Tecnología

Los hackers de SolarWinds no regresaron, nunca se fueron

Agrandar / «¿Y la gente hace clic en esos correos electrónicos de manera confiable? ¿En serio?»

Foto oficial del Kremlin

Los piratas informáticos rusos que piratearon el software de gestión de TI de SolarWinds para comprometer a varias agencias y empresas del gobierno de EE. UU. Vuelven a ser el centro de atención. Microsoft anunció el jueves que el mismo grupo de espías «Nobelium» ha estado construyendo una agresiva campaña de phishing desde enero de este año y se ha expandido significativamente esta semana, apuntando a unas 3.000 personas en más de 150 organizaciones en 24 países.

La revelación causó revuelo, destacando las continuas e inveteradas campañas de espionaje digital de Rusia. Sin embargo, no debería sorprendernos que Rusia en general, y los piratas informáticos de SolarWinds en particular, siguieran espiando después de que Estados Unidos impusiera sanciones de represalia en abril. Y en comparación con SolarWinds, una campaña de phishing parece absolutamente normal.

«No creo que esté aumentando, creo que es lo mismo de siempre», dijo John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad FireEye, quien descubrió por primera vez a los intrusos SolarWinds. «No creo que te desanime y no creo que sea probable que te desanime».

Ciertamente, vale la pena llamar a la última campaña de Rusia. Nobelium comprometió cuentas legítimas del servicio de correo electrónico masivo Constant Contact, incluida la de la Agencia de los Estados Unidos para el Desarrollo Internacional. Desde allí, los piratas informáticos, supuestamente miembros del servicio de inteligencia extranjero ruso SVR, pudieron enviar correos electrónicos de spear phishing especialmente diseñados que en realidad provenían de las cuentas de correo electrónico de la organización que están falsificando. Los correos electrónicos contenían enlaces legítimos que luego fueron redirigidos a la infraestructura maliciosa de Nobelium y al malware instalado para tomar el control de los dispositivos de destino.

Si bien la cantidad de objetivos parece grande y USAID trabaja con muchas personas en posiciones delicadas, el impacto real puede no ser tan severo como parece inicialmente. Si bien Microsoft admite que algunos mensajes pueden haber pasado, la compañía dice que los sistemas automatizados de spam bloquearon muchos de los mensajes de phishing. Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, escribió en una publicación de blog el jueves que la compañía ve la actividad como «madura» y que Nobelium está desarrollando y refinando su estrategia de campaña durante meses antes de la meta de esta semana.

«Es probable que estas observaciones representen cambios en el oficio del actor y una posible experimentación tras las revelaciones generalizadas de incidentes anteriores», escribió Burt. En otras palabras, esto podría ser un punto de inflexión después de que su portada de SolarWinds desapareciera.

Pero las tácticas de esta última campaña de phishing también reflejan la práctica general de Nobelium de configurar el acceso a un sistema o cuenta y luego usarlo para obtener acceso a otros y saltar a numerosos objetivos. Es una agencia de espionaje; lo hace de forma natural.

“Si eso hubiera sucedido antes de SolarWinds, no habríamos pensado nada al respecto. Solo el contexto de SolarWinds nos hace verlo de manera diferente «, dice Jason Healey, ex empleado de la Casa Blanca de Bush y actual investigador de conflictos cibernéticos en la Universidad de Columbia.

Como señala Microsoft, tampoco hay nada inesperado acerca de los espías rusos, y especialmente de Nobelium, dirigidos a agencias gubernamentales, especialmente USAID, ONG, grupos de expertos, grupos de investigación o proveedores de servicios militares y de TI.

«Las ONG y los think tanks de DC han sido objetivos fáciles de alta calidad durante décadas», dice un exasesor del Departamento de Seguridad Nacional para la ciberseguridad. “Y es un secreto a voces en el mundo de la respuesta a incidentes que USAID y el Departamento de Estado son un lío de infraestructura y redes de TI subcontratadas e irresponsables. En el pasado, algunos de estos sistemas estuvieron comprometidos durante años.«

Especialmente cuando se compara con el tamaño y la complejidad de la brecha de SolarWinds, una campaña de phishing generalizada se siente casi como un cambio hacia abajo. También es importante recordar que los efectos de SolarWinds continúan; Incluso después de meses de publicidad sobre el incidente, es probable que Nobelium todavía esté rastreando al menos algunos de los sistemas que comprometió durante ese esfuerzo.

«Estoy seguro de que todavía tienen acceso a la campaña SolarWinds en algunos lugares», dice Hultquist de FireEye. «La principal explosión de actividad se ha reducido, pero es muy probable que continúe en múltiples ubicaciones».

Esa es solo la realidad del espionaje digital. No se detiene y comienza basándose en la vergüenza pública. Las actividades de Nobelium son ciertamente indeseables, pero en sí mismas no constituyen una escalada importante.

Cobertura adicional de Andy Greenberg. Esta historia apareció originalmente en wired.com.

Más populares

To Top