Por: Cristin Goodwin, gerente general de la Unidad de Seguridad Digital.
Un mundo en el que las empresas del sector privado fabrican y venden armas cibernéticas es más peligroso para los consumidores, las empresas de todos los tamaños y los gobiernos. Nos tomamos en serio esta amenaza y hemos interrumpido el uso de ciertas armas cibernéticas fabricadas y vendidas por un grupo al que llamamos Sourgum. Las armas desactivadas se utilizaban en ataques de precisión contra más de 100 víctimas en todo el mundo, incluidos políticos, activistas de derechos humanos, periodistas, académicos, trabajadores de embajadas y disidentes políticos. Para limitar estos ataques, nos centramos en dos acciones. Primero, incorporamos protecciones en nuestros productos contra el malware único creado por Sourgum, y compartimos esas protecciones con la comunidad de seguridad. En segundo lugar, publicamos una actualización de software que protegerá a los clientes de Windows de los ataques que Sourgum utilizaba para ayudar a distribuir su malware. Hemos realizado este trabajo en estrecha colaboración con el Citizen Lab de la Munk School de la Universidad de Toronto.
Creemos que Sourgum es un actor ofensivo del sector privado (o PSOA, por sus siglas en inglés) con sede en Israel. Citizen Lab ha identificado al grupo como una empresa llamada Candiru. Sourgum por lo general vende armas cibernéticas que permiten a sus clientes, a menudo agencias gubernamentales de todo el mundo, piratear las computadoras, teléfonos, infraestructura de red y dispositivos conectados a Internet de sus objetivos. Estas agencias luego eligen a quién dirigirse y ejecutan las operaciones reales por sí mismas.
En un principio, comenzamos este trabajo después de recibir un consejo de Citizen Lab sobre el malware utilizado por Sourgum. El Centro de Inteligencia de Amenazas de Microsoft (MSTIC, por sus siglas en inglés) y el Centro de Respuesta de Seguridad de Microsoft (MSRC, por sus siglas en inglés) pasaron semanas para examinar el malware, documentar cómo funciona y crear protecciones que pueden detectarlo y neutralizarlo. Llamamos al malware DevilsTongue. Hemos incorporado protecciones contra DevilsTongue en nuestros productos de seguridad y hemos compartido estas protecciones con otros miembros de la comunidad de seguridad para que puedan proteger a sus clientes. La información técnica para los clientes y la comunidad de seguridad está disponible aquí.
Al examinar cómo los clientes de Sourgum entregaban DevilsTongue a las computadoras de las víctimas, vimos que lo hacían a través de una cadena de exploits que afectaron los navegadores populares y nuestro sistema operativo Windows. Hace unos días, publicamos actualizaciones que, cuando se instalan, protegen a los clientes de Windows de dos exploits clave de Sourgum.
Estos ataques se han dirigido, de manera principal, a las cuentas de los consumidores, lo que indica que los clientes de Sourgum iban tras individuos particulares. Las protecciones que emitimos evitarán que las herramientas de Sourgum funcionen en equipos que ya están infectados y evitarán nuevas infecciones en equipos actualizados y en los que ejecutan Microsoft Defender Antivirus, así como en los que usan Microsoft Defender para Endpoint.
Esto es parte de un trabajo legal, técnico y de promoción más amplio que llevamos a cabo para abordar los peligros causados cuando los PSOA fabrican y venden armas. Como dijimos antes, estas empresas aumentan el riesgo de que las armas caigan en las manos equivocadas y amenacen los derechos humanos. Por eso, por ejemplo, presentamos un informe de amigos del tribunal en un caso judicial iniciado por WhatsApp contra otro PSOA llamado NSO Group.
A medida que aumentemos nuestro trabajo para identificar los PSOA e interrumpir las capacidades de sus armas, continuaremos identificándolos con los nombres dados a los árboles y arbustos, como lo hemos hecho con Sourgum. Esto es similar a cómo usamos elementos de la tabla periódica para nombrar los grupos de actores del estado-nación que hemos identificado.
Agradecemos a Citizen Lab por compartir el malware que provocó este trabajo y por su oferta de trabajar con posibles víctimas de estos ataques.