Hackers rusos lanzan un ataque por correo electrónico contra agencias de gobierno

Los ciberespías rusos respaldados por el estado que lanzaron la campaña de piratería SolarWinds emitieron un ataque de phishing contra agencias gubernamentales y grupos de expertos estadounidenses y extranjeros esta semana, para lo cual utilizaron una cuenta de email de marketing de la Agencia de Estados Unidos para el Desarrollo Internacional (USAID), dijo Microsoft .

El ataque se dirigió a unas 3,000 cuentas de correo electrónico en más de 150 organizaciones, al menos una cuarta parte de ellas involucradas en desarrollo internacional, trabajo humanitario y de derechos humanos, escribió el vicepresidente de Microsoft, Tom Burt, en un blog el jueves.

Microsoft identificó a los perpetradores del ataque como Nobelium, un grupo originario de Rusia que también estuvo detrás de los ataques a los clientes de SolarWinds en 2020.

Te recomendamos: La FGR contrató programas para el espionaje masivo de celulares, revela El País

“Los ataques cibernéticos de las naciones-estado no disminuyen“, escribió Burt. “Necesitamos reglas claras que gobiernen la conducta del estado-nación en el ciberespacio y expectativas claras de las consecuencias de la violación de esas reglas”.

Un portavoz de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EU dijo que estaba investigando con otras agencias: “Somos conscientes del posible impacto en USAID a través de una plataforma de marketing por correo electrónico y estamos trabajando con el FBI y USAID para comprender mejor el alcance del impacto y ayudar a las víctimas potenciales”.

La noticia de los ataques se produjo poco más de un mes después de que Estados Unidos expulsara a diplomáticos rusos e impusiera sanciones contra funcionarios y empresas rusas en un intento por acabar con la interferencia electoral y el ciberespionaje.

Esto precede a una cumbre entre el presidente estadounidense, Joe Biden, y su homólogo ruso, Vladimir Putin, programada para el próximo mes.

El viernes, la Casa Blanca confirmó que seguiría adelante con la cumbre a pesar del ataque. Una portavoz, Karine Jean-Pierre, dijo a los periodistas que “vamos a seguir adelante con esa” cumbre, luego de que se le preguntó sobre el posible impacto del hackeo en la reunión.

Microsoft no informó qué parte de los intentos de ataque pudieron haber llevado a invasiones exitosas, aunque Burt escribió que muchos ataques dirigidos a los clientes de la compañía fueron bloqueados automáticamente.

No te pierdas: El Vaticano recluta bots para proteger su biblioteca de los hackers

La empresa de ciberseguridad Volexity, que también rastreó la campaña pero tiene menos visibilidad de los sistemas de correo electrónico que Microsoft, dijo en una publicación que las tasas de detección relativamente bajas de los correos electrónicos de phishing sugerían que el atacante “probablemente estaba teniendo cierto éxito en la intrusión de objetivos”.

Burt explicó que la campaña parecía ser una continuación de los esfuerzos de los piratas informáticos rusos para “atacar a las agencias gubernamentales involucradas en la política exterior como parte de los esfuerzos de recopilación de inteligencia“. Dijo que los objetivos abarcan al menos 24 países, aunque las organizaciones estadounidenses representan la mayor parte de las víctimas.

Los piratas informáticos obtuvieron acceso a la cuenta de USAID en Constant Contact, un servicio de marketing por correo electrónico, narró Microsoft. Los correos electrónicos de phishing de apariencia auténtica con fecha del 25 de mayo pretendían contener nueva información sobre las denuncias de fraude electoral de 2020 e incluían un enlace a malware que permitía a los piratas informáticos “lograr un acceso persistente a las máquinas comprometidas”.

Microsoft dijo en otro blog que la campaña estaba en curso y se desarrolló a partir de varias oleadas de campañas de spear-phishing que detectó por primera vez en enero y que escalaron a los correos masivos esta semana.

El portavoz interino de USAID, Pooja Jhunjhunwala, dijo a The Guardian que la agencia estaba “al tanto de la actividad de correo electrónico potencialmente maliciosa de una cuenta de marketing por correo electrónico de Constant Contact comprometida”, y que se estaba llevando a cabo una investigación forense.

Lee: ¿Qué países y hackers atacan a los desarrolladores de las vacunas contra el Covid?

USAID “ha notificado y está trabajando con las autoridades federales correspondientes”, dijo Jhunjhunwala. El Departamento de Seguridad Nacional de EU también informó que investiga ese acto de piratería. La portavoz de Constant Contact, Kristen Andrews, lo calificó como un “incidente aislado”, y que las cuentas afectadas fueron desactivadas temporalmente.

La última ciberagresión siguió a un ataque de ransomware el 7 de mayo en Colonial Pipeline, el cual llevó al cierre de la red de ductos de combustible más grande de EU durante varios días, interrumpiendo el suministro.

El hackeo de SolarWinds comenzó en marzo de 2020 cuando se introdujo un código malicioso en las actualizaciones de un software popular llamado Orion, elaborado por la empresa, que supervisa las redes informáticas de empresas y gobiernos en busca de interrupciones. Ese malware les dio a los piratas informáticos acceso remoto a las redes de una organización para que pudieran robar información.

La campaña de piratería, que se infiltró en docenas de empresas del sector privado y grupos de expertos, así como en al menos nueve agencias gubernamentales de EU, fue sumamente sigilosa y se prolongó durante la mayor parte de 2020 antes de ser detectada en diciembre por la empresa de ciberseguridad FireEye. Por el contrario, esta nueva campaña es lo que los investigadores de ciberseguridad llaman ruidosa y fácil de detectar.

Microsoft señaló los dos métodos de distribución masiva utilizados: el hackeo de SolarWinds explotó la cadena de suministro de las actualizaciones de software de un proveedor de tecnología confiable; esta campaña se apoyó en un proveedor de correo electrónico masivo. Con ambos métodos, dijo la compañía, los piratas informáticos socavaron la confianza en el ecosistema tecnológico.

Te recomendamos: Apple, hackeada, deberá hilar fino para evitar pérdidas monumentanles

El presidente de Microsoft, Brad Smith, ha descrito anteriormente el ataque SolarWinds como “el ataque más grande y sofisticado que jamás haya visto el mundo”.

Este mes, el jefe de inteligencia de Rusia negó ser responsable del ataque SolarWinds, pero dijo que estaba “halagado” por las acusaciones de Estados Unidos y Gran Bretaña de que la inteligencia extranjera rusa estaba detrás de un ataque tan sofisticado.

EU y Gran Bretaña han culpado al servicio de inteligencia exterior de Rusia de ser el sucesor de las operaciones de espionaje en el extranjero de la KGB, por el ataque a SolarWinds.

Associated Press y Reuters contribuyeron a este informe.