Hackers rusos e iraníes atacan a políticos y periodistas

El Centro Nacional de Seguridad Cibernética (NCSC). (Foto de Carl Court/Getty Images)

imágenes falsas

Los piratas informáticos vinculados al estado en Rusia e Irán han estado apuntando a políticos, periodistas y otros en el Reino Unido y en otros lugares a través de una campaña de phishing de lanza 'sofisticada'.

El Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) del Reino Unido identificó a dos grupos de piratería, Seaborgio con sede en Rusia y TA453 con sede en Irán, como los culpables y emitió una alerta advirtiendo a las organizaciones de defensa, los medios y el gobierno que no hagan clic en enlaces maliciosos.

“Estas campañas de actores de amenazas con sede en Rusia e Irán continúan persiguiendo despiadadamente a sus objetivos en un intento de robar credenciales en línea y comprometer sistemas potencialmente sensibles”, dice el director de operaciones de NCSC, Paul Chichester.

"Recomendamos encarecidamente a las organizaciones e individuos que se mantengan atentos a los posibles enfoques y sigan los consejos de mitigación en el aviso para protegerse en línea".

Si bien los dos grupos han estado activos durante algún tiempo, se cree que han intensificado sus operaciones de manera significativa desde la invasión de Ucrania por parte de Rusia, apuntando a personas en los EE. UU. y en otros lugares, así como en el Reino Unido.

Y se toman algunas molestias para hacer esto, con el NCSC describiendo la campaña como particularmente elaborada y sofisticada.

Los grupos investigan sus objetivos en detalle, identifican sus contactos y luego falsifican perfiles de redes sociales o redes para hacerse pasar por expertos respetados, crean invitaciones falsas a conferencias o eventos y fingen enfoques de periodistas.

"Tanto Seabordium como TA453 usan direcciones de correo web de diferentes proveedores (incluidos Outlook, Gmail y Yahoo) en su enfoque inicial, haciéndose pasar por contactos conocidos del objetivo o nombres eminentes en el campo de interés o sector del objetivo", dice el NCSC.

"Los actores también han creado dominios maliciosos que se asemejan a organizaciones legítimas para parecer auténticos".

El NCSC dice que, inusualmente, son las cuentas de correo electrónico personales de las víctimas las que están dirigidas, en lugar de sus cuentas oficiales de trabajo. Esto, dice, no solo pasa por alto cualquier control de seguridad, sino que también significa que es menos probable que la víctima esté en guardia.

Después de desarrollar una relación con su objetivo, los grupos comparten enlaces maliciosos, a menudo en forma de URL de reunión de Zoom. En un ejemplo, TA453 configuró una llamada Zoom con el objetivo para compartir la URL maliciosa en la barra de chat durante la llamada.

Luego, las credenciales de la víctima se incautan y se utilizan para iniciar sesión en las cuentas de correo electrónico de los objetivos, donde los piratas informáticos pueden acceder y robar correos electrónicos y archivos adjuntos de la bandeja de entrada de la víctima. También configuraron el reenvío de correo, lo que les permitió ver la correspondencia en curso, y también pudieron acceder a los datos de la lista de correo y las listas de contactos de las víctimas.

Esta información se utiliza luego para la orientación de seguimiento y otras actividades de phishing.

El año pasado se descubrió que el grupo Seabordium, también conocido como Cold River y Callisto, tenía como objetivo tres laboratorios de investigación nuclear en los EE. UU., y también fue acusado de piratear y filtrar correos electrónicos del ex director del MI6 Richard Dearlove.

Mientras tanto, TA453, también conocido como Charming Kitten, ha sido acusado de atacar a políticos estadounidenses y organizaciones de infraestructura nacional.

"Recomendamos encarecidamente a las organizaciones e individuos específicos que se mantengan alerta y tomen medidas para asegurar las cuentas en línea", advierte el NCSC, y les dice a las personas que estén en guardia y que usen contraseñas seguras y autenticación de dos factores (2FA).

Tanto Irán como Rusia han negado cualquier conexión con los grupos de piratería.