Los piratas informáticos conectados a la principal agencia de inteligencia de Rusia se apoderaron en secreto de un sistema de correo electrónico utilizado por la agencia de ayuda internacional del Ministerio de Relaciones Exteriores para indagar en las redes informáticas de grupos de derechos humanos y otras organizaciones que el presidente Vladimir V. Microsoft Corporation anunció el jueves que criticaban a Putin.
La brecha se descubrió solo tres semanas antes de la reunión planificada del presidente Biden con Putin en Ginebra y en un momento de crecientes tensiones entre las dos naciones, también debido a una serie de ciberataques cada vez más sofisticados de Rusia.
El ataque recién descubierto también fue particularmente audaz: al violar los sistemas de un proveedor utilizado por el gobierno federal, los piratas informáticos enviaron correos electrónicos de apariencia real a más de 3,000 cuentas en más de 150 organizaciones que recibían regularmente comunicaciones de la Agencia de Estados Unidos para Asuntos Internacionales Desarrollo. Esos correos electrónicos solo se enviaron esta semana y Microsoft cree que los ataques aún continúan.
Se implantó un código en el correo electrónico que les dio a los piratas informáticos acceso ilimitado a los sistemas informáticos del destinatario, desde «robar datos hasta infectar otras computadoras en una red». Tom Burt, vicepresidente de Microsoft, escribió el jueves por la noche.
El mes pasado, Biden anunció una serie de nuevas sanciones contra Rusia y la expulsión de diplomáticos por una elaborada operación de piratería llamada SolarWinds que utilizó métodos novedosos para dañar al menos a siete agencias gubernamentales y cientos de grandes empresas estadounidenses.
Este ataque no fue detectado por el gobierno de Estados Unidos durante nueve meses hasta que fue descubierto por una empresa de ciberseguridad. En abril, Biden dijo que podría haber reaccionado mucho más enérgicamente, pero eligió «proporcional» porque no quería «iniciar un ciclo de escalada y conflicto con Rusia».
Sin embargo, la respuesta rusa parece haber sido una escalada. La actividad maliciosa solo había comenzado durante la última semana. Esto sugiere que las sanciones y cualquier acción encubierta adicional que la Casa Blanca haya implementado, parte de una estrategia para crear costos «visibles e invisibles» para Moscú, no ha sofocado el apetito del gobierno ruso por la interrupción.
Un portavoz de la agencia de seguridad cibernética y seguridad de la infraestructura en el Departamento de Seguridad Nacional dijo el jueves por la noche que la agencia está «consciente del posible compromiso» con la agencia para el desarrollo internacional y está trabajando «con el FBI y USAID para comprenderlo mejor. » Nivel de compromiso y apoyo a las víctimas potenciales. «
Microsoft identificó al grupo ruso detrás del ataque como Nobelium y dijo que era el mismo grupo responsable del hack de SolarWinds. El mes pasado, el gobierno de EE. UU. Declaró explícitamente que SolarWinds era obra del SVR, uno de los spin-offs de la era soviética más exitosos de la KGB.
La misma agencia estuvo involucrada en los ataques de piratería del Comité Nacional Demócrata en 2016 y anteriormente en ataques al Pentágono, el sistema de correo electrónico de la Casa Blanca y las comunicaciones no clasificadas del Departamento de Estado.
Se ha vuelto cada vez más agresivo y creativo, dicen funcionarios y expertos federales. El ataque SolarWinds nunca fue descubierto por el gobierno de EE. UU. Y se llevó a cabo a través de un código implantado en un software de administración de red que es ampliamente utilizado por el gobierno y las empresas privadas. Cuando los clientes actualizaron el software SolarWinds, al igual que lo haría un iPhone de la noche a la mañana, estaban dejando entrar a un intruso sin saberlo.
Las víctimas del año pasado incluyeron los ministerios de seguridad nacional y energía, así como laboratorios nucleares.
Cuando Biden asumió el cargo, ordenó un estudio sobre el caso de SolarWinds, y los funcionarios han estado trabajando para prevenir futuros ataques a la cadena de suministro donde los adversarios infectan el software utilizado por las agencias federales. Esto es similar a este caso cuando el equipo de seguridad de Microsoft capturó a los piratas informáticos utilizando un servicio de correo electrónico de Constant Contact ampliamente utilizado para enviar correos electrónicos maliciosos que parecían provenir de direcciones del mundo real que pertenecen a la Agencia de Desarrollo Internacional.
Pero el contenido fue apenas sutil a veces. En un correo electrónico enviado a través del servicio Constant Contact el martes, los piratas informáticos destacaron un mensaje que afirmaba que «Donald Trump había publicado nuevos correos electrónicos sobre fraude electoral». El correo electrónico contenía un enlace que, si se hacía clic, colocaría archivos maliciosos en las computadoras de los destinatarios.
Microsoft descubrió que el ataque era «significativamente» diferente del hack de SolarWinds y utilizó nuevas herramientas y mano de obra para evitar la detección. Se dijo que el ataque aún estaba en curso y que los piratas informáticos continuaron enviando correos electrónicos de spearphishing con mayor velocidad y alcance. Debido a esto, Microsoft dio el paso inusual de nombrar la agencia cuyas direcciones de correo electrónico se utilizaron y publicar ejemplos de correos electrónicos falsificados.
Básicamente, los rusos ingresaron al sistema de correo electrónico de la Agencia para el Desarrollo Internacional rodeando la agencia y dirigiéndose directamente a sus proveedores de software. Constant Contact gestiona correos electrónicos masivos y otras comunicaciones en nombre de la organización de ayuda.
«Nobelium lanzó los ataques de esta semana al obtener acceso a la cuenta Constant Contact de USAID», escribió Burt de Microsoft. No se pudo establecer contacto constante para hacer comentarios.
Microsoft, al igual que otras grandes empresas de ciberseguridad, mantiene una gran red de sensores para buscar actividad maliciosa en Internet y, a menudo, es un objetivo en sí mismo. Fue fundamental para descubrir el ataque SolarWinds.
En este caso, informó Microsoft, el objetivo de los piratas informáticos no era rastrear al Departamento de Estado o la agencia de ayuda, sino usar sus conexiones para ingresar a grupos que trabajan en el terreno y, en muchos casos, a los críticos más poderosos de Putin.
«Al menos una cuarta parte de las organizaciones objetivo estaban involucradas en el trabajo de desarrollo internacional, humanitario y de derechos humanos», escribió Burt. Aunque no los nombró, muchos de esos grupos han expuesto las acciones rusas contra los disidentes o han protestado por el envenenamiento, condena y encarcelamiento del líder de la oposición más prominente de Rusia, Alexei A. Navalny.
El ataque sugiere que las agencias de inteligencia rusas están intensificando su campaña, tal vez para demostrar que el país no renunciaría ante las sanciones, el desalojo de diplomáticos y otras presiones.
Biden planteó el ataque SolarWinds en una llamada telefónica con Putin el mes pasado, diciéndole que las sanciones y expulsiones son evidencia de que su gobierno ya no toleraría un ritmo acelerado de operaciones cibernéticas.
Putin ha negado la participación de Rusia y algunos medios de comunicación rusos han argumentado que Estados Unidos lanzó el ataque contra sí mismo.
Al mismo tiempo, la Casa Blanca también impuso una serie de nuevas sanciones a las personas y los activos rusos, incluidas nuevas restricciones a la compra de deuda nacional de Rusia que dificultarán que Rusia recaude dinero y respalde su moneda.
«Este es el comienzo de una nueva campaña estadounidense contra el comportamiento malicioso de Rusia», dijo en ese momento la secretaria del Tesoro, Janet L. Yellen.
Las tensiones sobre la vivienda de los ciberdelincuentes en Rusia aumentaron significativamente este mes después de que un grupo de ransomware tomó como rehenes las redes corporativas de Colonial Pipeline. El ataque obligó a la compañía a cerrar un oleoducto que lleva casi la mitad de su gasolina, diésel y combustible para aviones a la costa este, provocando un aumento en los precios de la gasolina y compras de pánico en el surtidor.
Biden dijo hace dos semanas: «Nosotros habló en comunicación directa con Moscú sobre la necesidad de que los países responsables tomen medidas decisivas contra estas redes de ransomware. »