Hackers rusos respaldados por el estado se infiltran en organizaciones globales a través de Microsoft Teams

Hackers rusos se hacen pasar por personal de soporte técnico de Microsoft Teams para comprometer organizaciones globales

Un grupo de hackers rusos respaldados por el estado se hizo pasar por personal de soporte técnico en Microsoft Teams para comprometer a decenas de organizaciones globales, incluyendo agencias gubernamentales. Según investigadores de seguridad de Microsoft, esta campaña de ingeniería social "altamente dirigida" fue llevada a cabo por un grupo de hackers rusos respaldados por el estado rastreado por Microsoft como "Midnight Blizzard", pero más conocido como APT29 o Cozy Bear. Este grupo, que fue vinculado al infame ataque de SolarWinds en 2020, forma parte del Servicio de Inteligencia Exterior de Rusia, o SVR, según las agencias de aplicación de la ley de Estados Unidos y Reino Unido.

Ataques dirigidos utilizando cuentas comprometidas

Estos ataques, que comenzaron a finales de mayo, vieron a los hackers de APT29 utilizar cuentas de Microsoft 365 previamente comprometidas para crear nuevos dominios temáticos de soporte técnico. Utilizando estos dominios, los hackers enviaron mensajes a través de Microsoft Teams que buscaban manipular a los usuarios para que concedieran su aprobación a las solicitudes de autenticación de múltiples factores, con el objetivo final de acceder a las cuentas de usuario y extraer información sensible.

Ingeniería social a través de Microsoft Teams

Microsoft explicó que "si el usuario objetivo acepta la solicitud de mensaje, el usuario recibirá un mensaje de Microsoft Teams del atacante intentando convencerlo de ingresar un código en la aplicación Microsoft Authenticator en su dispositivo móvil". Si la víctima sigue estas instrucciones, el hacker puede obtener acceso completo a la cuenta del usuario.

Objetivos específicos de espionaje

La investigación de Microsoft sobre esta campaña indica que menos de 40 organizaciones globales únicas fueron atacadas o comprometidas, incluyendo agencias gubernamentales, organizaciones no gubernamentales, servicios de TI, tecnología, fabricación discreta y sectores de medios de comunicación. Si bien no se revelaron los nombres de las organizaciones atacadas, Microsoft afirma que indican "objetivos específicos de espionaje" por parte de los hackers rusos.

Mitigación y continuación de la investigación

Microsoft ha logrado mitigar el uso de los dominios por parte del grupo de hackers y "continúa investigando esta actividad", incluyendo los ataques preliminares de los hackers para comprometer a inquilinos legítimos de Azure y el uso de dominios homoglyph - dominios que aprovechan similitudes en las letras de la fuente para hacerse pasar por dominios legítimos - en campañas de ingeniería social.

Continúa la oleada de ataques cibernéticos

Esta noticia sobre la campaña de ingeniería social vinculada a Rusia llega semanas después de que hackers chinos aprovecharan una vulnerabilidad en el servicio de correo electrónico en la nube de Microsoft para acceder a las cuentas de correo electrónico de empleados del gobierno de Estados Unidos. Estos incidentes subrayan la creciente sofisticación y persistencia de los ciberataques, así como la necesidad de una seguridad cibernética sólida y medidas de protección adecuadas para las organizaciones y los usuarios finales. Microsoft continúa trabajando en la investigación de estos ataques y tomando medidas para mitigar cualquier daño adicional.