Proteger a las personas de los ciberataques recientes

Unidad de Crímenes Digitales de Microsoft

Por: Tom Burt, vicepresidente corporativo de seguridad y confianza para el cliente.

La Unidad de Delitos Digitales de Microsoft (DCU, por sus siglas en inglés) ha interrumpido las actividades de un grupo de piratería con sede en China al que llamamos Nickel. En documentos recién revelados, un tribunal federal de Virginia ha concedido nuestra solicitud de confiscar los sitios web que Nickel utilizaba para atacar organizaciones en los Estados Unidos y otros 28 países en todo el mundo, lo que nos permite cortar el acceso de Nickel a sus víctimas y prevenir que los sitios web se utilicen para ejecutar ataques. Creemos que estos ataques se utilizaban en gran medida para la recopilación de inteligencia de agencias gubernamentales, grupos de expertos y organizaciones de derechos humanos.

El 2 de diciembre, Microsoft presentó alegatos ante el Tribunal de Distrito de Estados Unidos para el Distrito Este de Virginia en busca de autoridad para tomar el control de los sitios. El tribunal otorgó de manera rápida una orden que se abrió tras la finalización del servicio en los proveedores de alojamiento. Obtener el control de los sitios web maliciosos y redirigir el tráfico de esos sitios a los servidores seguros de Microsoft nos ayudará a proteger a las víctimas actuales y futuras mientras aprendemos más sobre las actividades de Nickel. Nuestra interrupción no evitará que Nickel continúe con otras actividades de piratería, pero creemos que hemos eliminado una pieza clave de la infraestructura en la que el grupo dependía para esta última ola de ataques.

La DCU de Microsoft ha sido pionera en el uso de esta estrategia legal contra los ciberdelincuentes y, de manera reciente, contra los hackers del estado-nación. Hasta la fecha, en 24 demandas, cinco contra actores del estado-nación, hemos eliminado más de 10 mil sitios web maliciosos utilizados por los ciberdelincuentes y casi 600 sitios utilizados por actores del estado-nación. También hemos bloqueado con éxito el registro de 600 mil sitios para adelantarnos a los delincuentes que planeaban utilizarlos de manera maliciosa en el futuro.

El Centro de Inteligencia de Amenazas de Microsoft (MSTIC, por sus siglas en inglés) ha rastreado a Nickel desde 2016 y analiza esta actividad específica desde 2019. Al igual que con cualquier actividad observada de un actor estatal-nación, Microsoft continúa con el envío de notificaciones a los clientes que han sido atacados o comprometidos, cuando es posible, proporcionándoles la información que necesitan para ayudar a proteger sus cuentas. Los ataques que observó MSTIC son muy sofisticados y utilizan una variedad de técnicas, pero casi siempre tenían un objetivo: insertar malware difícil de detectar que facilite la intrusión, la vigilancia y el robo de datos. A veces, los ataques de Nickel utilizaron proveedores de redes privadas virtuales (VPN, por sus siglas en inglés) de terceros comprometidos o credenciales robadas obtenidas de campañas de spear phishing. En alguna actividad observada, el malware Nickel utilizó exploits dirigidos a sistemas Exchange Server y SharePoint locales sin parches. Sin embargo, no hemos observado nuevas vulnerabilidades en los productos de Microsoft como parte de estos ataques. Microsoft ha creado firmas únicas para detectar y proteger de la actividad conocida de níquel a través de nuestros productos de seguridad, como Microsoft 365 Defender.

Nickel se ha dirigido a organizaciones tanto del sector público como del privado, incluidas organizaciones diplomáticas y ministerios de relaciones exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África. A menudo existe una correlación entre los objetivos de Nickel y los intereses geopolíticos de China. Otros miembros de la comunidad de seguridad que han investigado a este grupo de actores se refieren al grupo con otros nombres, incluidos «KE3CHANG», «APT15», «Vixen Panda», «Royal APT» y «Playful Dragon».

Además de Estados Unidos, los países en los que Nickel ha estado activo incluyen: Argentina, Barbados, Bosnia y Herzegovina, Brasil, Bulgaria, Chile, Colombia, Croacia, República Checa, República Dominicana, Ecuador, El Salvador, Francia, Guatemala, Honduras, Hungría, Italia, Jamaica, Malí, México, Montenegro, Panamá, Perú, Portugal, Suiza, Trinidad y Tobago, Reino Unido y Venezuela.

Países en los que Nickel ha estado activo

Los ataques de estado-nación continúan su proliferación en número y sofisticación. Nuestro objetivo en este caso, como en nuestras interrupciones anteriores dirigidas a Barium, que opera desde China, Strontium, que opera desde Rusia, Phosphorus, que opera desde Irán, y Thallium, que opera desde Corea del Norte, es derribar la infraestructura maliciosa, comprender mejor las tácticas de los actores, proteger a nuestros clientes e informar el debate más amplio sobre normas aceptables en el ciberespacio. Seguiremos implacables en nuestros esfuerzos por mejorar la seguridad del ecosistema y no dejaremos de compartir la actividad que vemos, sin importar de dónde se origine.

Ninguna acción individual de Microsoft o de cualquier otra persona en la industria detendrá la ola de ataques que hemos visto de estados-nación y ciberdelincuentes que trabajan dentro de sus fronteras. Necesitamos que la industria, los gobiernos, la sociedad civil y otros se unan y establezcan un nuevo consenso sobre lo que es y no es un comportamiento apropiado en el ciberespacio. Nos alienta el progreso reciente. El mes pasado, Estados Unidos y la Unión Europea se unieron al Llamado de París para la Confianza y la Seguridad en el Ciberespacio, la confirmación de múltiples partes interesadas más grande del mundo de los principios básicos de la ciberseguridad con más de 1,200 patrocinadores. El Proceso de Oxford ha reunido a algunas de las mejores mentes jurídicas para evaluar la aplicación del derecho internacional al ciberespacio. Y las Naciones Unidas han tomado medidas críticas para promover el diálogo entre las partes interesadas. Es nuestra responsabilidad, y la de todas las entidades con la experiencia y los recursos relevantes, hacer todo lo posible para ayudar a reforzar la confianza en la tecnología y proteger el ecosistema digital.

Tags: , , , , ,

Publicaciones Relacionadas