Nuevos pasos para proteger a los clientes contra el hackeo

Por: Tom Burt, vicepresidente corporativo de confianza y seguridad para el consumidor

Documentos judiciales fueron abiertos en los que se detalla la labor que la Unidad de Crímenes Digitales de Microsoft ha ejecutado para interrumpir ataques cibernéticos de un grupo de amenazas llamado Phosphorus, también conocido como APT 35, Charming Kitten, y Ajax Security Team, que está asociado de manera amplia con hackers iraníes. Nuestro caso judicial contra Phosphorus, presentando en el Tribunal de Distrito de los Estados Unidos de Washington, D.C., resultó en una orden de la corte que nos permitió hace unos días tomar control de 99 sitios web que el grupo utiliza para realizar sus operaciones de hackeo para que los sitios ya no puedan volver a ser utilizados para ejecutar ataques.

La Unidad de Crímenes Digitales de Microsoft (DCU, por sus siglas en inglés) y Microsoft Threat Intelligence Center (MSTIC) han dado seguimiento a Phosphorus desde 2013. Su actividad está diseñada por lo general para obtener acceso a los sistemas de cómputo de negocios y agencias de gobierno y robar información sensible. Sus objetivos también incluyen activistas y periodistas, en especial aquellos involucrados en defensa y reporteo de temas relacionados con el Medio Este.

Por lo general, Phosphorus busca comprometer las cuentas personales de individuos a través de una técnica conocida como spear-phishing (ataque dirigido a una organización o grupo de personas), a través del uso de ingeniería social para atraer a alguien a que dé clic a una liga, enviada en ocasiones a través de cuentas falsas de redes sociales que parecen ser de contactos conocidos. La liga contiene software malicioso que da acceso a Phosphorus a sistemas computacionales.

Phosphorus también utiliza una técnica donde envía a la gente un email en el que se hace parecer que hay un riesgo de seguridad en sus cuentas, los invita a ingresar sus credenciales en una forma web que permite al grupo capturar sus contraseñas y obtener acceso a sus sistemas.

Ambos métodos de ataque emplean el uso de sitios web que incorporan los nombres de marcas reconocidas, como Microsoft, para que parezcan auténticos. Sitios web registrados y utilizados por Phosphorus incluyen, por ejemplo, outlook-verify.net, yahoo-verify.net, verification-live.com, y myaccount-services.net.

Aunque hemos utilizado rastreo analítico diario de seguridad para detener ataques individuales de Phosphorus y notificar a los clientes impactados, la acción que ejecutamos hace unos días nos permitió tomar control de sitios web que son centrales para sus operaciones. Nuestro trabajo para dar seguimiento a Phosphorus durante varios años y observar su actividad nos permitió construir un caso legal decisivo y ejecutar la acción arriba descrita con la confianza de que tendríamos un impacto significativo en la infraestructura del grupo.

Esta acción nos permitió tomar control de 99 sitios web y redirigir tráfico de dispositivos infectados a nuestro pozo en la Unidad de Crímenes Digitales. La inteligencia que recolectamos de este pozo será a agregada a la información existente de MSTIC sobre Phosphorus y compartida con los productos y servicios de seguridad de Microsoft para mejorar las detecciones y protecciones para nuestros clientes.

Durante el seguimiento a Phosphorus, trabajamos de cerca con otras compañías de tecnología, incluida Yahoo, para compartir información de amenazas y detener los ataques en conjunto. Estamos agradecidos por su asociación. También trabajamos con cada empresa de listado de dominios que figura en nuestra demanda antes de presentarla y estamos agradecidos por su soporte y ayuda en transferir a nosotros los dominios de sitio web registrados por Phosphorus una vez que fue concedida la orden de la cote. Nuestro caso contra Phosphorus es similar a casos que hemos presentado contra otro grupo de amenazas llamado Strontium. Hemos utilizado este modo de actuar 15 veces para tomar control de 91 sitios web falsos asociados con Strontium. Los archivos legales en nuestro caso contra Phosphorus pueden ser encontrados aquí.