Microsoft dice que los piratas informáticos de SolarWinds han atacado nuevamente a EE. UU. y otros países

(CNN Business) — Los piratas informáticos detrás de una de las peores violaciones de datos que jamás haya golpeado al gobierno de Estados Unidos lanzaron un nuevo ciberataque global contra más de 150 agencias gubernamentales, centros de estudios y otras organizaciones, según Microsoft.

El grupo, al que Microsoft llama «Nobelium», apuntó a 3.000 cuentas de correo electrónico en varias organizaciones esta semana, la mayoría de las cuales estaban en Estados Unidos, dijo la compañía en una publicación de blog este jueves.

Modus operandi

Microsoft cree que los piratas informáticos forman parte del mismo grupo ruso detrás del devastador ataque del año pasado contra SolarWinds , un proveedor de software, que tuvo como objetivo al menos nueve agencias federales estadounidenses y 100 empresas.

La ciberseguridad ha sido un foco importante para el gobierno estadounidense después de las revelaciones de que los hackers habían puesto código malicioso en una herramienta publicada por SolarWinds.

Un ataque ransomware que cerró una de las piezas más importantes de la infraestructura energética de Estados Unidos —el oleoducto Colonial— a principios de este mes sólo ha aumentado la sensación de alarma. Ese ataque fue llevado a cabo por un grupo criminal originario de Rusia, según el FBI.

Microsoft dijo que al menos una cuarta parte de los objetivos de los ataques de esta semana estaban relacionados con el desarrollo internacional, el trabajo humanitario y de derechos humanos, en al menos 24 países.

Lo que arrojan las pruebas del ciberataque a FireEye 1:26

La empresa destacó que Nobelium lanzó el ataque al obtener acceso a una cuenta de marketing por correo electrónico de Constant Contact utilizada por la Agencia de Estados Unidos para el Desarrollo Internacional (USAID).

«Estos ataques parecen ser una continuación de los múltiples esfuerzos de Nobelium para apuntar a las agencias gubernamentales involucradas en la política exterior como parte de los esfuerzos de recopilación de inteligencia», dijo la compañía.

Reacciones

El portavoz interino de USAID, Pooja Jhunjhunwala, dijo el viernes que la agencia estaba al tanto de «actividad de correo electrónico potencialmente maliciosa» de una cuenta de marketing de Constant Contact comprometida. Se está llevando a cabo una investigación forense sobre el incidente, agregó Jhunjhunwala.

Por su parte, el Consejo de Seguridad Nacional de la Casa Blanca y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) están al tanto del incidente, según portavoces. CISA está «trabajando con el FBI y USAID para comprender mejor el alcance del compromiso y ayudar a las víctimas potenciales», dijo un portavoz.

Al obtener acceso a la cuenta de USAID, los piratas informáticos pudieron enviar correos electrónicos de phishing que, según Microsoft, «parecían auténticos, pero incluían un enlace que, al hacer clic, insertaba un archivo malicioso» que permitía a los piratas informáticos acceder a las computadoras a través de una puerta trasera.

«Esta puerta trasera podría permitir una amplia gama de actividades, desde robar datos hasta infectar otras computadoras en una red», dijo Microsoft.

Uno de los correos electrónicos falsos que parecía provenir de USAID incluía una dirección de remitente auténtica. El correo electrónico se presentó como una «alerta especial» que invitaba a los destinatarios a hacer clic en un enlace para «ver documentos» del expresidente Donald Trump sobre el fraude electoral.

EE.UU. envía más ayuda humanitaria para Venezuela 1:10

El rastreo

Microsoft dijo que muchos de los ataques se bloquearon automáticamente. La compañía está notificando a los clientes que fueron atacados y dijo que «no tiene ninguna razón para creer que estos ataques involucran alguna explotación o vulnerabilidad en los productos o servicios de Microsoft».

Un portavoz de Constant Contact dijo que la empresa está «consciente de que las credenciales de la cuenta de uno de nuestros clientes se vieron comprometidas».

El hecho lo describió como un incidente «aislado». «Hemos desactivado temporalmente las cuentas afectadas mientras trabajamos en cooperación con nuestro cliente, que trabaja con las fuerzas del orden», agregó el vocero.

En el momento del ataque a SolarWinds, las agencias de inteligencia y aplicación de la ley de Estados Unidos dijeron que el grupo responsable «probablemente se originó en Rusia», y agregaron que se creía que el ataque era un acto de espionaje.

Microsoft reiteró esas presuntas motivaciones en su publicación del blog del jueves, diciendo que «cuando se combina con el ataque a SolarWinds, está claro que parte del libro de jugadas de Nobelium es obtener acceso a proveedores de tecnología confiables e infectar a sus clientes».

«Al aprovechar las actualizaciones de software y ahora los proveedores de correo electrónico masivo, Nobelium aumenta las posibilidades de daños colaterales en las operaciones de espionaje y socava la confianza en el ecosistema tecnológico», dijo la compañía.

Rusia

La última divulgación muestra cómo Rusia no se ha dejado intimidar por los recientes esfuerzos de Estados Unidos para responsabilizar al Kremlin y reforzar la ciberseguridad después de la campaña SolarWinds, dijo James Lewis, experto en ciberseguridad del Centro de Estudios Estratégicos e Internacionales.

«Los rusos tienen un plan de campaña para ataques masivos contra objetivos estadounidenses, para los cuales no tienen ningún incentivo para detener», dijo Lewis. «No tienen miedo de la respuesta de Estados Unidos. Están probando la nueva administración».

¿Cómo debe actuar Biden con Rusia en política internacional? 2:41

El portavoz del Kremlin, Dmitry Peskov, se negó el viernes a comentar sobre los detalles de las acusaciones de Microsoft.

«Para responder a su pregunta, primero debemos responder lo siguiente: ¿qué grupos? ¿Por qué están vinculados a Rusia? ¿Quién atacó a qué? ¿A qué condujo esto? ¿Cuál fue el ataque en sí mismo? ¿Y cómo lo sabe Microsoft? estas preguntas están respondidas, podemos pensar en la respuesta [a su pregunta] «, dijo Peskov a CNN en una conferencia telefónica con periodistas.

Agregó que no cree que las acusaciones afecten la próxima cumbre entre el presidente estadounidense Joe Biden y el presidente ruso Vladimir Putin.

— Anna Chernova, Zahra Ullah, Jennifer Hansler, Brian Fung y Alex Marquardt contribuyeron a este artículo.

Ciberataques
Microsoft
Piratas informáticos