Por: Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente.
Queremos compartir que el Microsoft Threat Intelligence Center ha rastreado de manera reciente ataques cibernéticos significativos originados desde un grupo que llamamos Strontium, también conocido como Fancy Bear/APT28, que tienen como objetivo a autoridades antidopaje y organizaciones deportivas alrededor del mundo. Mientras el mundo espera con anticipación los Juegos de Verano de Tokio 2020, pensamos que es importante compartir información sobre esta nueva ronda de actividad.
Por lo menos 16 organizaciones deportivas y antidopaje nacionales e internacionales a través de tres continentes han sido objetivo de estos ataques que comenzaron el 16 de septiembre de 2019, justo antes de que las noticias reportaran nuevas acciones potenciales a realizar por la Agencia Mundial Antidopaje. Algunos de esos ataques fueron exitosos, pero la mayoría no. Microsoft ha notificado a todos los clientes que eran objetivos de estos ataques y ha trabajado con aquellos que han solicitado nuestra ayuda para asegurar las cuentas o sistemas comprometidos.
Esta no es la primera vez que Strontium ha apuntado a organizaciones de este tipo. Según informes, el grupo publicó registros médicos y emails tomados de organizaciones deportivas y funcionarios antidopaje en 2016 y 2018, lo que resultó en una acusación en 2018 en la corte federal de los Estados Unidos.
Los métodos utilizados en los ataques más recientes son similares a aquellos utilizados de manera rutinaria por Strontium para dirigirse a gobiernos, militares, think tanks, bufetes de abogados, organizaciones de derechos humanos, empresas financieras y universidades alrededor del mundo. Los métodos de Strontium incluyen spear phishing, spray de contraseña, explotación de dispositivos conectados a internet y el uso de malware de código abierto y personalizado.
De manera previa, anunciamos que hemos visto actividad aislada de Strontium dirigida a organizaciones involucradas en el proceso democrático y hemos descrito los pasos legales que tomamos de manera rutinaria para prevenir que Strontium utilice dominios de internet falsos de Microsoft para ejecutar estos ataques. Adicional a esto, los datos y la información que aprendemos de nuestra labor de disrupción es utilizada para mejorar la seguridad y las funciones de seguridad de nuestros productos y servicios.
Como dijimos en el pasado, creemos que es importante compartir actividad de amenazas significativa como esta que anunciamos. Pensamos que es crítico que los gobiernos y el sector privado sean cada vez más transparentes acerca de la actividad de naciones-estado para que todos podamos continuar con el diálogo global sobre proteger internet. También esperamos que publicar esta información ayude a elevar la consciencia entre organizaciones e individuos acerca de los pasos que pueden dar para protegerse.
Ustedes se pueden proteger de este tipo de ataques en al menos tres maneras. Primero, recomendamos que habiliten una autenticación de dos pasos en todas las cuentas de email personal y de negocios. Segundo, aprendan cómo detectar estafas de phishing y protéjanse de ellas. Tercero, habiliten alertas de seguridad para ligas y archivos de sitios web sospechosos.