Los piratas informáticos de SolarWinds no han regresado, nunca se fueron

Agrandar / “¿Y la gente hace clic de manera confiable en estos correos electrónicos? ¿En serio?”

Foto oficial del Kremlin

Los hackers rusos que software de gestión de TI SolarWinds vulnerado comprometer un gran cantidad de agencias y empresas del gobierno de los Estados Unidos están de vuelta en el centro de atención. Microsoft dijo el jueves que el mismo grupo de espías “Nobelium” ha desarrollado una agresiva campaña de phishing desde enero de este año y la ha incrementado significativamente esta semana, apuntando a aproximadamente 3,000 personas en más de 150 organizaciones en 24 países.

La revelación causó revuelo, destacando las continuas e inveteradas campañas de espionaje digital de Rusia. Pero no debería sorprendernos en absoluto que Rusia en general, y los piratas informáticos de SolarWinds en particular, hayan continuado espiando incluso después de la Estados Unidos impuso sanciones de represalia en abril. Y en relación con SolarWinds, una campaña de phishing parece absolutamente normal.

“No creo que sea una escalada, creo que es un negocio como de costumbre”, dice John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad FireEye, que descubrió por primera vez las intrusiones de SolarWinds. “No creo que estén disuadidos y no creo que sea probable que se dejen disuadir”.

Ciertamente, vale la pena mencionar la última campaña de Rusia. Nobelium comprometió cuentas legítimas del servicio de correo electrónico masivo Constant Contact, incluida la de la Agencia de los Estados Unidos para el Desarrollo Internacional. Desde allí, los piratas informáticos, supuestamente miembros de la agencia de inteligencia extranjera SVR de Rusia, podían enviar correos electrónicos de spear-phishing especialmente diseñados que realmente provenían de las cuentas de correo electrónico de la organización a la que se hacían pasar. Los correos electrónicos incluían enlaces legítimos que luego redirigían a la infraestructura maliciosa de Nobelium e instalaban malware para tomar el control de los dispositivos de destino.

Si bien la cantidad de objetivos parece grande y USAID trabaja con muchas personas en posiciones delicadas, el impacto real puede no ser tan severo como parece. Si bien Microsoft reconoce que es posible que se hayan recibido algunos mensajes, la compañía dice que los sistemas automatizados de spam bloquearon muchos de los mensajes de phishing. El vicepresidente corporativo de Microsoft para la seguridad del cliente y la confianza, Tom Burt, escribió en un entrada en el blog el jueves que la compañía considera la actividad como “sofisticada” y que Nobelium evolucionó y perfeccionó su estrategia para la campaña durante los meses previos a la focalización de esta semana.

“Es probable que estas observaciones representen cambios en el oficio del actor y una posible experimentación luego de divulgaciones generalizadas de incidentes anteriores”, escribió Burt. En otras palabras, esto podría ser un pivote después de que se viera la tapa de SolarWinds.

Pero las tácticas de esta última campaña de phishing también reflejan la práctica general de Nobelium de establecer el acceso en un sistema o cuenta y luego usarlo para obtener acceso a otros y saltar a numerosos objetivos. Es una agencia de espionaje; esto es lo que hace por supuesto.

“Si esto hubiera sucedido antes de SolarWinds, no habríamos pensado nada al respecto. Es solo el contexto de SolarWinds lo que nos hace verlo de manera diferente “, dice Jason Healey, ex miembro del personal de la Casa Blanca de Bush y actual investigador de conflictos cibernéticos en la Universidad de Columbia.” Digamos que este incidente ocurrió en 2019 o 2020, no creo que nadie lo esté voy a parpadear ante esto “.

Como señala Microsoft, tampoco hay nada inesperado sobre los espías rusos, y Nobelium en particular, dirigidos a agencias gubernamentales, USAID en particular, ONG, think tanks, grupos de investigación o contratistas de servicios militares y de TI.

“Las ONG y los think tanks de DC han sido objetivos fáciles de gran valor durante décadas”, dice un ex consultor de ciberseguridad del Departamento de Seguridad Nacional. “Y es un secreto a voces en el mundo de la respuesta a incidentes que USAID y el Departamento de Estado son un lío de infraestructura y redes de TI subcontratadas e irresponsables. En el pasado, algunos de esos sistemas fueron comprometida durante años.

Especialmente en comparación con el alcance y la sofisticación de la violación de SolarWinds, una campaña de phishing generalizada se siente casi como un cambio hacia abajo. También es importante recordar que los impactos de SolarWinds continúan; incluso después de meses de publicidad sobre el incidente, es probable que Nobelium todavía persiga al menos algunos de los sistemas que comprometió durante ese esfuerzo.

“Estoy seguro de que todavía tienen accesos en algunos lugares de la campaña SolarWinds”, dice Hultquist de FireEye. “El impulso principal de la actividad ha disminuido, pero es muy probable que persista en varios lugares”.

Que es solo la realidad del espionaje digital. No se detiene y comienza basándose en la vergüenza pública. La actividad de Nobelium ciertamente no es bienvenida, pero en sí misma no presagia una gran escalada.

Información adicional de Andy Greenberg. Esta historia apareció originalmente en wired.com.


Source: Ars Technica by arstechnica.com.

*The article has been translated based on the content of Ars Technica by arstechnica.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!