Por: Tom Burt, vicepresidente corporativo de Seguridad y Confianza para clientes.
En semanas recientes, Microsoft ha detectado ciberataques dirigidos a personas y organizaciones involucradas en las próximas elecciones presidenciales, incluidos ataques sin éxito hacia personas asociadas con las campañas de Trump y Biden, como se detalla a continuación. Defendemos y vamos a defender nuestra democracia contra estos ataques a través de notificaciones de dicha actividad para los clientes impactados, funciones de seguridad en nuestros productos y servicios, y disrupciones legales y técnicas. La actividad que ahora anunciamos, pone en claro que la actividad de grupos extranjeros ha incrementado sus esfuerzos en atacar la elección de 2020, como se había anticipado, y es consistente con lo que el gobierno de Estados Unidos y otros han reportado. También reportaremos aquí ataques contra otras instituciones y empresas en todo el mundo, que reflejan actividades adversarias similares.
Hemos observado que:
- Strontium, que opera desde Rusia, ha atacado a más de 200 organizaciones que incluyen campañas políticas, grupos de defensa, partidos y consultores políticos
- Zirconium, que opera desde China, ha atacado a individuos de perfil alto, asociados con la elección, incluidas personas asociadas con la campaña de Joe Biden para presidente y líderes prominentes en la comunidad de asuntos internacionales
- Phosphorus, que opera desde Irán, ha continuado el ataque de cuentas personales de gente asociada con la campaña de Donald J. Trump para presidente
La mayoría de estos ataques fueron detectados y detenidos por herramientas de seguridad construidas en nuestros productos. Hemos notificado de manera directa a aquellos que fueron blanco de ataques o fueron comprometidos, para que puedan tomar acciones para protegerse. Compartimos más sobre los detalles de estos ataques, y donde nombramos a clientes impactados, lo hacemos con su apoyo.
Lo que hemos visto es consistente con patrones previos de ataques, que no solo se dirigen a candidatos y equipo de campaña, sino también a quienes consultan sobre temas clave. Estas actividades destacan la necesidad de que las personas y las organizaciones involucradas en el proceso político, aprovechen las herramientas de seguridad gratuitas y de bajo costo para protegerse a medida que nos acercamos al día de la elección. Por ejemplo, en Microsoft, ofrecemos el monitoreo de amenazas de AccountGuard, Microsoft 365 for Campaigns y Election Security Advisors para ayudar a asegurar a las campañas y a sus voluntarios. De manera más amplia, esos ataques subrayan la importancia continua de la labor en curso de las Naciones Unidas para proteger el ciberespacio e iniciativas como el Paris Call for Trust and Security in Cyberspace.
Strontium
Strontium es un grupo de actividad que opera desde Rusia, cuyas actividades Microsoft ha rastreado y ha tomado acciones para interrumpirlas en varias ocasiones previas. También fue identificado en el reporte Mueller como la organización primaria responsable de los ataques en la campaña presidencial Democrática en 2016. El Threat Intelligence Center (MSTIC) de Microsoft ha observado una serie de ataques realizados por Strontium entre septiembre de 2019 y hoy. Similar a lo que observamos en 2016, Strontium lanza campañas para recolectar credenciales de inicio de sesión de las personas o para comprometer sus cuentas, en teoría para ayudar en la recolección de inteligencia o para interrumpir operaciones. Muchos de los objetivos de Strontium en esta campaña, que ha afectado a más de 200 organizaciones en total, están afiliados de manera directa o indirecta con las próximas elecciones en Estados Unidos, así como con organizaciones políticas o relacionadas con la política en Europa. Estos blancos incluyen a:
- Consultores ubicados en Estados Unidos que sirven a Republicanos y Demócratas;
- Grupos de expertos como The German Marshall Fund of the United States y organizaciones de defensa;
- Organizaciones nacionales y estatales de partidos en Estados Unidos; y
- El Partido Popular Europeo y partidos políticos en Reino Unido.
Otros que han sido blanco de Strontium de manera reciente, incluyen a negocios en las industrias del entretenimiento, hotelería, manufactura, servicios financieros y seguridad física.
Por varios meses, Microsoft ha monitoreado estos ataques y ha notificado a los clientes que han sido blanco, pero sólo de manera reciente llegamos a un punto de nuestra investigación donde podemos atribuir la actividad de Strontium con confiabilidad. La investigación de MSTIC reveló que Strontium ha evolucionado sus tácticas desde la elección de 2016, para incluir nuevas herramientas de reconocimiento y nuevas técnicas para ofuscar sus operaciones. En 2016, el grupo, de manera principal, se basó en el phishing para capturar credenciales de personas. En los meses recientes, se ha involucrado en ataques de fuerza bruta y rociado de contraseñas, dos tácticas que, con probabilidad, les han permitido automatizar ciertos aspectos de sus operaciones. Strontium también disfrazó esos ataques de recolección de credenciales en nuevas formas, a través de ejecutarlos en más de mil direcciones IP en constante rotación, muchas asociadas con el servicio de anonimato Tor. Incluso, Strontium evolucionó su infraestructura con el tiempo, al añadir y remover alrededor de 20 IPs por día, para cubrir aún más su actividad.
También trabajamos con nuestros clientes para ayudarlos a cazar de manera proactiva este tipo de amenazas en sus entornos, y hemos publicado detalles y orientación adicionales sobre la actividad de Strontium.
Zirconium
Zirconium, que opera desde China, ha intentado obtener inteligencia sobre organizaciones asociadas con las próximas elecciones en Estados Unidos. Hemos detectado miles de ataques desde Zirconium entre marzo y septiembre de 2020, lo que ha resultado en casi 150 compromisos a la seguridad. Sus objetivos han incluido individuos en dos categorías.
Primero, el grupo ataca personas asociadas de manera cercana con las campañas y candidatos presidenciales de Estados Unidos. Por ejemplo, parece que se ha dirigido de manera indirecta y sin éxito a la campaña de Joe Biden para presidente, a través de cuentas de email que no pertenecen a personas afiliadas a la campaña. El grupo también ha apuntado a, por lo menos, un prominente individuo asociado con anterioridad con la Administración de Trump.
Segundo, el grupo apunta a individuos prominentes en la comunidad de asuntos internacionales, académicos en asuntos internacionales de más de 15 universidades, y cuentas ligadas a 18 organizaciones de asuntos y políticas internacionales, incluido el Atlantic Council y el Stimson Center.
Zirconium utiliza lo que se conoce como web bugs, o web beacons, ligados a un dominio que compraron y llenaron de contenido. Luego, el actor envía la URL asociada en un texto de email o en un adjunto a la cuenta objetivo. Aunque por sí mismo el dominio tal vez no tenga contenido malicioso, el web bug permite a Zirconium revisar si un usuario intentó acceder al sitio. Para los actores de naciones estado, esta es una manera sencilla de realizar reconocimiento en cuentas objetivo, para determinar si la cuenta es válida o si el usuario está activo.
Phosphorus
Phosphorus es un grupo de actividad que opera desde Irán, que MSTIC ha rastreado de manera extensa por varios años. Este actor ha ejecutado campañas de espionaje que apuntan a una amplia variedad de organizaciones ligadas, de manera tradicional, a intereses geopolíticos, económicos o de derechos humanos en la región de Medio Este. Con anterioridad, Microsoft ha tomado acciones legales contra la infraestructura de Phosphorus y sus esfuerzos, a finales de 2019, de dirigirse a la campaña presidencial de Estados Unidos. En agosto de 2020, como parte de los esfuerzos continuos por interrumpir la actividad de Phosphorus, Microsoft recibió permiso de nuevo, por parte de una corte federal en Washington D.C., de tomar control de 25 nuevos dominios de internet utilizados por Phosphorus. Desde entonces, Microsoft ha tomado control de esos dominios y a la fecha, hemos utilizado este método para tomar control de 155 dominios de Phosphorus.
Desde nuestra última divulgación, Phosphorus ha intentado acceder a las cuentas personales o laborales de individuos involucrados de manera directa o indirecta con las elecciones presidenciales en Estados Unidos. Entre mayo y junio de 2020, Phosphorus intentó, sin éxito, ingresar a las cuentas de oficiales administrativos y del personal de la campaña de Donald J. Trump para presidente.
Reforzar la ciberseguridad
Divulgamos ataques como estos porque creemos que es importante que el mundo sepa sobre las amenazas a los procesos democráticos. Es importante que todos los involucrados en procesos de este tipo alrededor del mundo, tanto de manera directa como indirecta, estén conscientes de estas amenazas y tomen acciones para protegerse en sus capacidades personales y profesionales. Informamos la actividad de naciones estado a nuestros clientes y de manera más amplia al público, sin importar la afiliación de la nación estado del actor. Tomamos pasos extra para proteger a los clientes involucrados en elecciones, gobierno y legislación. Vamos a continuar con la divulgación de actividad adicional significativa en nuestros esfuerzos por defender la democracia.
También creemos que se requiere de más fondos federales en los Estados Unidos, para que los estados puedan proteger mejor su infraestructura electoral. Aunque las organizaciones políticas objetivo de ataques por parte de estos actores no son aquellas que mantienen u operan los sistemas de votación, esta creciente actividad relacionada con el proceso electoral de los Estados Unidos es preocupante para todo el ecosistema. Continuamos con la invitación a las autoridades electorales, estatales y locales en Estados Unidos, para que endurezcan sus operaciones y se preparen para potenciales ataques. Pero como lo han notado los expertos en seguridad electoral, todavía se requieren fondos adicionales, en especial a medida que los recursos se estiran para acomodar el cambio en la votación con relación a COVID-19. Invitamos al Congreso a avanzar con fondos adicionales para los estados y brindarles lo que necesiten para proteger el voto, y en última instancia, a la democracia.
