Los hackers rusos que violaron el software de gestión de TI de SolarWinds para poner en peligro una gran cantidad de agencias gubernamentales y empresas de los Estados Unidos han vuelto a ser el centro de atención. Microsoft dijo el jueves que el mismo grupo de espías “Nobelium” ha desarrollado una agresiva campaña de phishing desde enero de este año y la ha incrementado significativamente esta semana, apuntando a aproximadamente 3,000 personas en más de 150 organizaciones en 24 países.
La revelación causó revuelo, destacando las continuas e inveteradas campañas de espionaje digital de Rusia. Pero no debería sorprendernos en absoluto que Rusia en general, y los piratas informáticos de SolarWinds en particular, hayan continuado espiando incluso después de que Estados Unidos impusiera sanciones de represalia en abril. Y en relación con SolarWinds, una campaña de phishing parece absolutamente normal.
“No creo que sea una escalada, creo que es un negocio como de costumbre”, dice John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad FireEye, que descubrió por primera vez las intrusiones de SolarWinds. “No creo que estén disuadidos y no creo que sea probable que se sientan disuadidos”.
Ciertamente, vale la pena mencionar la última campaña de Rusia. Nobelium comprometió cuentas legítimas del servicio de correo electrónico masivo Constant Contact, incluida la de la Agencia de los Estados Unidos para el Desarrollo Internacional. Desde allí, los piratas informáticos, supuestamente miembros de la agencia de inteligencia extranjera SVR de Rusia, podían enviar correos electrónicos de spearphishing especialmente diseñados que realmente provenían de las cuentas de correo electrónico de la organización a la que se hacían pasar. Los correos electrónicos incluían enlaces legítimos que luego redirigían a la infraestructura maliciosa de Nobelium e instalaban malware para tomar el control de los dispositivos de destino.
Si bien la cantidad de objetivos parece grande y USAID trabaja con muchas personas en posiciones delicadas, el impacto real puede no ser tan severo como parece. Si bien Microsoft reconoce que es posible que se hayan recibido algunos mensajes, la compañía dice que los sistemas automatizados de spam bloquearon muchos de los mensajes de phishing. El vicepresidente corporativo de Microsoft para la seguridad y la confianza del cliente, Tom Burt, escribió en una publicación de blog el jueves que la compañía considera que la actividad es “sofisticada” y que Nobelium evolucionó y perfeccionó su estrategia para la campaña durante los meses previos al objetivo de esta semana.
“Es probable que estas observaciones representen cambios en el oficio del actor y una posible experimentación luego de divulgaciones generalizadas de incidentes anteriores”, escribió Burt. En otras palabras, esto podría ser un pivote después de que se viera la tapa de SolarWinds.
Pero las tácticas de esta última campaña de phishing también reflejan la práctica general de Nobelium de establecer el acceso en un sistema o cuenta y luego usarlo para obtener acceso a otros y saltar a numerosos objetivos. Es una agencia de espionaje; esto es lo que hace por supuesto.
“Si esto hubiera sucedido antes de SolarWinds, no habríamos pensado nada al respecto. Es solo el contexto de SolarWinds lo que nos hace verlo de manera diferente “, dice Jason Healey, ex miembro del personal de la Casa Blanca de Bush y actual investigador de conflictos cibernéticos en la Universidad de Columbia.” Digamos que este incidente ocurrió en 2019 o 2020, no creo que nadie lo esté voy a parpadear ante esto “.
Como señala Microsoft, tampoco hay nada inesperado sobre los espías rusos, y Nobelium en particular, dirigidos a agencias gubernamentales, USAID en particular, ONG, think tanks, grupos de investigación o contratistas de servicios militares y de TI.
“Las ONG y los think tanks de DC han sido objetivos fáciles de gran valor durante décadas”, dice un ex consultor de ciberseguridad del Departamento de Seguridad Nacional. “Y es un secreto a voces en el mundo de la respuesta a incidentes que USAID y el Departamento de Estado son un lío de infraestructura y redes de TI subcontratadas e irresponsables. En el pasado, algunos de esos sistemas estuvieron comprometidos durante años.“
Especialmente en comparación con el alcance y la sofisticación de la violación de SolarWinds, una campaña de phishing generalizada se siente casi como un cambio hacia abajo. También es importante recordar que los impactos de SolarWinds continúan; incluso después de meses de publicidad sobre el incidente, es probable que Nobelium todavía persiga al menos algunos de los sistemas que comprometió durante ese esfuerzo.
“Estoy seguro de que todavía tienen accesos en algunos lugares de la campaña SolarWinds”, dice Hultquist de FireEye. “El impulso principal de la actividad ha disminuido, pero es muy probable que persista en varios lugares”.
Que es solo la realidad del espionaje digital. No se detiene y comienza basándose en la vergüenza pública. La actividad de Nobelium ciertamente no es bienvenida, pero en sí misma no presagia una gran escalada.
Información adicional de Andy Greenberg.
Más historias geniales de WIRED
.