Saltar al contenido

Hackers rusos atacan a organizaciones de derechos humanos utilizando la cuenta de la agencia de ayuda de EE. UU.

mayo 30, 2021
04OmEQc9O9ZEnUyLtjq08YS 2.1622213403.fit lim.size 1200x630
(Imagen: Getty)

El mismo grupo detrás del ciberataque SolarWinds utilizó recientemente la cuenta de marketing por correo electrónico de una agencia de ayuda estadounidense para enviar miles de correos electrónicos de phishing a más de 150 organizaciones.

Como el equipo de Seguridad y Confianza del Cliente (CST) de Microsoft describió esta semana, un grupo de piratería conocido como Nobelium obtuvo acceso a la cuenta de Constant Contact de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). Constant Contact es una empresa de marketing por correo electrónico, por lo que el acceso a la cuenta de USAID permitió a Nobelium enviar spam a unas 3.000 cuentas con correos electrónicos que parecían provenir de USAID.

En cambio, estos correos electrónicos “incluían un enlace que, al hacer clic, insertaba un archivo malicioso que se usaba para distribuir una puerta trasera que llamamos NativeZone”, dice Tom Burt, vicepresidente corporativo de Microsoft CST. “Esta puerta trasera podría permitir una amplia gama de actividades, desde robar datos hasta infectar otras computadoras en una red”.

Al menos una cuarta parte de las organizaciones seleccionadas estaban involucradas en el trabajo de desarrollo internacional, humanitario y de derechos humanos, dice Burt.

En un comunicado, un portavoz de Constant Contact dijo que la empresa es “consciente de que las credenciales de la cuenta de uno de nuestros clientes fueron comprometidas y utilizadas por un actor malintencionado para acceder a las cuentas de Constant Contact del cliente. Este es un incidente aislado y hemos desactivado temporalmente las cuentas afectadas mientras trabajamos en cooperación con nuestro cliente, que trabaja con las fuerzas del orden “.

Pooja Jhunjhunwala, portavoz interino de USAID, dice que “la investigación forense sobre este incidente de seguridad está en curso”, y la agencia está trabajando actualmente con “todas las autoridades federales apropiadas”, incluidas Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA).

CISA dice que está “trabajando con el FBI y USAID para comprender mejor el alcance del compromiso y ayudar a las víctimas potenciales”.


Esfuerzos de recopilación de inteligencia

Según Burt, Nobelium tiene su sede en Rusia, y el grupo “es el mismo actor detrás de los ataques a los clientes de SolarWinds en 2020. Estos ataques parecen ser una continuación de los múltiples esfuerzos de Nobelium para atacar a las agencias gubernamentales involucradas en la política exterior como parte de esfuerzos de recopilación de inteligencia “.

Microsoft dice que bloqueó automáticamente “muchos de los ataques dirigidos a nuestros clientes”, mientras que “Windows Defender está bloqueando el malware involucrado en este ataque”. Señala que “no hay razón para creer que estos ataques implican una explotación o vulnerabilidad en los productos o servicios de Microsoft” (el ataque SolarWinds permitió a los piratas informáticos ver el código fuente de Microsoft).

ejemplo de correo electrónico de nobelium
Ejemplo de correo electrónico enviado por Nobelium (Imagen: Microsoft)

Esta campaña se remonta a enero de 2021, momento en el que Microsoft cree que Nobelium estaba usando Google Firebase para probar las aguas con víctimas potenciales y quizás reagruparse después de que se expuso el esquema SolarWinds. Envió correos electrónicos de phishing que rastrearon quién hizo clic en los enlaces dentro de los mensajes, pero no entregó ningún malware.

Recomendado por nuestros editores

Esta “experimentación” continuó durante varios meses, pero “se intensificó significativamente” el 25 de mayo. En ese momento, los sistemas automatizados bloquearon la mayoría de los correos electrónicos de Nobelium y los marcaron como spam. “Sin embargo, los sistemas automatizados pueden haber entregado con éxito algunos de los correos electrónicos anteriores a los destinatarios”, dice Microsoft.

Si un correo electrónico de Nobelium llegaba a su bandeja de entrada y hacía clic, los piratas informáticos obtendrían acceso a su red, lo que les permitiría hurgar, eliminar datos y entregar malware adicional.

“Este es otro ejemplo más de cómo los ciberataques se han convertido en la herramienta elegida por un número creciente de estados-nación para lograr una amplia variedad de objetivos políticos, con el foco de estos ataques de Nobelium en organizaciones humanitarias y de derechos humanos”, dice Burt. .

Microsoft señala que “este es un incidente activo”. Burt dice que el ataque muestra que “necesitamos reglas claras que gobiernen la conducta del estado-nación en el ciberespacio y expectativas claras de las consecuencias de la violación de esas reglas”.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

close