El país de Georgia, los gobiernos y ejércitos de Europa del Este y varias organizaciones relacionadas con la seguridad, incluyendo a la Organización del Tratado del Atlántico Norte (OTAN), han sido el blanco de un grupo de espionaje cibernético denominado APT28 que se cree es ruso, de acuerdo con FireEye.

Las muestras de malware analizadas cuentan con un uso constante de la lengua rusa, según un informe publicado el martes por FireEye, que añade que más del 96% de las muestras se recopilaron entre el lunes y el viernes y más del 89% se compilaron entre las 8:00 a.m. y 6:00 p.m. en la zona horaria de Moscú y San Petersburgo.

Se cree que APT28 ha estado operando desde el 2007 y sus objetivos, malware, idioma y horas de trabajo han provocado que FireEye considere que el grupo es patrocinado por el gobierno de Rusia, mencionó Dan McWhoter, vicepresidente de inteligencia y amenazas de FireEye, en un correo el día martes.

"Creemos que los esfuerzos de APT28 buscan recolectar inteligencia para apoyar la toma de decisiones de alto nivel, la capacidad de evaluación de los gobiernos y las organizaciones regionales y una variedad de otras ganancias orientadas al espionaje", dijo McWhorter. "Estos beneficios permiten a los patrocinadores del grupo obtener información clave de los objetivos acerca de sus políticas internas/regionales, sus alianzas con entidades internacionales, posturas militares y de defensa, entre otras cosas."

Entre los objetivos identificados por FireEye se encuentran el Ministerio Georgiano de Asuntos Internos, el Ministerio de Defensa de Georgia, los periodistas que cubren el Cáucaso, el gobierno polaco, el gobierno húngaro, el Ministerio de Asuntos Exteriores en Europa del Este, la OTAN y la Organización para la Seguridad y la Cooperación en Europa.

APT28 utiliza principalmente con sus objetivos spear phishing (correo electrónico que aparenta ser de una persona o empresa conocida utilizando en ataques dirigidos) y strategic web compromises (SWC, sitios maliciosos que alojan y distribuyen malware), dijo McWhorter.

"Sus esfuerzos con spear phishing parecen estar altamente adaptados, lo que significa que el grupo desarrolla materiales señuelo que se creen son de mayor interés para atraer con la menor sospecha a sus objetivos", dijo McWhorter, añadiendo "en términos de los SWC, APT28 parece estar atrayendo a sus víctimas a sitios web maliciosos, que aparentan ser seguros para las víctimas dado que muchos de los dominios falsos son enmascarados con sitios legítimos."