Por: Vasu Jakkal, vicepresidenta corporativa de seguridad, cumplimento e Identidad.
Esta es la primera publicación de una serie de cuatro partes sobre el ciberataque del estado-nación NOBELIUM. Microsoft comenzó a informar a la industria sobre este ciberataque avanzado en extremo en diciembre de 2020. La serie de blogs NOBELIUM, que refleja la serie de videos de cuatro partes de Microsoft «Decoding NOBELIUM», abrirá el telón en el mundo de la detección de amenazas y mostrará los conocimientos de los profesionales de la ciberseguridad en las líneas del frente, tanto los defensores de Microsoft como otros expertos de la industria.
En muchos sentidos, el ciberataque de estado-nación NOBELIUM hizo realidad los temores más profundos de los expertos en ciberseguridad de Estados Unidos, según Rob Lefferts, vicepresidente corporativo de seguridad de Microsoft 365. Fue un ataque a la cadena de suministro. Fue planeado y ejecutado de manera metódica. E impactó a varias empresas de clase mundial con sólidos equipos de seguridad. Tal vez, su empresa fue una de ellas, o tal vez conozcan a alguien que trabaja en una empresa que se vio afectada. Al comenzar el Mes de la Concientización sobre la Ciberseguridad en octubre, la naturaleza de gran alcance de tales ataques está siempre presente en nuestras mentes, lo cual es una de las razones por las que más de 3500 expertos en seguridad de Microsoft defienden y protegen de manera activa a las organizaciones de los ataques cibernéticos todos los días.
Los ataques de estado-nación son ataques cibernéticos maliciosos que se originan en un país en particular y son un intento de promover los intereses de ese país. Numerosas organizaciones se vieron afectadas por los ataques de NOBELIUM. Dichos ataques están alimentados por la competencia geopolítica y el deseo de obtener una ventaja sobre otras naciones, como robar propiedad intelectual para beneficio económico o apoyar el espionaje tradicional.
En diciembre de 2020, Microsoft comenzó a compartir información con la industria de la ciberseguridad sobre lo que sería reconocido de manera amplia como el ataque cibernético de estado-nación más sofisticado de la historia. NOBELIUM, un grupo de piratas informáticos con sede en Rusia, obtuvo acceso a múltiples empresas a través de código de software vulnerable, contraseñas robadas, servidores locales comprometidos y tokens SAML acuñados.
En este ataque a la cadena de suministro, los piratas informáticos pudieron acceder al código de SolarWinds, introducir código malicioso en una parte del software y utilizar las actualizaciones de software legítimas del proveedor para difundir su malware en los sistemas de los clientes. Los ataques exitosos otorgaron a los piratas informáticos de NOBELIUM permisos de alto nivel en los sistemas comprometidos en sentido descendente.
¿Por qué las empresas deberían preocuparse por los ataques de estado-nación?
De manera histórica, los actores del estado-nación apuntaban directo a la infraestructura, los think tanks y los gobiernos de otros países. Sin embargo, a medida que las organizaciones mejoran sus defensas, los actores sofisticados buscan nuevas formas de obtener acceso a sus objetivos a través de los proveedores, el software y las redes de las que dependen. Las empresas también corren cada vez más el riesgo de sufrir ataques a medida que los actores del estado-nación amplían sus objetivos para perseguir el robo de propiedad intelectual. Como resultado, las empresas a menudo son el objetivo de los actores del estado-nación que atacan las redes de sus clientes, socios o proveedores a través de su propia red o software. El Centro de Inteligencia de Amenazas de Microsoft (Microsoft Threat Intelligence Center), que recopila miles de millones de puntos de datos para recopilar información sobre amenazas, ha observado que las empresas corren cada vez más el riesgo de sufrir estos ataques.
Consideren estas estadísticas, que muestran la magnitud de la amenaza a la seguridad de los ataques del estado nación:
- El 35 por ciento de todos los ataques de estados-nación están dirigidos a empresas, según el artículo de CSO, «Estados de nación: conflicto cibernético y la red de ganancias»1.
- Un aumento del 78 por ciento en los ataques a los proveedores de la cadena de suministro, según el artículo de la revista CPO «Estudio de HP: Los ataques cibernéticos de un estado-nación se duplican entre 2017 y 2020 a medida que el mundo avanza hacia una guerra cibernética abierta»2.
- 13 mil alertas de ataques de estados-nación enviadas por correo electrónico a los clientes durante los últimos dos años, según el Informe de Defensa Digital de Microsoft de septiembre de 2020.
A diferencia de otros tipos de ciberdelincuentes, que aprovechan una vulnerabilidad y siguen adelante, los atacantes de los estados nacionales son persistentes y están decididos a lograr sus objetivos. Invierten mucho tiempo en perfilar sus objetivos y sondear su red en busca de vulnerabilidades y de manera continua agregan más herramientas y habilidades a sus capacidades. Cualquier organización, sin importar su tamaño, podría ser un objetivo potencial.
Otra razón por la que el ataque NOBELIUM es importante para la empresa es que los atacantes patrocinados por el estado a menudo tienen apoyo monetario y técnico ilimitado de sus países, lo que les da acceso a técnicas y tácticas de piratería modernas y únicas.
“Los actores del estado-nación son difíciles porque tienen fondos infinitos y están por encima de la ley, al menos en su país”, dijo Roberto, consultor principal e investigador principal del equipo de detección y respuesta de Microsoft. “Tienen muy buenos recursos técnicos, por lo que no es como si se fueran a rendir. Es una de las razones por las que dedicamos las semanas de 80 horas».
Impacto a largo plazo de NOBELIUM
¿Cómo se desarrolló el ataque NOBELIUM y cómo ha cambiado la ciberseguridad? En el primer episodio de nuestra serie de videos de cuatro partes Decoding NOBELIUM: When Nation-States Attack, los profesionales de seguridad comparten detalles detrás de escena y opinan sobre los impactos duraderos del ataque NOBELIUM en la ciberseguridad. Vean el episodio para conocer las estrategias de seguridad que pueden implementar en su organización, como qué vulnerabilidades parchar.
Microsoft se compromete a ayudar a las organizaciones a mantenerse protegidas de los ciberataques, ya sean ciberdelincuentes o estatales. En particular, los adversarios de los estados-nación tienen experiencia y recursos significativos y desarrollarán nuevos patrones de ataque con la intención específica de promover sus objetivos geopolíticos. De acuerdo con nuestra misión de brindar seguridad para todos, Microsoft continuará con la utilización de nuestra inteligencia de amenazas líder y nuestro equipo global de defensores de la ciberseguridad dedicados para ayudar a proteger a nuestros clientes y al mundo. Solo dos ejemplos recientes de los esfuerzos de Microsoft para combatir los ataques de estados nacionales, que incluyen un descubrimiento e investigación en septiembre de 2021 de un malware NOBELIUM conocido como FoggyWeb y nuestro perfil de mayo de 2021 del conjunto de herramientas en etapa inicial de NOBELIUM que compromete EnvyScout, BoomBox, NativeZone y VaporRage.
Para soporte inmediato, comuníquense con el Centro de Respuesta de Seguridad de Microsoft. Estén atentos a las publicaciones futuras en la serie de ataques de estado-nación NOBELIUM. En estas publicaciones, compartiremos la historia de cómo descubrimos el ataque, cómo combatimos la amenaza y cómo el ataque ha dado forma al futuro de la ciberseguridad.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen el blog de seguridad a sus Favoritos para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Nation States, Cyberconflict, and the Web of Profit, CSO, 2021.
2Estudio HP: Nation-State Cyber Attacks Double Between 2017 and 2020 as World Edges Toward Open Cyber Warfare, Scott Ikeda, CPO Magazine. 22 de abril de 2021.