Home Ciberguerra Microsoft encuentra ataques respaldados por Rusia, que explotan dispositivos de IO

Microsoft encuentra ataques respaldados por Rusia, que explotan dispositivos de IO

El grupo de hacking STRONTIUM, que ha sido fuertemente vinculado por los investigadores de seguridad a la agencia de inteligencia militar de Rusia GRU, fue responsable de un ataque basado en la IO contra clientes anónimos de Microsoft.

La empresa informó que que el ataque descubierto en abril, se dirigió a tres dispositivos específicos de IO – un teléfono VoIP, un decodificador de video y una impresora (la compañía se negó a especificar las marcas) – y los utilizó para obtener acceso a redes corporativas no especificadas. Dos de los dispositivos estaban comprometidos porque nadie había cambiado la contraseña predeterminada del fabricante, y el otro no tenía aplicado el último parche de seguridad.

Los dispositivos comprometidos de esta manera actuaban como puertas traseras de las redes seguras, permitiendo a los atacantes escanear libremente esas redes en busca de nuevas vulnerabilidades, acceder a sistemas adicionales y obtener cada vez más información. Los atacantes también fueron vistos investigando grupos administrativos en redes comprometidas, en un intento de obtener aún más acceso, así como analizando el tráfico de subredes locales para obtener datos adicionales.

STRONTIUM, a la que también se ha hecho referencia como Fancy Bear, Pawn Storm, Sofacy y APT28, se cree que está detrás de una serie de ciberactividades maliciosas llevadas a cabo en nombre del gobierno ruso, incluyendo el ataque al Comité Nacional Democrático en 2016, los ataques a la Agencia Mundial Antidopaje, la persecución de periodistas que investigaban el derribo del vuelo 17 de la aerolínea Malasia sobre Ucrania, el envío de amenazas de muerte a las esposas de los militares de los EE.UU. bajo una bandera falsa y mucho más.

Según una acusación publicada en julio de 2018 por la oficina del Asesor Especial Robert Mueller, los arquitectos de los ataques contra STRONTIUM son un grupo de oficiales militares rusos, todos ellos buscados por el FBI en relación con esos crímenes.

Microsoft notifica a sus clientes que descubre que son atacados por estados-nación y que ha entregado cerca de 1.400 notificaciones de este tipo relacionadas con STRONTIUM en los últimos 12 meses. La mayoría de ellos -cuatro de cada cinco- fueron a organizaciones del gobierno, militares, de defensa, de TI, de medicina, educación e ingeniería, y el resto a ONG, grupos de reflexión y otras “organizaciones políticamente afiliadas”, dijo Microsoft.

El núcleo de la vulnerabilidad, según el equipo de Microsoft, era la falta de conocimiento por parte de las instituciones de todos los dispositivos que se ejecutan en sus redes. Recomendaron, entre otras cosas, catalogar todos los dispositivos de IO que se ejecutan en un entorno corporativo, implementar políticas de seguridad personalizadas para cada dispositivo, aislar los dispositivos de IO en sus propias redes separadas siempre que fuera posible, y realizar auditorías periódicas de parches y configuraciones en los gadgets de IO.

Con información de: Europa Press.