Hackers rusos atacaron a una agencia gubernamental de EEUU y a grupos de derechos humanos que critican a Vladimir Putin
Los ciberpiratas se infiltraron en un sistema de correo electrónico utilizado por el Departamento de Estado norteamericano. El incidente tiene lugar a tres semanas de que Joe Biden se reúna con el presidente ruso en Ginebra
Hackers vinculados a la principal agencia de inteligencia rusa se apoderaron de un sistema de correo electrónico utilizado por la agencia de ayuda internacional del Departamento de Estado de Estados Unidos para ingresar en las redes informáticas de grupos de derechos humanos y otras organizaciones del tipo que han sido críticas con el presidente de Rusia, Vladimir Putin, según reveló el jueves la empresa Microsoft Corporation.
El descubrimiento se produce a tres semanas de que el presidente de Estados Unidos, Joe Biden, se reúna con su homólogo ruso en Ginebra, y en tiempos de creciente tensión entre los dos países, en parte debido a una serie de ciberataques cada vez más sofisticados procedentes de Rusia.
Al penetrar en los sistemas de un proveedor utilizado por el gobierno federal, los hackers enviaron correos electrónicos que parecían auténticos a unas 3.000 cuentas de más de 150 organizaciones que reciben regularmente comunicaciones de la Agencia de Estados Unidos para el Desarrollo Internacional (USAID, por sus siglas en inglés). Esos emails se enviaron esta misma semana, y Microsoft cree que los ataques continúan, informó The New York Times.
El correo electrónico llevaba implantado un código que daba a los hackers acceso ilimitado a los sistemas informáticos de los destinatarios, y podían “robar datos hasta infectar otras computadoras de la red”, dijo Tom Burt, vicepresidente de Microsoft, el jueves por la noche.
El mes pasado, Biden anunció una serie de sanciones contra Rusia y la expulsión de diplomáticos por una sofisticada operación de piratería informática, denominada SolarWinds, que utilizó métodos novedosos para vulnerar al menos siete agencias gubernamentales y cientos de grandes empresas estadounidenses.
Ese ataque tardó nueve meses en ser detectado, hasta que fue descubierto por una empresa de ciberseguridad. En abril, el presidente estadounidense dijo que podría haber respondido de forma mucho más contundente, pero “optó por ser proporcionado” porque no quería “iniciar un ciclo de escalada y conflicto con Rusia”.
No obstante, según The New York Times, la respuesta rusa parece haber sido una escalada. La actividad maliciosa ya estaba en marcha la semana pasada. Esto sugiere que las sanciones y cualquier otra acción encubierta que la Casa Blanca haya llevado a cabo -como parte de una estrategia para crear costes “visibles y no visibles” para Moscú- no ha frenado el interés del Kremlin por la interrupción.
Un portavoz de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional afirmó el jueves que la agencia era “consciente del posible compromiso” en la Agencia de los Estados Unidos para el Desarrollo Internacional y que estaba “trabajando con el FBI y la USAID para comprender mejor el alcance del compromiso y ayudar a las posibles víctimas”.
Microsoft identificó al grupo ruso detrás del ataque como Nobelium, y aseguró que es el mismo responsable del hackeo de SolarWinds. El mes pasado, el gobierno estadounidense aseguró que era obra del Servicio de Inteligencia Exterior (SVR), una de las más exitosas ramificaciones de la KGB de la era soviética.
La misma agencia estuvo involucrada en el hackeo del Comité Nacional Demócrata en 2016, ataques al Pentágono, al sistema de correo electrónico de la Casa Blanca y a las comunicaciones no clasificadas del Departamento de Estado, según The New York Times.
El ataque de SolarWinds nunca fue detectado por Estados Unidos y se llevó a cabo mediante un código implantado en un software de gestión de redes que el gobierno y las empresas privadas utilizan ampliamente. Cuando los clientes actualizaban el software de SolarWinds, dejaban entrar a un invasor sin saberlo.
Entre las víctimas del año pasado se encuentran los Departamentos de Seguridad Nacional y de Energía, así como laboratorios nucleares.
Cuando Biden asumió la presidencia, ordenó un estudio del caso SolarWinds. Los funcionarios estadounidenses han estado trabajando para prevenir futuros ataques a la “cadena de suministro”, en los que los piratas infectan el software utilizado por las agencias federales. Esto es similar a lo que ocurrió en el último caso, cuando el equipo de seguridad de Microsoft descubrió que los hackers utilizaban un servicio de correo electrónico muy utilizado, proporcionado por una empresa llamada Constant Contact, para enviar emails maliciosos que parecían proceder de direcciones auténticas de la Agencia para el Desarrollo Internacional, detalló The New York Times.
Sin embargo, el contenido era poco sutil. En un correo enviado a través del servicio de Constant Contact el martes, los hackers destacaron un mensaje que afirmaba que “Donald Trump ha publicado nuevos correos electrónicos sobre el fraude electoral”. El mensaje llevaba un enlace que, al hacer clic, dejaba caer archivos maliciosos en las computadoras de los destinatarios.
Microsoft señaló que el ataque difiere “significativamente” del hackeo de SolarWinds, ya que utilizaba nuevas herramientas y técnicas en un esfuerzo por evitar la detección. Aseguró que aún seguía en curso y que los hackers continúan enviando emails con una velocidad y un alcance cada vez mayores. Por ende, Microsoft decidió nombrar a la agencia cuyas direcciones de correo electrónico se estaban utilizando y publicar muestras del email falso.
Los rusos se introdujeron en el sistema de correo electrónico de USAID sorteando la agencia y dirigiéndose directamente a sus proveedores de software. Constant Contact gestiona los correos electrónicos masivos y otras comunicaciones en nombre de la agencia.
“Nobelium lanzó los ataques de esta semana accediendo a la cuenta de Constant Contact de USAID”, señaló Burt.
Microsoft, al igual que otras grandes empresas dedicadas a la ciberseguridad, mantiene una amplia red de sensores para buscar actividades maliciosas en Internet, y con frecuencia es también un objetivo.
En este caso, según Microsoft, el objetivo de los hackers no era ir por el Departamento de Estado o USAID, sino utilizar sus conexiones para entrar en grupos que trabajan sobre el terreno y que, en muchos casos, se encuentran entre los más críticos de Putin.
“Al menos una cuarta parte de las organizaciones seleccionadas participaban en actividades de desarrollo internacional, humanitarias y de derechos humanos”, indicó Burt, de acuerdo a The New York Times. Aunque no los nombró, muchos de esos grupos han revelado las acciones rusas contra los disidentes, o han protestado por el envenenamiento, la condena y el encarcelamiento del líder opositor Alexei Navalny.
El ataque sugiere que las agencias de inteligencia rusas están intensificando su campaña, tal vez para demostrar que el país no retrocederá ante las sanciones, la expulsión de diplomáticos y otras presiones.
Biden planteó el ataque de SolarWinds a Putin en una conversación telefónica el mes pasado, explicándole que las sanciones y las expulsiones eran una demostración de que su administración ya no toleraría un aumento de las ciberoperaciones.
El presidente ruso niega la implicación de su país, y algunos medios de comunicación afines al Kremlin afirman que Estados Unidos lanzó el ataque contra sí mismo.
Las tensiones con Rusia aumentaron significativamente este mes luego de que un grupo de ransomware tomara como rehenes las redes empresariales de Colonial Pipeline. El ataque obligó a la empresa a cerrar un oleoducto que lleva casi la mitad del gas, el gasóleo y el combustible para aviones a la Costa Este de Estados Unidos, lo que provocó un aumento de los precios de la gasolina y compras de pánico en los surtidores.
US aid agency system used to carry out cyberattacks by Russia: Microsoft
Breach discovered three weeks before Joe Biden is scheduled to meet Vladimir Putin in Geneva and at a moment of increased tension between the two nations.
Hackers linked to Russia’s main intelligence agency surreptitiously seized an email system used by the State Department’s international aid agency to burrow into the computer networks of human rights groups and other organizations of the sort that have been critical of President Vladimir V. Putin, Microsoft Corporation disclosed on Thursday.
Discovery of the breach comes only three weeks before President Biden is scheduled to meet Mr. Putin in Geneva, and at a moment of increased tension between the two nations — in part because of a series of increasingly sophisticated cyberattacks emanating from Russia.
The newly disclosed attack was also particularly bold: By breaching the systems of a supplier used by the federal government, the hackers sent out genuine-looking emails to more than 3,000 accounts across more than 150 organizations that regularly receive communications from the United States Agency for International Development. Those emails went out as recently as this week, and Microsoft said it believes the attacks are ongoing.
The email was implanted with code that would give the hackers unlimited access to the computer systems of the recipients, from “stealing data to infecting other computers on a network,” Tom Burt, a Microsoft vice president, wrote on Thursday night.
Last month, Mr. Biden announced a series of new sanctions on Russia and the expulsion of diplomats for a sophisticated hacking operation, called SolarWinds, that used novel methods to breach at least seven government agencies and hundreds of large American companies.
That attack went undetected by the U.S. government for nine months, until it was discovered by a cybersecurity firm. In April, Mr. Biden said he could have responded far more strongly, but “chose to be proportionate” because he did not want “to kick off a cycle of escalation and conflict with Russia.”
The Russian response nonetheless seems to have been escalation. The malicious activity was underway as recently as the past week. That suggests that the sanctions and whatever additional covert actions the White House carried out — part of a strategy of creating “seen and unseen” costs for Moscow — has not choked off the Russian government’s appetite for disruption.
A spokesperson for the Cybersecurity and Infrastructure Security Agency at the Department of Homeland Security said late Thursday that the agency was “aware of the potential compromise” at the Agency for International Development and that it was “working with the F.B.I. and U.S.A.I.D. to better understand the extent of the compromise and assist potential victims.”
Microsoft identified the Russian group behind the attack as Nobelium, and said it was the same group responsible for the SolarWinds hack. Last month, the American government explicitly said that SolarWinds was the work of the S.V.R., one of the most successful spinoffs from the Soviet-era K.G.B.
The same agency was involved in the hacking of the Democratic National Committee in 2016, and before that, in attacks on the Pentagon, the White House email system and the State Department’s unclassified communications.
It has grown increasingly aggressive and creative, federal officials and experts say. The SolarWinds attack was never detected by the United States government, and was carried out through code implanted in network management software that the government and private companies use widely. When customers updated the SolarWinds software — much like updating an iPhone overnight — they were unknowingly letting in an invader.
Among the victims last year were the Departments of Homeland Security and Energy, as well as nuclear laboratories.
When Mr. Biden came to office, he ordered a study of the SolarWinds case, and officials have been working to prevent future “supply chain” attacks, in which adversaries infect software used by federal agencies. That is similar to what happened in this case, when Microsoft’s security team caught the hackers using a widely used email service, provided by a company called Constant Contact, to send malicious emails that appeared to come from genuine Agency for International Development addresses.
But the content was, at times, hardly subtle. In one email sent through Constant Contact’s service on Tuesday, the hackers highlighted a message claiming that “Donald Trump has published new emails on election fraud.” The email bore a link that, when clicked, drops malicious files onto the computers of the recipients.
Microsoft noted that the attack differed “significantly” from the SolarWinds hack, using new tools and tradecraft in an apparent effort to avoid detection. It said that the attack was still in progress and that the hackers were continuing to send spearphishing emails, with increasing speed and scope. That is why Microsoft took the unusual step of naming the agency whose email addresses were being used and of publishing samples of the fake email.
In essence, the Russians got into the Agency for International Development email system by routing around the agency and going directly after its software suppliers. Constant Contact manages mass emails and other communications on the aid agency’s behalf.
“Nobelium launched this week’s attacks by gaining access to the Constant Contact account of U.S.A.I.D.,” Mr. Burt of Microsoft wrote. Constant Contact could not be reached for comment.
Microsoft, like other major firms involved in cybersecurity, maintains a vast sensor network to look for malicious activity on the internet, and is frequently a target itself. It was deeply involved in revealing the SolarWinds attack.
In this case, Microsoft reported, the goal of the hackers was not to go after the State Department or the aid agency, but to use their connections to get inside groups that work in the field — and in many cases rank among Mr. Putin’s most potent critics.
“At least a quarter of the targeted organizations were involved in international development, humanitarian, and human rights work,” Mr. Burt wrote. While he did not name them, many such groups have revealed Russian action against dissidents, or protested the poisoning, conviction and jailing of Russia’s best-known opposition leader, Alexei A. Navalny.
Russia Appears to Carry Out Hack Through System Used by U.S. Aid Agency
The attack suggests Russia’s intelligence agencies are stepping up their campaign, perhaps to demonstrate that the country would not back down in the face of sanctions, the expulsion of diplomats and other pressure.
Mr. Biden raised the SolarWinds attack with Mr. Putin in a phone call last month, telling him that the sanctions and expulsions were a demonstration of how his administration would no longer tolerate an increased tempo of cyberoperations.
Mr. Putin has denied Russian involvement, and some Russian news outlets have argued that the United States launched the attack against itself.
At the time, the White House also placed a range of new sanctions on Russian individuals and assets, including new restrictions on purchasing Russia’s sovereign debt, which will make it more difficult for Russia to raise money and support its currency.
“This is the start of a new U.S. campaign against Russian malign behavior,” Treasury Secretary Janet L. Yellen said at the time.
Tensions over Russia’s harboring of cybercriminals escalated significantly this month after a ransomware group held hostage the business networks at Colonial Pipeline. The attack forced the company to shut down a pipeline that brings nearly half the gas, diesel and jet fuel to the East Coast, prompting a surge in gas prices and panic buying at the pump.
Mr. Biden said two weeks ago that “we have been in direct communication with Moscow about the imperative for responsible countries to take decisive action against these ransomware networks.” David E. Sanger & Nicole Perlroth | NYT