La última campaña de Nobelium, también conocida como “Cozy bear”, fue detectada este año. Apuntó a no menos de 140 compañías y tuvo éxito en 14 de esos intentos.
Por infobae.com
La agencia con sede en Rusia que estuvo detrás del masivo ciberataque del año pasado contra SolarWinds lideró una nueva ola de agresiones contra más compañías y organizaciones en Estados Unidos, dijo Microsoft en una publicación de blog.
En la publicación con fecha 24 de octubre, Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, afirmó que la última ola de Nobelium tuvo como objetivo a “revendedores y otros proveedores de servicios tecnológicos” en la nube.
Nobelium es el equipo de piratería de élite de la agencia de inteligencia extranjera SVR de Rusia. El grupo es también conocido con el nombre de “Cozy bear”.
El gigante de Redmond dijo que la última campaña de Nobelium fue detectada en mayo de este año y que se han apuntado no menos de 140 empresas, con 14 casos confirmados de violación.
Nobelium fue responsable del hackeo de SolarWinds, que pasó desapercibido durante la mayor parte de 2020 y cuyo descubrimiento fue muy embarazoso para Washington. Entre las agencias gubernamentales estadounidenses gravemente comprometidas se encontraban el Departamento de Justicia, del cual los ciberespías rusos exfiltraron el 80% de las cuentas de correo electrónico utilizadas por las oficinas de los fiscales estadounidenses en Nueva York, el Departamento de Seguridad Nacional (DHS), la Agencia de Ciberseguridad e Infraestructura (CISA) y el Tesoro de los Estados Unidos.
La devastadora efectividad del hackeo de SolarWinds no detectado durante mucho tiempo, que principalmente violó empresas de tecnología de la información, incluida Microsoft, también aumentó la tasa de éxito de los piratas informáticos respaldados por el estado ruso al 32% en el año que finalizó el 30 de junio, en comparación con el 21% en los 12 meses anteriores, según dijo Microsoft en un reciente informe.
Microsoft estima que el ataque puede haber requerido los esfuerzos de hasta 1.000 ingenieros. Sin embargo, la última ola de ataques no parece hacer uso de vulnerabilidades o fallas de seguridad específicas; en cambio, el grupo utiliza el phishing, una técnica de ciberdelincuencia que utiliza el fraude, el abuso de API y el robo de tokens en un intento de obtener credenciales de cuenta y acceso privilegiado a los sistemas de las víctimas.
Los últimos ataques se enmarcan dentro de una campaña más amplia de los actores rusos durante el verano boreal, indicó Microsoft, agregando que notificó a 609 clientes entre el 1 de julio y el 19 de octubre de que habían sido atacados.
Antes del 1 de julio, Microsoft alertó a los clientes sobre intentos de ataque de piratas informáticos en un estado nacional en total 20.500 veces, incluida una campaña de phishing pasada lanzada por Nobelium que se hizo pasar por la Agencia de los Estados Unidos para el Desarrollo (USAID).
“Esta actividad reciente es otro indicador de que Rusia está tratando de obtener acceso sistemático a largo plazo a una variedad de puntos en la cadena de suministro de tecnología y [para] establecer un mecanismo para vigilar, ahora o en el futuro, los objetivos de interés al gobierno ruso“, comentó Microsoft. “Afortunadamente, hemos descubierto esta campaña durante sus primeras etapas y estamos compartiendo estos desarrollos para ayudar a los revendedores de servicios en la nube, proveedores de tecnología y sus clientes a tomar medidas oportunas para ayudar a garantizar que Nobelium no tenga más éxito”.
Microsoft ha informado a todos los proveedores afectados y también ha publicado una guía técnica que describe cómo Nobelium intenta moverse lateralmente a través de las redes para llegar a los clientes intermedios.
En un comunicado, el vicepresidente senior y director de tecnología de Mandiant, Charles Carmakal, dijo que la firma ha investigado múltiples casos de presuntos ciberataques rusos, de los cuales se han explotado las relaciones de la cadena de suministro entre proveedores de tecnología y clientes.
“Si bien el ataque a la cadena de suministro de SolarWinds involucró código malicioso insertado en software legítimo, la mayor parte de esta actividad de intrusión reciente ha involucrado el aprovechamiento de identidades robadas y las redes de soluciones tecnológicas, servicios y empresas de revendedores en América del Norte y Europa para, en última instancia, acceder a los entornos de las organizaciones. que son el objetivo del gobierno ruso “, dijo Carmakal.