En el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), en un período de 30 días (finales del tercer trimestre de 2019), observaron una importante actividad cibernética por parte de un grupo de amenazas al que han llamado Fósforo (Phosphorus). Los investigadores creen que se originó en Irán y que estaría vinculado al Gobierno iraní.
Dos razones han llevado a los expertos del MSTIC a compartir esta amenaza, de acuerdo a lo informado por Tom Burt, vicepresidente corporativo, de Seguridad y confianza del cliente en Microsoft.
“Primero, es importante que todos nosotros, los gobiernos y el sector privado, seamos cada vez más transparentes sobre los ataques y los esfuerzos de los estados nacionales para interrumpir los procesos democráticos”.
En segundo lugar, publicar esta información debería ayudar a otros a estar más atentos y tomar medidas para protegerse, aunque Microsoft cuente con procesos para notificar a los clientes sobre la actividad de los estados.
Esto, sin dejar a un lado que la compañía también cuenta con AccountGuard para monitorear las cuentas de campañas y otras organizaciones asociadas relacionadas con los procesos electorales en las democracias de todo el mundo.
Desde el MSTIC se ha observado que este grupo de amenazas realizó más de dos mil 700 intentos para identificar cuentas de correo electrónico de consumidores que pertenecen a clientes específicos de Microsoft y que luego atacó a 241 de esas cuentas.
Burt ha especificado que las cuentas objetivo están asociadas con una campaña presidencial de los Estados Unidos, funcionarios actuales y anteriores del gobierno de ese país, periodistas que cubren la política mundial y destacados iraníes que viven fuera de Irán.
Se ha podido conocer que cuatro cuentas fueron comprometidas como resultado de estos intentos, las mismas que no estaban asociadas con la campaña presidencial de los Estados Unidos ni con los funcionarios actuales y anteriores del gobierno de esa nación.
“Microsoft ha notificado a los clientes relacionados con estas investigaciones y amenazas y ha trabajado según lo solicitado con aquellos cuyas cuentas se vieron comprometidas para protegerlos”.
Actuación de Phosphorus
Phosphorus, según lo planteado por el ejecutivo de Microsoft, ha utilizado la información recopilada de la investigación de sus objetivos u otros medios para restablecer la contraseña del juego, o las características de recuperación de la cuenta, e intentar hacerse cargo de algunas cuentas específicas.
Por ejemplo, dijo que buscaría acceso a una cuenta de correo electrónico secundaria vinculada a la cuenta de Microsoft de un usuario, luego intentaría obtener acceso a la cuenta de Microsoft de un usuario mediante la verificación enviada a la cuenta secundaria.
“En algunos casos, reunieron números de teléfono que pertenecían a sus objetivos y los usaron para ayudar a autenticar los restablecimientos de contraseña”.
Aunque los ataques de Fósforo que se han divulgado no eran técnicamente sofisticados, el grupo de amenazas al parecer ha intentado usar una cantidad significativa de información personal para identificar las cuentas que pertenecen a sus objetivos previstos y, en algunos casos, para intentar ataques.
Este esfuerzo, de acuerdo con Burt, sugiere que Phosphorus está altamente motivado y dispuesto a invertir mucho tiempo y recursos en la investigación y otros medios de recopilación de información.
Es por esto que el MSTIC trabaja todos los días para rastrear cualquier grupo de amenazas, incluyendo a Fósforo, de modo que pueda notificar a los clientes cuando se enfrentan a amenazas o compromisos y para que se puedan construir productos para defenderse mejor de estas amenazas.
Atacando a Fósforo
La Unidad de Delitos Digitales, como ya se ha revelado, también ha tomado medidas legales y técnicas para combatir los ataques de Fósforo y continúa con este tipo de acciones.
Además, existe una variedad de pasos que los clientes pueden tomar para ayudar a proteger sus cuentas de consumidor. Desde la compañía se ha recomendado encarecidamente a todos los clientes que habiliten la verificación en dos pasos en sus cuentas, que se puede hacer en la configuración de Seguridad de la cuenta.
“Si bien hay varias maneras de habilitar esta verificación en dos pasos, la opción más segura es a través de una solución sin contraseña como Microsoft Authenticator”.
Burt ha agregado que las personas igualmente pueden verificar periódicamente su historial de inicio de sesión. “Lo recomendamos para periodistas, personal de campañas políticas y otras personas interesadas en garantizar la seguridad de la cuenta”. Estos registros se encuentran disponibles a través de la pestaña Actividad de inicio de sesión de seguridad de la cuenta.
“Si forma parte de una campaña política, un comité de partido político o una ONG o grupo de expertos que trabaja en temas relacionados con la democracia, es elegible para Microsoft AccountGuard, una oferta de nuestro Programa de Defensa de la Democracia”.
Desde Microsoft esperan que todos los gobiernos, empresas y grupos de defensa consideren unirse al Llamado de paz de París para la confianza y la seguridad en el ciberespacio y que todas las empresas consideren unirse al Acuerdo tecnológico de seguridad cibernética.
“Estas son dos iniciativas importantes que tienen como objetivo mantener a Internet más seguro de los tipos de actividad maligna que estamos discutiendo hoy”, explicó Burt.