Hackers del ataque a SolarWinds apuntan contra 150 organizaciones en nueva campaña cibernética

Microsoft dijo que los hackers detrás del ciberataque de SolarWinds lanzaron una nueva campaña dirigida contra más de 150 agencias gubernamentales, grupos de reflexión y organizaciones no gubernamentales.

El grupo de piratas informáticos con sede en Rusia, que recibe varios nombres, entre ellos Nobelium, lanzó el nuevo ataque después de obtener acceso a un servicio de marketing por correo electrónico utilizado por la Agencia de Estados Unidos para el Desarrollo Internacional (USAID), dijo Microsoft en una publicación de su blog el jueves.

Tras acceder por correo electrónico a la cuenta de marketing de USAID, los hackers distribuyeron correos electrónicos de phishing que contenían un enlace a un archivo malicioso que permitía el robo de datos y la infección de otros ordenadores, según Tom Burt, vicepresidente de seguridad y confianza de los clientes de Microsoft.

«Nobelium, originado en Rusia, es el mismo actor que está detrás de los ataques a los clientes de SolarWinds en 2020. Estos ataques parecen ser una continuación de los múltiples esfuerzos de Nobelium para dirigirse a las agencias gubernamentales involucradas en la política exterior, como parte de los esfuerzos de recopilación de inteligencia», escribió Burt en el posteo.

La campaña se dirigió a unas 3000 cuentas de correo electrónico de más de 150 organizaciones, escribió Burt. Aunque la mayoría de los objetivos estaban en Estados Unidos, el ataque se extendió a al menos 24 países, añadió.

La empresa de ciberseguridad Volexity, que también rastreó los ataques, escribió en un posteo que cree que la operación fue probablemente lanzada por APT29, un grupo de hackers rusos llamado «amenaza persistente avanzada» que se cree que además está asociado con los servicios de inteligencia rusos. El grupo tiene varios apodos, incluyendo Cozy Bear, Nobelium y Dark Halo.

«Aunque Volexity no puede decir con certeza quién está detrás de estos ataques, cree que tiene las características de un agente de riesgo conocido, con el que ya ha tratado en varias ocasiones anteriores», escribió la empresa de ciberseguridad, señalando que una serie de atributos de ataque utilizados en esta campaña eran consistentes con las tácticas anteriores utilizadas por APT29.

«Después de un paréntesis relativamente largo sin actividad pública detallada de spear phishing, APT29 parece haber regresado», escribió Volexity, añadiendo que los archivos utilizados en el ataque tienen «tasas de detección estática relativamente bajas», lo que «sugiere que el atacante probablemente está teniendo cierto éxito en la violación de los objetivos».

Un hackeo anterior de la compañía de tecnología e informática SolarWinds, que se identificó en diciembre, se atribuyó con un alto grado de confianza al grupo APT29, vinculado a la inteligencia rusa.

Estados Unidos y Gran Bretaña culparon del hackeo de SolarWinds, que comprometió a nueve agencias federales estadounidenses y a cientos de empresas del sector privado, al Servicio de Inteligencia Exterior de Rusia, un sucesor de las operaciones de espionaje exterior de la KGB.

Este mes, el jefe del espionaje ruso negó ser responsable del ciberataque a SolarWinds, pero dijo sentirse «halagado» por las acusaciones de que la inteligencia extranjera rusa estaba detrás de un hackeo tan sofisticado.

La noticia de la nueva oleada de ciberataques atribuidos a APT29 se produce semanas después de que un ataque de ransomware a Colonial Pipeline, el 7 de mayo, cerró durante días la mayor red de oleoductos de combustible de Estados Unidos, interrumpiendo el suministro, disparando los precios de la gasolina y provocando compras masivas en los surtidores.

Siga a Tom en Twitter: @OZImekTOM

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí