El Centro de Inteligencia de Amenazas de Microsoft (MSRC, por sus siglas en inglés) ha rastreado recientemente importantes ataques cibernéticos originados por un grupo al que los expertos han llamado Strontium.
El conjunto de ciberdelincuentes, también conocido como Fancy Bear / APT28, se ha dirigido principalmente a las autoridades antidopaje y organizaciones deportivas de todo el mundo.
Tomando en cuenta que el mundo espera con anticipación los Juegos de Verano de Tokio en 2020, en el Centro de Inteligencia de Amenazas de Microsoft piensan que es importante compartir información sobre esta nueva ronda de actividades.
Tom Burt, vicepresidente corporativo, Seguridad y Confianza del cliente en Microsoft, ha informado que alrededor de 16 organizaciones deportivas y antidopaje (nacionales e internacionales), en tres continentes, han sido blanco de estos ataques cibernéticos que comenzaron el 16 de septiembre.
Como dato curioso, esto se ha dado justo antes de los informes de noticias sobre la nueva acción potencial que está tomando la Agencia Mundial Antidopaje.
“Algunos de estos ataques tuvieron éxito, pero la mayoría no lo ha tenido. Microsoft ha notificado a todos los clientes que han sido objetivo de estos ataques y ha trabajado con aquellos que han buscado nuestra ayuda para proteger cuentas o sistemas comprometidos”.
Burt también ha comentado que esta no es la primera vez que Strontium se dirige a tales organizaciones. Y es que, según los informes, el grupo ha publicado registros médicos y correos electrónicos tomados de organizaciones deportivas y funcionarios antidopaje en 2016 y 2018, lo que ha resultado en una acusación en 2018 en un tribunal federal en los Estados Unidos.
Phishing y otros métodos
En su entrada de blog, Burt ha explicado que los métodos utilizados en los ataques cibernéticos más recientes son similares a los usados habitualmente por Strontium para arremeter contra los gobiernos, militares, grupos de expertos, bufetes de abogados, organizaciones de derechos humanos, firmas financieras y universidades de todo el mundo.
Dijo que los métodos de Strontium incluyen phishing (suplantación de identidad), rociado de contraseñas, explotación de dispositivos conectados a Internet y el uso de malware de código abierto y personalizado.
“Anteriormente anunciamos actividades separadas de Strontium que hemos visto dirigidas a organizaciones involucradas en el proceso democrático y describimos los pasos legales que tomamos habitualmente para evitar que Strontium use dominios de Internet falsos de Microsoft para ejecutar sus ataques”.
Además, señaló que los datos y la información que han podido obtener de su trabajo de interrupción se utilizan para mejorar la seguridad y las características de seguridad de los productos y servicios.
En el Centro de Inteligencia de Amenazas de Microsoft, como lo han dicho sus investigadores en reiteradas oportunidades, creen que es importante compartir una actividad de amenaza significativa como la que se está conociendo ahora.
“Creemos que es fundamental que los gobiernos y el sector privado sean cada vez más transparentes acerca de la actividad de los estados nacionales para que todos podamos continuar el diálogo global sobre la protección de Internet”.
También se ha indicado que esperan ayudar a crear conciencia entre las organizaciones y las personas, con la publicación de esta información, sobre los pasos que pueden tomar para protegerse.
Protegerse de ataques cibernéticos
Para protegerse de ataques cibernéticos como lo originados por el grupo Strontium, así como de otros tipos, Tom Burt ha detallado que se puede practicar al menos de tres maneras.
“Recomendamos, primero, que habilite la autenticación de dos factores en todas las cuentas de correo electrónico comerciales y personales”.
En segundo lugar ha exhortado a aprender las formas de detectar esquemas de phishing y protegerse de este tipo de amenazas en línea. En tercer lugar, ha pedido habilitar las alertas de seguridad sobre enlaces y archivos de sitios web sospechosos.
Hay que mencionar que recientemente también se han divulgado documentos judiciales que detallan el trabajo que la Unidad de Delitos Digitales (DCU) de Microsoft ha ejecutado para interrumpir los ataques cibernéticos de un grupo de amenazas que ha llamado Fósforo (Phosphorus).
Conocido como APT 35, Charming Kitten y Ajax Security Team, Burt ha informado que Fósforo al parecer estaría ampliamente asociado con los piratas informáticos iraníes.
“Nuestro caso judicial contra el Fósforo, presentado en el Tribunal de Distrito de los Estados Unidos para Washington DC, resultó en una orden judicial que nos permitió la semana pasada (finales de octubre de 2019) tomar el control de 99 sitios web que el grupo usa para llevar a cabo sus operaciones de piratería para que los sitios ya no se puedan usar para ejecutar ataques”.
Se supo que la DCU de Microsoft y el Centro de Inteligencia de Amenazas de Microsoft han estado rastreando a Fósforo desde 2013. Su actividad generalmente está diseñada para obtener acceso a los sistemas informáticos de las empresas y agencias gubernamentales, así como robar información confidencial.
Tom Burt ha dicho que sus objetivos también incluyen activistas y periodistas, especialmente aquellos involucrados en la promoción y la presentación de informes sobre temas relacionados con el Medio Oriente.
“Fósforo generalmente intenta comprometer las cuentas personales de las personas a través de una técnica conocida como spear-phishing, utilizando la ingeniería social para atraer a alguien a hacer clic en un enlace, a veces enviado a través de cuentas falsas de redes sociales que parecen pertenecer a contactos amistosos”.
El enlace contiene software malicioso que permite a Phosphorus acceder a los sistemas informáticos. También envía a las personas un correo electrónico que hace que parezca que hay un riesgo de seguridad para sus cuentas, lo que les lleva a ingresar sus credenciales en un formulario web que permite al grupo capturar sus contraseñas y obtener acceso a sus sistemas.
