Se está llevando a cabo un nuevo ciberataque dirigido a la cadena de suministro de tecnología global, y concretamente a los proveedores de tecnología y servicios en la nube, manifestaron portavoces de Microsoft el domingo pasado.
Y ha puesto nombre a los atacantes Nobelium, a los que también denominó “actores rusos del estado-nación” a quienes acusan del ataque que tuvo lugar contra SolarWinds en 2020. Detrás de ellos se sospecha con absoluta certeza que está el grupo conocido como Cozy Bear. Microsoft, en el periodo comprendido entre principios de julio y mediados de octubre, habría notificado a 609 clientes que Nobelium los había atacado 22,868 veces. También añadió, aunque cuesta trabajo creerlo, que la tasa de éxito de los piratas fue de un solo dígito.
Ahora la operativa es diferente, según informa la web Cyberscoop, se está atacando un segmento diferente de la cadena de suministro, como pueden ser los intermediarios y otros proveedores de servicios de tecnología que personalizan, implementan y administran servicios en la nube y otras tecnologías en número de clientes, ha señalado Microsoft en su blog.
Biden ha amenazado a Rusia con tomar represalias cibernéticas inmediatas
Putin ha negado cualquier tipo de responsabilidad en los ataques detectados como procedentes de grupos rusos, pero Estados Unidos no le cree. De hecho, en una reunión que mantuvo con Biden en Suiza, el presidente americano sacó los dientes, le entregó una lista de 16 sectores críticos a los que los ciber piratas rusos no deben “ni mirar”. Estados Unidos desencadenaría una respuesta cibernética inmediata.
El Kremlin siempre ha negado cualquier responsabilidad en las campañas de piratería en todo el mundo que se atribuyen ampliamente a los grupos rusos.
Según Microsoft, “Rusia está tratando de obtener acceso sistemático a largo plazo a una variedad de puntos en la cadena de suministro de tecnología y establecer un mecanismo para vigilar, ahora o en el futuro, los objetivos de interés para el gobierno ruso", dijo Microsoft el domingo .
La actividad maliciosa de Nobelium, también conocida como Cozy Bear, sigue en curso, según Microsoft. Su objetivo es infectar un conjunto más amplio de objetivos en la cadena de suministro global, dijo Burt el lunes durante una entrevista con Cyberscoop.
Cyberscoop ha hablado con Tom Burt, jefe de seguridad de Microsoft, quien ha rehusado a detallar los sectores claves que han sido atacados pero ha pronunciado frases muy significativas: “ Piense en esto como SolarWinds, lo que hubiera ocurrido si hubiésemos frenado la situación de SolarWinds durante los primeros meses que los atacantes estuvieron involucrados en su campaña en lugar de muchos meses después, después de que el mismo grupo al que llamamos Nobelium, el SVR ruso, se hubiera metido con éxito en las redes de nueve o diez agencias gubernamentales de EE. UU. y revisaron todo su correo electrónico durante seis meses”.
Los intermediarios de servicios en la nube son el principal objetivo y deben de protegerse
Actualmente se están orientando, afirma Burt, a los “revendedores de servicios en la nube (…) tienen clientes que incluyen agencias gubernamentales y grupos de expertos, así como del mundo académico, entre otros muchos". Y añade en la entrevista: “Una de las razones por las que estos muchachos fueron tras SolarWinds es porque hicieron su investigación y entendieron que el software SolarWinds Orion, debido a que era un software de administración y optimización de redes, necesariamente tenía altos privilegios dentro de las redes de los clientes con las que trabajaban”
La razón para poner en conocimiento del gran público lo que está ocurriendo , es que “Nos parece que estaban tratando de crear este punto de apoyo inicial, esta plataforma de lanzamiento, para llevar a cabo más espionaje. La razón por la que queríamos darlo a conocer, ahora que teníamos una buena comprensión de lo que estaban haciendo, era para que las personas, tanto en esta cadena de suministro como en sus clientes finales, pudieran tomar medidas para ser conscientes de esto y protegerse. Es la forma de evitar que tengamos otro SolarWinds”.
Las metodología de estos grupos de atacantes que cuentan con el respaldo de una nación es, según Burt, el rociado de contraseñas, así como los ataque por fuerza bruta, aunque se sospecha que en el caso de Solarwinds había una contraseña comprometida.