Microsoft incautó una serie de sitios web que estaban siendo utilizados por una empresa de hacking con sede en China para llevar a cabo ciberataques contra organizaciones de Estados Unidos y otros 28 países de todo el mundo, según anunció la compañía el lunes.
En un comunicado de prensa, la corporación tecnológica dijo que un tribunal federal de Virginia había accedido a la solicitud de Microsoft del 2 de diciembre para permitir que su Unidad de Crímenes Digitales incautara los sitios web con sede en Estados Unidos, que estaban siendo gestionados por un grupo de hackers conocido como Nickel, APT15, o Vixen Panda, y les impidiera llevar a cabo dichos ataques.
Microsoft dijo que ha estado siguiendo a Nickel desde 2016 y monitoreando estas operaciones específicas desde 2019.
«Creemos que estos ataques estaban siendo utilizados en gran medida para la recopilación de inteligencia de agencias gubernamentales, grupos de reflexión y organizaciones de derechos humanos», dijo el vicepresidente corporativo de seguridad y confianza de los clientes de Microsoft, Tom Burt.
La compañía está redirigiendo el tráfico de los sitios web a servidores seguros de Microsoft para «ayudarnos a proteger a las víctimas actuales y futuras mientras aprendemos más sobre las actividades de Nickel».
Sin embargo, Burt señaló que «nuestra interrupción no impedirá que Nickel continúe con otras actividades de hacking, pero sí creemos que hemos eliminado una pieza clave de la infraestructura en la que el grupo se ha estado apoyando para esta última ola de ataques».
Los ataques «altamente sofisticados» de los hackers utilizan diversas técnicas, pero suelen consistir en la instalación de malware discreto que permite el robo de datos y la vigilancia.
«A veces, los ataques de Nickel utilizaron proveedores de redes privadas virtuales (VPN) de terceros comprometidos o credenciales robadas obtenidas de campañas de spear-phishing», dijo Burt. «En algunas actividades observadas, el malware de Nickel utilizó exploits dirigidos a sistemas Exchange Server y SharePoint sin parches en las instalaciones. Sin embargo, no hemos observado ninguna nueva vulnerabilidad en los productos de Microsoft como parte de estos ataques».
Microsoft ha creado «firmas únicas para detectar y proteger de la actividad conocida de Nickel» a través de sus diversos productos de seguridad, como el Microsoft 365 Defender.
Los ataques de los hackers se dirigieron tanto a organizaciones del sector privado como del público, incluyendo organizaciones diplomáticas y ministerios de asuntos exteriores en Norteamérica, Centroamérica, Sudamérica, el Caribe, Europa y África.
«A menudo existe una correlación entre los objetivos de Nickel y los intereses geopolíticos de China», dijo Microsoft.
Microsoft dijo que continuará «desmontando la infraestructura maliciosa, comprendiendo mejor las tácticas de los actores, protegiendo a nuestros clientes e informando el debate más amplio sobre las normas aceptables en el ciberespacio», pero reconoció que por sí sola no puede evitar estos ataques de los ciberdelincuentes.
El gigante tecnológico hizo un llamado a otros que operan dentro de la industria, así como a los gobiernos y a la sociedad civil para «unirse y establecer un nuevo consenso sobre lo que es y no es un comportamiento apropiado en el ciberespacio».
Hasta el momento, la empresa dijo que su Unidad de Crímenes Digitales, a través de 24 demandas —cinco de las cuales eran contra actores estatales— había derribado más de 10,000 sitios web maliciosos utilizados por ciberdelincuentes y casi 600 utilizados por actores estatales, y había bloqueado el registro de 600,000 más.
El gobierno de Biden y las agencias de ciberseguridad estadounidenses han advertido que el hacking de la República Popular China (RPC) representa una «gran amenaza» para Estados Unidos y sus aliados.
En julio, la administración acusó al gobierno chino de estar detrás de una campaña de hackeo contra Microsoft, que permitió a los atacantes explotar un fallo en una aplicación de correo electrónico de Microsoft para ir tras varios objetivos estadounidenses, entre ellos una universidad y gobiernos locales.
«Hemos planteado nuestra preocupación tanto por este incidente como por la actividad cibernética maliciosa más amplia de la RPC a altos funcionarios del Gobierno de la RPC, dejando claro que las acciones de la RPC amenazan la seguridad, la confianza y la estabilidad en el ciberespacio», dijo entonces la Casa Blanca en un comunicado.
En agosto, la Casa Blanca anunció que varias de las principales empresas tecnológicas del país se habían comprometido a invertir miles de millones de dólares para reforzar la ciberseguridad mediante la formación de decenas de miles de personas en materia de ciberseguridad, la mejora de la seguridad del software de código abierto y la prestación de servicios técnicos para ayudar a los gobiernos locales a reforzar las protecciones de seguridad.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.