Hackers rusos atacaron varias empresas de la cadena de suministro tecnológico desde mayo
Microsoft afirma que el grupo de hackers Nobelium respaldado por Rusia detrás del ataque de SolarWinds del año pasado todavía está apuntando a la cadena de suministro de informática global. Los hackers atacaron 140 proveedores de servicios administrados (MSP) y proveedores de servicios en la nube y al menos 14 fueron vulnerados desde mayo de 2021.
Esta campaña comparte todas las señales del enfoque de Nobelium para comprometer una lista significativa de objetivos al violar a su proveedor de servicios.
Al igual que en ataques anteriores, los hackers rusos utilizaron un conjunto de herramientas diverso y en constante cambio. Entre estas podemos mencionar una larga lista de herramientas y tácticas que iban desde malware, rociadores de contraseñas y robo de tokens. Asimismo, explotación de APIs y suplantación de identidad (spear phishing).
Los principales objetivos de estos nuevos ataques son los revendedores y proveedores de servicios de tecnología. Estos proveedores implementan y administran servicios en la nube y tecnología similar para sus clientes.
Microsoft notificó a los objetivos afectados de los ataques después de detectarlos. Y, también agregó detecciones a sus productos de protección contra amenazas, lo que permitió a los objetivos detectar intentos de intrusión futuros.
Más de 600 clientes de Microsoft atacados desde julio
“Desde mayo, hemos notificado a más de 140 revendedores y proveedores de servicios de tecnología que han sido objetivo de Nobelium” dijo Tom Burt, vicepresidente corporativo de Microsoft.
“Seguimos investigando, pero hasta la fecha creemos que hasta 14 de estos revendedores y proveedores de servicios se han visto comprometidos”.
Como agregó Burt, en total, más de 600 clientes de Microsoft fueron atacados miles de veces entre julio y octubre. Sin embargo, tuvieron una tasa de éxito muy baja.
Estos ataques han sido parte de una ola más grande de actividades de Nobelium desde hace unos meses. De hecho, entre el 1 de julio y el 19 de octubre de este año, informamos a 609 clientes que habían sido atacados 22,868 veces por Nobelium, con una tasa de éxito de un solo dígito, dijo Burt.
“En comparación, antes del 1 de julio de 2021, habíamos notificado a los clientes sobre ataques de todos los actores estatales 2,500 veces en los últimos tres años”.
Esto muestra que Nobelium todavía está intentando lanzar ataques similares al que llevaron a cabo después de violar los sistemas de SolarWinds. El propósito es obtener acceso a largo plazo a los sistemas de objetivos de interés y establecer canales de espionaje y exfiltración.
Microsoft también compartió las medidas que los MSPs, los proveedores de servicios en la nube y otras organizaciones tecnológicas pueden tomar. Estas medidas les servirán para proteger sus redes y clientes de estos continuos ataques de Nobelium.
Objetivos de alto perfil de Nobelium
Nobelium es la división de hacking del Servicio de Inteligencia Exterior de Rusia (SVR), también conocida como APT29, Cozy Bear y The Dukes.
En abril de 2021, el gobierno de Estados Unidos culpó formalmente a la división SVR de coordinar la “campaña de ciberespionaje de amplio alcance” de SolarWinds. Este ataque llevó al compromiso de múltiples agencias gubernamentales de Estados Unidos.
A fines de julio, el Departamento de Justicia de Estados Unidos fue la última entidad del gobierno en revelar que 27 fiscales estadounidenses fueron vulnerados durante la ola de hacking global de SolarWinds.
En mayo, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) también informó sobre una campaña de phishing dirigida a agencias gubernamentales de 24 países.
A principios de este año, Microsoft detectó tres cepas de malware Nobelium utilizadas para mantener la persistencia en redes comprometidas. Estas son una puerta trasera de comando y control llamada ‘GoldMax’, una herramienta de rastreo HTTP rastreada como ‘GoldFinder’, una herramienta de persistencia y un instalador de malware llamado ‘Sibot’. ‘
Dos meses después, revelaron cuatro familias de malware más que Nobelium utilizó en sus ataques. Estos son un instalador de malware conocido como ‘BoomBox’ y un instalador y lanzador de shellcode conocido como ‘VaporRage’. Asimismo, un archivo adjunto HTML malicioso denominado ‘EnvyScout’ y un cargador llamado ‘NativeZone.’