Microsoft dice que el grupo ruso detrás del ataque a SolarWinds ahora tiene como objetivo la cadena de suministro de TI
El gigante tecnológico dijo que los últimos ataques formaban parte de una "oleada más amplia" de actividades que se venían produciendo desde el verano
{{#rendered}} {{/rendered}}Microsoft advirtió el lunes de que el mismo grupo ruso que estuvo detrás del ciberataque a SolarWinds en 2020 ha estado intentando "replicar" ese enfoque, dirigiéndose ahora a organizaciones "integrales" de la cadena de suministro mundial de TI, concretamente revendedores y proveedores de servicios tecnológicos.
El Vicepresidente Corporativo de Seguridad y Confianza del Cliente de Microsoft, Tom Burt, compartió la "actividad más reciente" que la empresa ha observado por parte del actor ruso de estado-nación Nobelium. Burt, en una entrada de blog, dijo que Nobelium fue identificado por el gobierno estadounidense y otros como parte del servicio de inteligencia exterior de Rusia, conocido como SVR.
{{#rendered}} {{/rendered}}"Nobelium ha intentado repetir el enfoque que utilizó en ataques anteriores, dirigiéndose a organizaciones que forman parte integral de la cadena mundial de suministro de TI", escribió Burt. "Esta vez, está atacando una parte diferente de la cadena de suministro: revendedores y otros proveedores de servicios tecnológicos que personalizan, despliegan y gestionan servicios en la nube y otras tecnologías en nombre de sus clientes".
Burt añadió que Microsoft cree que Nobelium "espera, en última instancia, aprovecharse de cualquier acceso directo que los distribuidores puedan tener a los sistemas informáticos de sus clientes y hacerse pasar más fácilmente por el socio tecnológico de confianza de una organización para acceder a sus clientes posteriores".
Microsoft dijo que empezó a observar la última actividad de Nobelium en mayo de 2021 y afirmó que ha estado notificando "a los socios y clientes afectados, al tiempo que desarrollaba nueva asistencia técnica y orientación para la comunidad de distribuidores".
{{#rendered}} {{/rendered}}"Desde mayo, hemos notificado a más de 140 revendedores y proveedores de servicios tecnológicos que han sido objetivo de Nobelium", escribió Burt. "Seguimos investigando, pero hasta la fecha creemos que hasta 14 de estos revendedores y proveedores de servicios se han visto comprometidos".
Microsoft afirmó que descubrió la campaña "durante sus primeras fases" y dijo que está compartiendo los avances con los distribuidores de servicios en la nube, los proveedores de tecnología y los clientes para que tomen "las medidas oportunas para ayudar a garantizar que Nobelium no tenga más éxito."
Microsoft afirmó que los ataques a este sector de la cadena mundial de suministro informático han formado parte de una "oleada mayor" de actividades nobelianas durante el verano.
{{#rendered}} {{/rendered}}Burt dijo que entre el 1 de julio y el 19 de octubre, Microsoft informó a 609 clientes de que habían sido atacados 22.868 veces por Nobelium, con una tasa de éxito de un solo dígito.
"En comparación, antes del 1 de julio de 2021, habíamos notificado a los clientes sobre ataques de todos los actores del Estado-nación 20.5000 en los últimos tres años", escribió Burt.
Microsoft advirtió, sin embargo, que la actividad es "otro indicador de que Rusia está intentando obtener acceso sistemático y a largo plazo a diversos puntos de la cadena de suministro tecnológico y establecer un mecanismo para vigilar -ahora o en el futuro- objetivos de interés para el gobierno ruso".
{{#rendered}} {{/rendered}}Microsoft, al detallar los ataques, explicó que no parecen un intento de "explotar ningún fallo o vulnerabilidad del software", sino la utilización de "técnicas bien conocidas, como el rociado de contraseñas y el phishing, para robar credenciales legítimas y obtener acceso privilegiado". Microsoft dijo que la empresa "ahora puede proporcionar información procesable que puede utilizarse para defenderse contra este nuevo enfoque".
Microsoft dijo que se ha estado coordinando con otros miembros de la comunidad de seguridad y ha estado "trabajando estrechamente con agencias gubernamentales de EE.UU. y Europa".
"Aunque tenemos claro que las naciones-estado, incluida Rusia, no detendrán ataques como éstos de la noche a la mañana, creemos que medidas como la orden ejecutiva sobre ciberseguridad en Estados Unidos, y la mayor coordinación e intercambio de información que hemos visto entre la industria y el gobierno en los dos últimos años, nos han colocado a todos en una posición mucho mejor para defendernos de ellos", escribió Burt.
{{#rendered}} {{/rendered}}Mientras tanto, un alto funcionario de la administración explicó que las actividades que Microsoft describió que se estaban llevando a cabo eran "intentos poco sofisticados de rociado de contraseñas y phishing con fines de vigilancia que, según los expertos en ciberseguridad, Rusia y otros gobiernos extranjeros intentan todos los días y desde hace años".
El funcionario dijo que este tipo de intentos pueden evitarse si los proveedores de servicios en la nube aplican prácticas de ciberseguridad "básicas", incluida la autenticación multifactor, una medida para exigir a los usuarios que autentiquen sus cuentas con algo más que una contraseña.
{{#rendered}} {{/rendered}}"En términos generales, el gobierno federal está utilizando agresivamente nuestras autoridades para proteger a la Nación de las ciberamenazas, lo que incluye ayudar al sector privado a defenderse mediante un mayor intercambio de inteligencia, asociaciones innovadoras para desplegar tecnologías de ciberseguridad, diplomacia bilateral y multilateral, y medidas de las que no hablamos públicamente por razones de seguridad nacional", dijo el funcionario a Fox News.
A principios de este año, el gobierno de Biden impuso sanciones a Rusia por el pirateo informático de SolarWinds, que comenzó en 2020 cuando se coló un código malicioso en las actualizaciones de un popular software que supervisa las redes informáticas de empresas y gobiernos. El malware, que afectaba a un producto fabricado por la estadounidense SolarWinds, daba a los hackers de élite acceso remoto a las redes de una organización para poder robar información.
LA CASA BLANCA ACOGERÁ UNA REUNIÓN MUNDIAL CONTRA EL RANSOMWARE; RUSIA NO ESTÁ INVITADA
{{#rendered}} {{/rendered}}A principios de este mes, Biden organizó reuniones virtuales con más de 30 países para "acelerar la cooperación en la lucha contra el ransomware", pero la Casa Blanca no extendió la invitación a Rusiadijeron altos funcionarios de la administración. Los funcionarios señalaron que Estados Unidos y el Kremlin tienen un "canal separado" en el que discuten "activamente" el asunto.
Los funcionarios dijeron que el presidente creó un grupo de expertos ruso-estadounidense para que Estados Unidos se comprometa "directamente" en la cuestión del ransomware.
"Buscamos al gobierno ruso para abordar la actividad delictiva de ransomware procedente de actores de Rusia", dijo un funcionario, y añadió que la administración Biden "también ha compartido información con Rusia sobre la actividad delictiva de ransomware que se lleva a cabo desde su territorio".
{{#rendered}} {{/rendered}}"Hemos visto algunos pasos por parte del gobierno ruso, y estamos esperando ver acciones de seguimiento y una cooperación internacional más amplia es una línea de esfuerzo importante, porque se trata de organizaciones delictivas transnacionales", dijo un funcionario, añadiendo que "aprovechan la infraestructura global y las redes de blanqueo de dinero para llevar a cabo sus ataques."
Biden, durante su cumbre en Ginebra con el presidente ruso Vladimir Putin en junio, planteó la cuestión del ransomware. En aquel momento, Biden dijo que le había dicho a Putin que "ciertas infraestructuras críticas deberían estar fuera de los límites de los ataques". Biden afirmó que le dio una lista de "16 entidades específicas definidas como infraestructuras críticas", diciendo que iban desde la energía a los sistemas de agua.
Sin embargo, Putin, durante la rueda de prensa posterior a la reunión, negó que Rusia fuera responsable de los ciberataques y, en su lugar, afirmó que la mayoría de los ciberataques del mundo se llevaban a cabo desde Estados Unidos.
{{#rendered}} {{/rendered}}También durante el verano, el presidente firmó un memorando de seguridad nacional en el que ordenaba a su administración que desarrollara objetivos de rendimiento en materia de ciberseguridad para las infraestructuras críticas de Estados Unidos, es decir, entidades como empresas de suministro eléctrico, plantas químicas y reactores nucleares.
Mientras tanto, el Centro Nacional de Contrainteligencia y Seguridad anunció la semana pasada que está dando prioridad a los esfuerzos de divulgación de la industria en los sectores tecnológicos estadounidenses en los que "potencialmente hay más en juego" la seguridad económica y nacional de Estados Unidos, advirtiendo de las "amenazas de los Estados-nación" planteadas por China y Rusia.
{{#rendered}} {{/rendered}}El NCSC advirtió de que el Kremlin "tiene como objetivo los avances de Estados Unidos mediante el empleo de diversos mecanismos lícitos e ilícitos de transferencia de tecnología para apoyar sus esfuerzos a nivel nacional, incluidos sus programas militares y de inteligencia."
Los funcionarios del NCSC advirtieron de que Rusia también "recurre cada vez más a la captación de talentos" y a las colaboraciones científicas internacionales para "avanzar" en sus esfuerzos nacionales de investigación y desarrollo. Sin embargo, el NCSC afirmó que sus "limitaciones de recursos" han obligado al Kremlin a centrarse en los esfuerzos de investigación y desarrollo "autóctonos", como las aplicaciones militares rusas de la inteligencia artificial.
El NCSC advirtió que Rusia utiliza servicios de inteligencia, académicos, empresas conjuntas y asociaciones empresariales, captación de talentos, inversiones extranjeras, acuerdos de gobierno a gobierno y otros medios para adquirir tecnologías estadounidenses.
{{#rendered}} {{/rendered}}Meghan Henney, de FOX Business, ha contribuido a este informe.