkan, no sólo porque los investigadores de Censys descubrieron el dominio de Raccoon Security dentro de un certificado que enumeraba a NTC Vulkan en el campo de organización, sino porque el sitio web correspondiente de Racoon Security declara explícitamente que es "...una asociación corporativa interna de especialistas del centro de investigación y desarrollo Vulcan....". El sitio de NTC Vulkan confirma esta relación.
Aunque Censys no puede confirmar que Raccoon Security esté desarrollando las herramientas ofensivas mencionadas en las mencionadas filtraciones de NTC Vulkan, parece que los servicios y capacidades que aparecen en su sitio web se prestan a ello.
En conclusión, la identificación de la huella digital pública de NTC Vulkan y Raccoon Security indicó a los investigadores de Censys que:
- Aprovechar incluso un dominio confirmado que pertenezca a una organización puede ser suficiente para comprender las herramientas comunes que esa organización aprovecha para mantener las operaciones empresariales, como la formación virtual, la colaboración en la nube y la defensa de la red.
- Investigar el historial de esos hosts puede ser útil para orientar a los analistas en cuanto a las funciones principales de esos hosts e incluso de la propia organización.
- Examinar los certificados de una determinada organización puede ser una forma útil de descubrir organizaciones relacionadas y sus dominios, lo que puede conducir a pivotes útiles que revelen nuevos hosts.
Póngase en contacto con
Si desea obtener información detallada sobre hosts, IP, software o certificados mencionados en este informe, o para cualquier pregunta, comentario o solicitud, envíenos un correo electrónico a federal@censys.io.