Microsoft destapa lo que hacían estos piratas informáticos rusos: ahora las embajadas serán más seguras
Los hackers utilizan el método de adversario en el medio (AiTM) para atacar a las embajadas extranjeras en Moscú
Rusia tiene uno de los ejércitos de hackers más peligrosos del mundo, respaldado por un amplio historial de ciberataques sofisticados para robar información confidencial o provocar daños digitales a gobiernos, empresas y otros organismos internacionales. La propia Microsoft ha confirmado que el ciberespionaje y hacking contra Estados Unidos de la mano del país de Vladímir Putin se ha incrementado en los últimos meses. Por ello, resulta incomprensible que la administración Trump ya no lo considere una amenaza cibernética.
La compañía tras el desarrollo del sistema operativo Windows, el más usado en ordenadores en todo el mundo, ha averiguado que los piratas informáticos al servicio del estado ruso han estado atacando embajadas extranjeras en Moscú con un malware personalizado que se instala mediante ataques de adversario en el medio que operan a nivel de ISP (Proveedor de Servicios de Internet).
Los ataques de adversario en el medio (AITM) son una forma de ciberataque en los que el agente malicioso se interpone entre dos partes que se están comunicando, interceptando y posiblemente modificando la información transmitida. Es similar a los ataques de hombre en el medio (MiTM), pero enfocándose más en el robo de datos y credenciales de acceso. Según Microsoft, la campaña de hacking lleva en activo desde 2024.
Los ataques son perpetrados por uno de los grupos de hackers estatales más activos del mundo
Los hackers a cargo de los ciberataques están aprovechando el método de adversario en el medio porque los proveedores de servicios de Internet de Rusia están obligados a trabajar en nombre del gobierno ruso. Teniendo la capacidad de controlar la red del ISP, el grupo de amenazas, conocido bajo el nombre de Secret Blizzard por Microsoft, se posiciona entre la embajada objetivo y los puntos finales a los que se conecta (AiTM). De este modo, los hackers envían objetivos a sitios web maliciosos que parecen conocidos y de confianza.
Miembros del equipo de Inteligencia de Amenazas de Microsoft explicaron en el comunicado oficial: "SI bien previamente evaluamos con baja certeza que el actor realiza actividades de ciberespionaje dentro de las fronteras rusas contra entidades nacionales y extranjeras, esta es la primera vez que podemos confirmar que tiene la capacidad de hacerlo a nivel de Proveedor de Servicios de Internet. Esto significa que el personal diplomático que utiliza ISP locales o servicios de telecomunicaciones en Rusia es muy probable que sea objetivo de la posición AiTM de Secret Blizzard dentro de dichos servicios".
Secret Blizzard sería uno de los grupos de hackers estatales más activos y sofisticados del mundo. Llevaría en activo desde, al menos, el año 1996. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad, estaría bajo las órdenes del Servicio Federal de Seguridad de Rusia. El grupo también se conocería bajo otros nombres, como Turla Venomous Bear, Snake, Blue Python, Wraith, ATG y Waterbug.
El objetivo de los hackers que forman parte del grupo sería inducir a las víctimas a instalar malware personalizado identificado como ApolloShadow, el cual permite a los hackers suplantar criptográficamente sitios web confiables visitados por un sistema infectado dentro de la embajada. Microsoft afirmó que la capacidad de hacer que los dispositivos infectados confíen en sitios maliciosos permite a los atacantes mantener la persistencia para recopilar datos de inteligencia.