Por: Microsoft Threat Intelligence.
En la conferencia CYBERWARCON 2023, los analistas de Microsoft y LinkedIn presentaron varias sesiones que detallan el análisis de múltiples conjuntos de actores de amenazas y actividades relacionadas. Este blog tiene como objetivo resumir el contenido de la investigación cubierta en estas presentaciones y demuestra los esfuerzos continuos de Microsoft Threat Intelligence para rastrear a los actores de amenazas, proteger a los clientes y compartir información con la comunidad de seguridad en general.
Reactivo y oportunista: el papel de Irán en la guerra entre Israel y Hamas
Esta presentación compara y contrasta la actividad atribuida a grupos iraníes antes y después del inicio de la guerra entre Israel y Hamás el 7 de octubre de 2023. Destaca una serie de casos en los que los operadores iraníes aprovecharon el acceso, la infraestructura y las herramientas existentes, aparentemente para cumplir nuevos objetivos.
Dado que el conflicto físico lleva alrededor un mes, este análisis ofrece conclusiones tempranas en un espacio en rápida evolución, específico de los actores iraníes observados, como aquellos vinculados al Ministerio de Inteligencia y Seguridad (MOIS) de Irán y al Cuerpo de la Guardia Revolucionaria Islámica (CGRI) de Irán. Si bien la presentación detalla las técnicas de ataque observadas en regiones específicas, Microsoft comparte esta información para informar y ayudar a proteger a organizaciones más amplias en todo el mundo que enfrentan métodos de ataque similares a los utilizados por los operadores iraníes, como métodos de ingeniería social para engañar a las víctimas y la explotación de dispositivos y credenciales de inicio de sesión vulnerables.
En primer lugar, Microsoft no ve ninguna evidencia que sugiera que los grupos iraníes (IRGC y MOIS) hubieran coordinado ataques cibernéticos planificados con antelación y alineados con los planes de Hamas y el inicio de la guerra entre Israel y Hamas el 7 de octubre. Aunque los medios y otras cuentas públicas pueden sugerir que Irán jugó un papel activo en la planificación de los ataques físicos del 7 de octubre contra Israel, los datos de Microsoft cuentan una parte diferente de la historia.
Las observaciones de la telemetría de Microsoft sugieren que, al menos en el ámbito cibernético, los operadores iraníes han sido en gran medida reactivos desde que comenzó la guerra, al explotar oportunidades para tratar de aprovechar los acontecimientos en el terreno a medida que se desarrollan. Pasaron 11 días desde el inicio del conflicto terrestre antes de que Microsoft viera a Irán entrar en la guerra en el dominio cibernético. El 18 de octubre de 2023, Microsoft observó el primero de dos ataques destructivos separados contra infraestructura en Israel. Si bien las personas en línea controladas por Irán exageraron las afirmaciones del impacto de estos ataques, los datos sugieren que es probable que ambos ataques fueron de naturaleza oportunista. En específico, los operadores aprovecharon el acceso existente o adquirieron acceso al primer objetivo disponible. Además, los datos muestran que, en el caso de un ataque de ransomware, es casi seguro que las afirmaciones de los actores iraníes sobre el impacto y la precisión de los objetivos fueron inventadas.
En segundo lugar, Microsoft observa que los operadores iraníes continúan empleando sus tácticas probadas y verdaderas, en particular al exagerar el éxito de sus ataques a la red informática y amplificar esas afirmaciones y actividades a través de un despliegue bien integrado de operaciones de información. De manera sencilla, se trata de crear propaganda en línea que busca inflar la notoriedad y el impacto de los ataques oportunistas, en un esfuerzo por aumentar sus efectos. Por ejemplo, Microsoft observó que actores iraníes comprometían cámaras web conectadas y enmarcaban la actividad como más estratégica, para afirmar que apuntaron y comprometieron con éxito cámaras en una instalación militar israelí específica. En realidad, las cámaras comprometidas estaban ubicadas en sitios dispersos fuera de cualquier región definida. Esto sugiere que, a pesar de las afirmaciones estratégicas de los actores iraníes, este ejemplo de cámara fue, en última instancia, un caso de adversarios que continuaron descubriendo y comprometiendo de manera oportunista dispositivos conectados vulnerables y tratando de replantear este trabajo de rutina como más impactante en el contexto del conflicto actual.
En tercer lugar, Microsoft reconoce que, a medida que más conflictos físicos en todo el mundo estimulan operaciones cibernéticas de distintos niveles de sofisticación, este es un espacio en rápida evolución que requiere un seguimiento estrecho para evaluar posibles escaladas y el impacto en industrias, regiones y clientes más amplios. Microsoft Threat Intelligence anticipa que los operadores iraníes pasarán de una postura reactiva a actividades más proactivas cuanto más se prolongue la guerra actual y continuarán con la evolución de sus tácticas para alcanzar sus objetivos.
La realidad digital: un aumento de la infraestructura crítica
En esta presentación, los expertos de Microsoft Threat Intelligence guían a la audiencia a través de la cronología del descubrimiento por parte de Microsoft de Volt Typhoon, un actor de amenazas vinculado a China, y la actividad del grupo adversario observada contra infraestructura crítica y recursos clave en los EE. UU. y sus territorios, como Guam. La presentación destaca algunas de las técnicas, tácticas y procedimientos (TTP) específicos que utiliza Volt Typhoon para llevar a cabo sus operaciones. La charla presenta información sobre cómo Microsoft rastreó al actor de amenazas y evaluó que la actividad de Volt Typhoon era consistente con sentar las bases para su uso en posibles situaciones de conflicto futuras. Estos conocimientos muestran la historia de fondo de la recopilación y el análisis de inteligencia sobre amenazas, lo que llevó al blog de Microsoft de mayo de 2023 sobre Volt Typhoon, en el que se comparte el alcance y las capacidades del actor con la comunidad.
En CYBERWARCON, Microsoft ofreció una actualización sobre la actividad de Volt Typhoon, donde destacó los cambios en los TTP y los objetivos desde que Microsoft publicó la entrada del blog de mayo. En específico, Microsoft ve que Volt Typhoon trata de mejorar su seguridad operativa e intenta, de manera sigilosa, regresar a víctimas que antes fueron comprometidas. El actor de amenazas también se dirige a entornos universitarios, por ejemplo, además de a industrias atacadas de manera previa. En esta presentación, los expertos de Microsoft comparan su análisis del Volt Typhoon con investigaciones y estudios de terceros sobre la doctrina militar de China y el clima geopolítico actual. Esto agrega contexto adicional para la comunidad de seguridad sobre las posibles motivaciones detrás de las operaciones actuales y futuras del actor de amenazas.
Microsoft también describe brechas y limitaciones en el seguimiento de la actividad de Volt Typhoon y cómo la comunidad de seguridad puede trabajar en conjunto para desarrollar estrategias para mitigar futuras amenazas de este actor de amenazas.
“Tú me compilas. Me tuviste en RomCom”. – Cuando el cibercrimen se encontró con el espionaje
Durante muchos años, la comunidad de seguridad ha observado cómo varios actores alineados con el Estado ruso se cruzan con ecosistemas de cibercrimen en diversos grados y con diferentes propósitos. En CYBERWARCON 2022, Microsoft discutió el desarrollo de una cepa de “ransomware” nunca antes vista conocida como Prestige by Seashell Blizzard (IRIDIUM), un grupo que, según se informó, estaba compuesto por oficiales de inteligencia militar rusos. El ciberataque, disfrazado de una nueva cepa de “ransomware”, tenía como objetivo causar perturbaciones y al mismo tiempo proporcionar una fina apariencia de negación plausible para la organización patrocinadora.
Este año en CYBERWARCON, los expertos de Microsoft perfilan un actor de amenazas diferente, Storm-0978, que surgió a principios de 2022 como líder creíble tanto de operaciones de cibercrimen como de espionaje/habilitación que benefician a los intereses militares y geopolíticos de Rusia, con posibles vínculos con los servicios de seguridad rusos. La dualidad de la actividad de este adversario Storm-0978 que se cruza tanto con el crimen como con el espionaje lleva a preguntas que Microsoft invitó a explorar a los asistentes a la conferencia. ¿Es Storm-0978 un grupo de cibercrimen que realiza espionaje o un grupo de espionaje patrocinado por el gobierno que realiza delitos cibernéticos? ¿Por qué vemos la confluencia de lo que a nivel histórico han sido objetivos geopolíticos y criminales separados? ¿Es esta dualidad de alguna manera un reflejo de que Rusia se ha vuelto limitada en su capacidad para escalar operaciones cibernéticas en tiempos de guerra? ¿Rusia ha comenzado a activar elementos cibercriminales para las operaciones con el fin de proporcionar un nivel de negación plausible para futuros ataques destructivos? La guerra de Ucrania ha ilustrado que es probable que Rusia haya tenido que activar otras capacidades en la periferia. Storm-0978 es un ejemplo probable en el que está claro que otros elementos han sido cooptados para lograr objetivos tanto de un entorno de guerra como de un panorama estratégico, ya sea para lograr operaciones basadas en efectos o preposicionamiento.
El amplio conocimiento de Microsoft sobre la economía del ransomware y otras tendencias de delitos cibernéticos, junto con la experiencia en el seguimiento de los adversarios de los estados-nación rusos, permite presentar este perfil del actor Storm-0978 en CYBERWARCON, que Microsoft espera que sea aún más enriquecido y analizado por las experiencias, conjuntos de datos y conclusiones en general de la comunidad de seguridad.
Una actualización de LinkedIn sobre la lucha contra las cuentas falsas
Esta presentación se centra en lo que el equipo de Defensa y Prevención de Amenazas de LinkedIn ha aprendido de sus investigaciones sobre los cibermercenarios, también conocidos como actores ofensivos del sector privado (PSOA, por sus siglas en inglés), en la plataforma. El foco de esta presentación está en Black Cube (Microsoft rastrea a este actor como Blue Tsunami), un conocido actor mercenario, y lo que hemos aprendido sobre cómo intenta operar en LinkedIn. La discusión incluye ideas sobre cómo Black Cube ha aprovechado de manera previa perfiles de honeypot, trabajos falsos y compañías falsas para participar en operaciones de reconocimiento o inteligencia humana (HUMINT, por sus siglas en inglés) contra objetivos con acceso a organizaciones de interés y/o preocupación para los clientes de Black Cube.
Otras lecturas
Para conocer las últimas investigaciones de seguridad de la comunidad de Microsoft Threat Intelligence, consulten el blog de Microsoft Threat Intelligence: https://aka.ms/threatintelblog.
Para recibir notificaciones sobre nuevas publicaciones y unirse a debates en las redes sociales, síganos en X en https://twitter.com/MsftSecIntel.