Tecnología

Los piratas informáticos de Nobelium accedieron a las herramientas de soporte al cliente de Microsoft

APT29

Microsoft dice que han descubierto nuevos ataques llevados a cabo por el grupo de piratería Nobelium patrocinado por el estado ruso, incluida el ordenador de un agente de soporte de Microsoft pirateado que expuso la información de suscripción del cliente.

Nobelium es el nombre de Microsoft para un grupo de piratas informáticos patrocinado por el estado que se cree que opera en Rusia y es responsable de los ataques a la cadena de suministro de SolarWinds.

En una nueva publicación de blog publicada el viernes por la noche, Microsoft afirma que el grupo de piratas informáticos ha estado realizando ataques de rociado de contraseñas y de fuerza bruta para obtener acceso a las redes corporativas.

Los ataques de spray de contraseña y de fuerza bruta son similares en que ambos intentan obtener cuentas no autorizadas para una cuenta online adivinando una contraseña. Sin embargo, los ataques de rociado de contraseñas intentarán utilizar las mismas contraseñas en varias cuentas simultáneamente para evadir las defensas. Por el contrario, los ataques de fuerza bruta se dirigen repetidamente a una sola cuenta con diferentes intentos de contraseña.

Microsoft dice que los recientes ataques de Nobelium no han tenido éxito en su mayoría. Sin embargo, conocen tres entidades que fueron violadas por Nobelium en estos ataques.

“Esta actividad estaba dirigida a clientes específicos, principalmente empresas de TI (57%), seguidas por el gobierno (20%), y porcentajes menores para organizaciones no gubernamentales y think tanks, así como servicios financieros”, dijo Microsoft en un entrada en el blog sobre los ataques.

“La actividad se centró en gran medida en los intereses de Estados Unidos, alrededor del 45%, seguido por el 10% en el Reino Unido, y un número menor de Alemania y Canadá. En total, se apuntó a 36 países”.

Herramientas de soporte de Microsoft a las que acceden los piratas informáticos

Durante la investigación de los ataques, Microsoft también detectó un troyano que roba información en el ordenador de un agente de soporte al cliente de Microsoft que brindaba acceso a “información básica de la cuenta” para un número limitado de clientes.

Nobelium utilizó esta información del cliente en ataques de phishing dirigidos contra clientes de Microsoft.

Microsoft informó de estos ataques después de que Reuters obtuvo un correo electrónico enviado a los clientes afectados advirtiéndoles que los actores de la amenaza obtuvieron acceso a la información sobre sus suscripciones a los servicios de Microsoft.

“Un actor asociado sofisticado de la nación-estado que Microsoft identifica como NOBELLIUM accedió a las herramientas de soporte al cliente de Microsoft para revisar la información sobre sus suscripciones a los servicios de Microsoft”, lee el correo electrónico de Microsoft. obtenido por Reuters.

Actividad reciente de Nobelium

El grupo de piratería Nobelium, también conocido como APT29, Cozy Bear y The Dukes, se ha atribuido al reciente ataque a la cadena de suministro de SolarWinds que comprometió a numerosas empresas estadounidenses, incluidas Microsoft, FireEye, Cisco, Malwarebytes, Mimecast y varias agencias gubernamentales de EE. UU.

Como parte de estos ataques, los actores de amenazas reemplazaron módulos legítimos en la plataforma de monitoreo de TI SolarWinds Orion que se distribuyeron a los clientes a través del proceso normal de actualización automática del software. Estos módulos maliciosos permitieron a los actores de la amenaza obtener acceso remoto a los dispositivos comprometidos, donde podrían lanzarse más ataques internos.

En abril, el gobierno de EE. UU. Acusó formalmente al gobierno ruso y a los piratas informáticos del Servicio de Inteligencia Exterior de Rusia, el SVR, de los ataques a Solarwinds y los intereses de EE. UU.

Más recientemente, Microsoft reveló que el grupo de piratas informáticos comprometió la cuenta de Constant Contact de USAID, una agencia estadounidense responsable de brindar ayuda exterior y asistencia para el desarrollo.

Con esta cuenta de marketing, Nobelium llevó a cabo ataques de phishing dirigidos para distribuir malware y acceder a redes internas.

Correo electrónico de phishing de USAID enviado por piratas informáticos de Nobelium
Correo electrónico de phishing de USAID enviado por piratas informáticos de Nobelium

Posteriormente, el Departamento de Justicia de EE. UU. Confiscó dos dominios utilizados en los ataques de phishing para distribuir malware.

Leave a Comment

You may also like

Más