Informe dice que los piratas informáticos rusos no han facilitado los esfuerzos de espionaje

WASHINGTON – Los piratas informáticos de élite del estado ruso detrás de la campaña masiva de ciberespionaje SolarWinds del año pasado apenas disminuyeron este año, gestionando muchas infiltraciones de agencias gubernamentales estadounidenses y aliadas y grupos de expertos en política exterior con un arte consumado y sigilo, informó una firma líder en ciberseguridad.

También el lunes, Microsoft anunció que había interrumpido el ciberespionaje de un grupo de piratas informáticos chino respaldado por el estado al apoderarse de sitios web que utilizaba para recopilar inteligencia de ministerios de relaciones exteriores, grupos de expertos y organizaciones de derechos humanos en los EE. UU. Y otros 28 países, principalmente en latín. América y Europa.

Microsoft dijo que un tribunal federal de Virginia había concedido su solicitud el jueves pasado para apoderarse de 42 dominios web que el grupo de piratería chino, al que llama Nickel pero que también se conoce como APT15 y Vixen Panda, estaba utilizando para acceder a objetivos típicamente alineados con los intereses geopolíticos de China. Dijo en un blog que se eliminó “una pieza clave de la infraestructura en la que el grupo ha estado confiando” en su última ola de infiltraciones. Los dominios incautados incluyen “elperuanos.org”, “pandemicacre.com” y “cleanerkycloud.com”.

Los anuncios duales, aunque no están relacionados, resaltan el implacable ritmo del espionaje digital por parte de sus principales rivales geopolíticos de EE. UU., Cuyo conjunto de habilidades de intrusión cibernética solo se compara con el de los Estados Unidos.

Un año después de que descubrió las intrusiones de SolarWinds, Mandiant dijo que los piratas informáticos asociados con la agencia de inteligencia extranjera SVR de Rusia continúan robando datos “relevantes para los intereses rusos” con gran efecto utilizando técnicas novedosas y sigilosas que detalla en un informe principalmente técnico destinado a ayudar a la seguridad. los profesionales se mantienen alerta. Fue Mandiant, no el gobierno de EE. UU., Quien reveló SolarWinds.

Si bien el número de agencias gubernamentales y empresas pirateadas por SVR fue menor este año que el pasado, cuando se violaron unas 100 organizaciones, evaluar el daño es difícil, dijo Charles Carmakal, director técnico de Mandiant. En general, el impacto es bastante grave. “Las empresas que están siendo pirateadas, también están perdiendo información”.

“No todo el mundo está revelando los incidentes porque no siempre tienen que hacerlo legalmente”, dijo, complicando la evaluación de daños.

El ciberespionaje ruso se desarrolló, como siempre, principalmente en las sombras, ya que el gobierno de EE. UU. Fue consumido en 2021 por una amenaza cibernética separada, eminentemente “ruidosa” y que acapara los titulares: los ataques de ransomware lanzados no por piratas informáticos de los estados nacionales, sino por bandas criminales. Da la casualidad de que esas bandas están en gran parte protegidas por el Kremlin.

Los hallazgos de Mandiant siguen a un informe de octubre de Microsoft de que los piratas informáticos, cuyo grupo paraguas llama Nobelium, continúan infiltrándose en las agencias gubernamentales, los think tanks de política exterior y otras organizaciones centradas en los asuntos rusos a través de las empresas de servicios en la nube y los llamados proveedores de servicios administrados. de los que dependen cada vez más. Los investigadores de Mandiant dijeron que los piratas informáticos rusos “continúan innovando e identificando nuevas técnicas y oficios” que les permiten permanecer en las redes de víctimas, obstaculizar la detección y confundir los intentos de atribuirles piratas informáticos.

Mandiant no identificó víctimas individuales ni describió qué información específica pudo haber sido robada, pero dijo que “entidades diplomáticas” no especificadas que recibieron correos electrónicos de phishing maliciosos se encontraban entre los objetivos.

A menudo, dicen los investigadores, el camino de menor resistencia de los piratas informáticos a sus objetivos eran los servicios de computación en la nube. A partir de ahí, utilizaron credenciales robadas para infiltrarse en las redes. El informe describe cómo en un caso obtuvieron acceso al sistema Microsoft 365 de una víctima a través de un token de sesión robado. Y, dice el informe, los piratas informáticos confiaban habitualmente en técnicas avanzadas para cubrir sus huellas.

Una técnica inteligente discutida en el informe ilustra el juego del gato y el ratón en curso que implica el espionaje digital. Los piratas informáticos configuran cabezas de playa de intrusión utilizando direcciones IP, una designación numérica que identifica su ubicación en Internet, que estaban ubicadas físicamente cerca de una cuenta que están tratando de violar, en el mismo bloque de direcciones, por ejemplo, como el proveedor de Internet local de la persona. Eso hace que sea muy difícil para el software de seguridad detectar a un pirata informático que utiliza credenciales robadas que se hacen pasar por alguien que intenta acceder a su cuenta de trabajo de forma remota.

Microsoft no se hizo ilusiones de que las incautaciones de sitios web que anunció el lunes desalentarían a los piratas informáticos chinos, a quienes ha estado rastreando desde 2016. Dijo que las eliminaciones fueron de infraestructura que ha estado rastreando desde 2019, gran parte de la cual explota en las instalaciones, en lugar de a sistemas basados ​​en la nube: Exchange Server y SharePoint. La compañía ha utilizado la táctica de eliminación legal en 24 demandas hasta la fecha, dijo Microsoft, eliminando un total de 600 sitios utilizados por actores estatales y 10,000 por ciberdelincuentes.

El hack de SolarWinds aprovechó las vulnerabilidades en el sistema de la cadena de suministro de software y pasó desapercibido durante la mayor parte de 2020 a pesar de los compromisos en una amplia franja de agencias federales, incluido el Departamento de Justicia, y docenas de empresas, principalmente proveedores de telecomunicaciones y tecnología de la información, incluidas Mandiant y Microsoft. .

La campaña de piratería se llama SolarWinds en honor a la compañía de software estadounidense cuyo producto fue explotado en la primera etapa de infección de ese esfuerzo. La administración Biden impuso sanciones en abril pasado en respuesta al ataque, incluso contra seis empresas rusas que apoyan los esfuerzos cibernéticos del país.