Según se informa, piratas informáticos militares rusos están utilizando cuentas comprometidas de Microsoft 365 para atacar empresas en los Estados Unidos y, hasta ahora, han violado con éxito hasta 40 empresas.
Un nuevo informe de investigadores de Microsoft afirma haber descubierto a un grupo al que rastrean bajo el nombre de Midnight Blizzard (también conocido como NOBELIUM o Cozy Bear), un conocido actor de amenazas patrocinado por el estado ruso. Al parecer, el grupo ha estado utilizando cuentas de Microsoft 365, pertenecientes a varias pequeñas empresas de todo el país y robadas en ataques anteriores, para atacar a empresas específicas con mensajes de suplantación de identidad y señuelos de ingeniería social distribuidos a través de Microsoft Teams. Al parecer, los piratas informáticos se hacían pasar por personal de soporte técnico e intentaban que sus víctimas compartieran con ellos las credenciales de inicio de sesión y las claves de autenticación multifactor (MFA).
Midnight Blizzard se centra en el ciberespionaje y la recopilación de datos, explicó Microsoft, y los principales objetivos son las empresas del gobierno, las organizaciones no gubernamentales (ONG), los servicios de TI, la tecnología, la fabricación discreta y los medios de comunicación. El grupo está interesado principalmente en entidades que residen en Occidente, ya sea en Europa o en los Estados Unidos.
Microsoft también dijo que la campaña afectó a «menos de 40 organizaciones globales únicas» y que bloqueó el acceso a los dominios comprometidos, lo que sugiere que el vector de ataque de la campaña está desactivado. Las empresas comprometidas han sido notificadas, añadió la empresa.
En algunos casos, NOBELIUM también se dirigió a empresas cuyos sistemas están protegidos con autenticación multifactor. Sin entrar en demasiados detalles, Microsoft dijo que los actores de la amenaza lograron superar la MFA engañando a las víctimas para que compartieran el tiempo, clave a tiempo.
Según concluye el informe, Midnight Blizzard utiliza una amplia gama de técnicas habituales en sus campañas, y añade que el grupo no duda en añadir nuevas técnicas y enfoques avanzados a los ataques. Hasta ahora, se ha observado que el grupo utiliza EnvyScout, BoomBox, NativeZone y VaporRage como parte de su conjunto de herramientas.
Según BleepingComputer, EnvyScout es un archivo adjunto HTML/JS malicioso que se utiliza en correos electrónicos de suplantación de identidad para obtener las credenciales NTLM de las cuentas de Windows. También puede servir como cuentagotas. BoomBox es un eliminador de malware que se utiliza para eliminar los dos nombres restantes de la lista: NativeZone y VaporRage.
Análisis: ¿Por qué es importante?
La ventisca de medianoche representa una amenaza suficiente para que los gobiernos de EE. UU. y el Reino Unido estén atentos a ella. Al parecer, está dirigido por el Servicio de Inteligencia Exterior de la Federación de Rusia (SVR). Estos piratas informáticos suelen atacar a personas de alto perfil, como políticos y diplomáticos, periodistas, intelectuales y otros, pero también atacan a proveedores de servicios de TI y proveedores de infraestructuras críticas.
El objetivo del trabajo de Midnight Blizzard es reunir información y aprender todo lo posible sobre el funcionamiento interno de los diplomáticos en Occidente. Dada la situación actual en torno a Ucrania, pero en otros lugares en los que Rusia podría tener alguna influencia, como Níger, la labor de recopilación de información de inteligencia es tan importante como siempre lo ha sido.
Según Microsoft, los primeros vestigios de la existencia de Midnight Blizzard se remontan a 2018, y añade que, en muchos casos, el grupo busca comprometer cuentas válidas y utilizarlas para adentrarse en la madriguera del conejo. En el pasado, se observó que el grupo utilizaba los programas maliciosos del Servicio de Federación de Active Directory (ADFS) denominados FOGGYWEB y MAGICWEB. En tiempos más recientes, se hizo famoso en todo el mundo por estar detrás del infame ataque a SolarWinds.
¿Qué opina el público sobre Midnight Blizzard?
En mayo de 2021, la CNBC informó de que la empresa rusa Nobelium utilizaba el sistema de correo electrónico de la USAID para distribuir mensajes de suplantación de identidad. En ese momento, se enviaron más de 3.000 correos electrónicos maliciosos, y al menos una cuarta parte de las víctimas participaban en actividades de desarrollo internacional, humanitarias y de derechos humanos. Las víctimas estaban dispersas en 24 países diferentes, a pesar de que la mayoría de los objetivos estaban en los Estados Unidos.
Microsoft ha sido muy elocuente en su seguimiento del grupo. En octubre de 2021, Tom Burt, vicepresidente corporativo de Customer Security & Trust de Microsoft, publicó una entrada en el blog sobre las últimas actividades del grupo, argumentando que el actor de la amenaza también estaba detrás del ataque a SolarWinds de 2020. En ese momento, afirmó: «Creemos que, en última instancia, Nobelium espera aprovechar cualquier acceso directo que los revendedores puedan tener a los sistemas de TI de sus clientes y hacerse pasar más fácilmente por el socio tecnológico de confianza de una organización para acceder a sus clientes intermedios».
En aquel momento, Burt explicó que la actividad reciente era un nuevo indicador de que Rusia intentaba obtener un «acceso sistemático y a largo plazo» a diversos puntos de la cadena de suministro de tecnología. Un mes después, otro artículo de Microsoft calificó a Midnight Blizzard como «el ataque entre nación y estado más sofisticado de la historia».
Microsoft advirtió a sus usuarios sobre Midnight Blizzard en Twitter solo unas semanas antes de este incidente, el 21 de junio de este año, alegando que la empresa había intensificado su actividad de ataque de credenciales. Según el tuit, «estos ataques se dirigen a gobiernos, proveedores de servicios de TI, ONG, el sector de la defensa y la fabricación de productos básicos». Estos ataques contra las credenciales emplean diversas técnicas de fuerza bruta, robo de fichas y robo de contraseñas. Según Microsoft, Midnight Blizzard (NOBELIUM) también ha llevado a cabo ataques de reproducción de sesiones para obtener un acceso inicial a los recursos de la nube utilizando sesiones robadas que probablemente se adquirieron mediante ventas ilegales.
Profundice
Lea nuestra cobertura anterior sobre Nobelium, en particular sobre el hackeo de SolarWinds, si quiere obtener más información. También deberías asegurarte de leer nuestras guías detalladas sobre los mejores firewalls y las mejores herramientas de protección de puntos finales del mercado.
