Microsoft dice que ha detectado una ola renovada de ataques cibernéticos del mismo grupo respaldado por el estado detrás del gancho masivo de SolarWinds.
Según funcionarios e investigadores, el grupo ruso respaldado por el estado detrás de una campaña de piratería masiva expuesta el año pasado ha reaparecido con una serie de ataques a agencias gubernamentales, think tanks, consultores y otras organizaciones.
DETRÁS actualización de seguridad de Microsoft al final del jueves dijo que un grupo conocido como Nobelium ha intensificado los ataques, particularmente contra las agencias gubernamentales involucradas la política exterior como parte de la recopilación de inteligencia.
La Agencia de Infraestructura y Ciberseguridad del gobierno de Estados Unidos publicó un enlace a la actualización de Microsoft e instó a los administradores de redes informáticas a “tomar las contramedidas necesarias”.
Microsoft dijo que detectó una campaña “sofisticada” y a gran escala que dio sus frutos correos electrónicos de phishing suministro software malicioso y permitir a los piratas informáticos obtener datos protegidos de las víctimas.
“Esta ola de ataques se dirigió a aproximadamente 3.000 cuentas de correo electrónico en más de 150 organizaciones diferentes”, dijo el vicepresidente de Microsoft, Tom Burt, en una publicación de blog.
La noticia se produjo un mes después de que Washington impusiera sanciones y expulsó a los diplomáticos rusos en respuesta a la participación de Moscú en los ataques masivos a la compañía de software de seguridad SolarWinds el año pasado, así como a la interferencia electoral y otras acciones hostiles.
“Junto con el ataque a SolarWinds, está claro que parte de la estrategia de Nobelium es obtener acceso a proveedores de tecnología confiables e infectar a sus clientes”, escribió Burt.
“A cuestas actualizaciones de software y ahora proveedores de correo electrónico masivo, Nobelium aumenta las posibilidades de daños adicionales en las operaciones de espionaje y socava la confianza en el ecosistema tecnológico “.
Los nuevos ataques han permitido a los piratas informáticos obtener acceso a los servidores de correo operados por Constant Contact para poder engañar a la Agencia de Desarrollo Internacional de EE. UU. Y enviar correos electrónicos masivos con desinformación, según la actualización.
En un ejemplo, los correos electrónicos que parecían haber sido enviados por USAID contenían una “advertencia especial” que indicaba que “Donald Trump ha publicado nuevos documentos sobre fraude electoral”.
Según Microsoft, los usuarios que hacían clic en el enlace eran redirigidos a un sitio que contenía software malicioso y permitía a los piratas informáticos exfiltrar los datos.
El presidente de Estados Unidos, Joe Biden (izq.), Se reunirá con su homólogo ruso, Vladimir Putin, el próximo mes ante las crecientes tensiones entre los dos países.
El ataque continúa
“Este ataque aún está activo, por lo que estos indicadores no deben tomarse como exhaustivos para esta actividad observada”, dijo Microsoft en su actualización.
La firma de seguridad Volexity, que también publicó la investigación sobre piratería, dijo que parece que “es probable que el atacante tenga cierto éxito en comprometer los objetivos”.
La firma de seguridad escribió en una publicación de blog: “Si bien Volexity no puede decir con certeza quién está detrás de estos ataques, cree que tiene las características de un actor de amenazas conocido con el que ha tratado en varias ocasiones anteriores”, dijo el grupo de hackers ruso.
John Dickson, de la firma de seguridad Denim Group, dijo que los recientes ataques sugerían que las sanciones de Washington eran insuficientes.
“Creo que las sanciones fueron el punto de partida y tenemos que endurecerlas”, dijo Dickson AFP.
Dickson dijo que las diversas operaciones de piratería de Rusia “son diferentes iteraciones de las mismas operaciones de información” con el consentimiento del Kremlin y “lo hacen sin temor a represalias”.
El año pasado, SolarWinds reveló que el ataque de piratas informáticos afectó a 18.000 clientes y más de 100 empresas estadounidenses. Su lista de clientes incluye agencias gubernamentales y empresas entre las 500 principales de Estados Unidos.
Los piratas informáticos utilizaron Orion para obtener acceso a la red, lo que les permitió deslizar datos e instalar códigos maliciosos que servían como “puertas traseras” que podrían usarse para colarse en los sistemas cuando fuera necesario.
Washington acusó a Rusia de organizar el ataque en línea, citando explícitamente a su Servicio de Inteligencia Exterior (SVR).
La noticia del robo se produce cuando el presidente de Estados Unidos, Joe Biden, y el líder ruso, Vladimir Putin, se preparan para la primera cumbre de Ginebra el próximo mes.
La reunión del 16 de junio discutirá “toda la gama de asuntos urgentes mientras nos esforzamos por restaurar la previsibilidad y la estabilidad de las relaciones entre Estados Unidos y Rusia”, dijo la secretaria de prensa de la Casa Blanca, Jen Psaki, a principios de esta semana.
© 2021 AFP