Microsoft interrumpe campaña de APT28 dirigida a elecciones en EE. UU.

Microsoft reveló anoche que interrumpió con éxito una campaña de piratería asociada con el servicio de inteligencia militar ruso GRU.

El grupo es conocido en los círculos de la industria infosec como APT28, Fancy Bear o Strontium, y ha estado vinculado anteriormente a campañas de ciberespionaje dirigidas a numerosos gobiernos de todo el mundo, incluido el hack del Comité Nacional Demócrata antes de la presidencia de los EE. UU. en 2016.

 
Microsoft toma más de seis dominios APT28

El presidente de Microsoft, Brad Smith, dijo que la unidad de crímenes digitales de Microsoft (DCU) ejecutó con éxito una orden judicial para transferir el control de seis dominios de Internet creados por el grupo. Los seis dominios son:

my-iri.org
hudsonorg-my-sharepoint.com
senate.group
adfs-senate.services
adfs-senate.email
office365-onedrive.com

El primer dominio se registró para parecerse a un dominio del Instituto Internacional Republicano, que promueve los principios democráticos. El segundo fue registrado para imitar al Hudson Institute, una organización conocida por sus discusiones sobre seguridad cibernética electoral. Los últimos cuatro fueron intentos descarados de imitar dominios que forman parte de la infraestructura de TI del Senado estadounidense. Microsoft dijo que notificó a las tres organizaciones.

 
Microsoft ahora ha tomado más de 84 dominios APT28

Según su formato, se suponía que los dominios se usarían como parte de las operaciones de spear-phishing.

Microsoft dice que logró hacerse dueño de los dominios antes de que fueran utilizados en cualquier ataque.

El fabricante del sistema operativo dijo que esta era la duodécima vez que utilizaban una orden judicial para tomar el control de los dominios que creían estar asociados con la infraestructura de ataque de APT28. Smith dijo que ahora han tomado el control de 84 dominios APT28 en los últimos dos años.

"A pesar de los pasos de la semana pasada, estamos preocupados por la actividad continua dirigida a estos y otros sitios y dirigida a funcionarios electos, políticos, grupos políticos y grupos de expertos en todo el espectro político en los Estados Unidos", dijo Smith. "En conjunto, este patrón refleja el tipo de actividad que vimos antes de las elecciones de 2016 en los Estados Unidos y las elecciones de 2017 en Francia".

La semana pasada, Reuters informó que el FBI estaba investigando ciberataques en la campaña del congreso de un candidato demócrata en California, aunque no hay evidencia de que la intervención de Microsoft esté vinculada a esa investigación.

En una conferencia a mediados de julio, Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, dijo que Microsoft había bloqueado en ese momento los primeros ataques cibernéticos en las elecciones de mitad de período de 2018 en Estados Unidos.

En mayo de este año, el FBI también intervino de manera similar para tomar el control de los dominios que el grupo APT28 estaba utilizando para controlar la botnet VPNFilter IoT.

 
Microsoft lanza oficialmente el servicio AccountGuard

Al anunciar la intervención de Microsoft para derribar los seis dominios APT28, Smith también anunció el lanzamiento del servicio AccountGuard, diseñado para ayudar a las entidades electorales y de campaña de los EE. UU. A proteger su infraestructura de TI contra los ataques del estado nación.

Bleeping Computer primero dio a conocer la historia sobre el nuevo servicio AccountGuard de Microsoft al comienzo del mes -más detalles aquí.

Después de que Microsoft reveló su adquisición de los seis dominios APT28, Google también emitió un aviso de seguridad en su blog sobre los peligros de las operaciones de phishing respaldadas por el gobierno. La semana pasada, Google agregó soporte para controlar el comportamiento de las alertas de "ataques respaldados por el gobierno" dentro del servicio de G Suite.

 

Fuente: https://www.bleepingcomputer.com/