Microsoft dijo que ha tomado el control de los servidores que un grupo de piratería con sede en China estaba utilizando para comprometer objetivos que se alinean con los intereses geopolíticos de ese país.
El grupo de piratería, al que Microsoft ha llamado Nickel, ha estado en la mira de Microsoft desde al menos 2016, y la compañía de software ha estado rastreando la campaña de recopilación de inteligencia ahora interrumpida desde 2019. Los ataques, contra agencias gubernamentales, grupos de expertos y humanos. organizaciones de derechos humanos en los EE. UU. y otros 28 países – eran «altamente sofisticadas», dijo Microsoft, y usaban una variedad de técnicas, incluida la explotación de vulnerabilidades en software que los objetivos aún tenían que parchear
Abajo pero no fuera
A fines de la semana pasada, Microsoft solicitó una orden judicial para incautar los sitios web que Nickel estaba usando para comprometer objetivos. La corte, en el Distrito de la Corte de EE. UU. Para el Distrito Este de Virginia, concedió la moción y abrió la orden el lunes. Con el control de la infraestructura de Nickel, Microsoft ahora “hundirá” el tráfico, lo que significa que se desviará de los servidores de Nickel a servidores operados por Microsoft, que pueden neutralizar la amenaza y obtener inteligencia sobre cómo funciona el grupo y su software.
«Obtener el control de los sitios web maliciosos y redirigir el tráfico de esos sitios a los servidores seguros de Microsoft nos ayudará a proteger a las víctimas actuales y futuras mientras aprendemos más sobre las actividades de Nickel», escribió Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de la empresa, en un entrada en el blog. «Nuestra interrupción no evitará que Nickel continúe con otras actividades de piratería, pero creemos que hemos eliminado una pieza clave de la infraestructura en la que el grupo dependía para esta última ola de ataques».
Las organizaciones objetivo incluyeron a las del sector público y privado, incluidas entidades diplomáticas y ministerios de relaciones exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África. A menudo, existía una correlación entre los objetivos y los intereses geopolíticos en China.
Las organizaciones objetivo estaban ubicadas en otros países, incluidos Argentina, Barbados, Bosnia y Herzegovina, Brasil, Bulgaria, Chile, Colombia, Croacia, República Checa, República Dominicana, Ecuador, El Salvador, Francia, Guatemala, Honduras, Hungría, Italia, Jamaica, Malí. , México, Montenegro, Panamá, Perú, Portugal, Suiza, Trinidad y Tobago, Reino Unido y Venezuela.
Los nombres que otros investigadores de seguridad usan para Nickel incluyen «KE3CHANG», «APT15», «Vixen Panda», «Royal APT» y «Playful Dragon».
Más de 10,000 sitios eliminados
La acción legal de Microsoft la semana pasada fue la demanda número 24 que la compañía ha presentado contra los actores de amenazas, cinco de los cuales fueron patrocinados por la nación. Las demandas han dado lugar a la eliminación de 10.000 sitios web maliciosos utilizados por piratas informáticos con motivaciones económicas y casi 600 sitios utilizados por piratas informáticos estatales. Microsoft también ha bloqueado el registro de 600.000 sitios que los piratas informáticos habían planeado utilizar en los ataques.
En estas demandas, Microsoft ha invocado varias leyes federales, incluida la Ley de Abuso y Fraude Informático, la Ley de Privacidad de las Comunicaciones Electrónicas y la ley de marcas comerciales de EE. UU., Como una forma de apoderarse de los nombres de dominio utilizados para los servidores de comando y control. Las acciones legales llevaron a la incautación en 2012 de la infraestructura utilizada por el grupo de piratería Fancy Bear respaldado por el Kremlin, así como por grupos de ataque patrocinados por naciones en Irán, China y Corea del Norte. El fabricante de software también ha recurrido a demandas para interrumpir botnets con nombres como Zeus, Nitol, ZeroAccess, Bamatal y TrickBot. Una acción legal que Microsoft emprendió en 2014 llevó a la eliminación de más de un millón de servidores legítimos que dependen de No-IP.com, lo que provocó que un gran número de personas respetuosas de la ley no pudieran acceder a sitios web benignos. Microsoft fue amargamente criticado por la medida.
