La Unidad de Delitos Digitales (DCU) de Microsoft ha interrumpido las actividades de un grupo de piratería con sede en China que llamamos Nickel. En documentos que fueron revelados esta semana, un Tribunal Federal en Virginia ha concedido la solicitud de incautación de los sitios web que Nickel utilizó para atacar a organizaciones de los Estados Unidos, Argentina, Barbados, Bosnia y Herzegovina, Brasil, Bulgaria, Chile, Colombia, Croacia, República Checa, República Dominicana, Ecuador, El Salvador, Francia, Guatemala, Honduras, Hungría, Italia, Jamaica, Malí, México, Montenegro, Panamá, Perú, Portugal, Suiza, Trinidad y Tobago, Reino Unido y Venezuela, lo que permite cortar el acceso de Nickel a sus víctimas y evitar que los sitios web se utilicen para ejecutar ataques. Microsoft considera que estos ataques se estaban utilizando en gran medida para la recopilación de inteligencia de agencias gubernamentales, grupos de expertos y organizaciones de derechos humanos.
El 2 de diciembre, Microsoft presentó alegatos ante el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia en busca de autoridad para tomar el control de los sitios. El tribunal concedió rápidamente una orden que se abrió hoy tras la finalización del servicio a los proveedores de alojamiento. Obtener el control de los sitios web maliciosos y redirigir el tráfico de esos sitios a los servidores seguros de Microsoft ayudará a proteger a las víctimas existentes y futuras mientras aprendemos más sobre las actividades de Nickel. Dicha interrupción no impedirá que Nickel continúe con otras actividades de piratería, pero Microsoft cree que ha eliminado una pieza clave de la infraestructura en la que el grupo ha estado confiando para esta última ola de ataques.
El DCU de Microsoft ha sido pionero en el uso de esta estrategia legal contra los ciberdelincuentes y, más recientemente, contra los piratas informáticos de los estados-nación. Hasta la fecha, en 24 demandas, cinco contra actores del estado-nación, hemos bloqueado más de 10,000 sitios web maliciosos utilizados por ciberdelincuentes y casi 600 sitios utilizados por actores del estado-nación. Microsoft también ha bloqueado con éxito el registro de 600,000 sitios para adelantarse a los actores criminales que planeaban usarlos maliciosamente en el futuro.
El Centro de Inteligencia de Amenazas (MSTIC) de Microsoft ha rastreado a Nickel desde 2016 y ha estado analizando esta actividad específica desde 2019. Al igual que con cualquier actividad observada de un actor estatal-nación, Microsoft continúa enviando notificaciones a los clientes que han sido atacados o comprometidos, cuando es posible, proporcionándoles la información que necesitan para ayudar a proteger sus cuentas.
Los ataques observados por MSTIC son muy sofisticados y utilizan una variedad de técnicas, pero casi siempre tenían un objetivo: insertar malware difícil de detectar que facilite la intrusión, la vigilancia y el robo de datos. A veces, los ataques de Níquel utilizaban proveedores de redes privadas virtuales (VPN) de terceros comprometidos o credenciales robadas obtenidas de campañas de spear phishing.
En algunas actividades observadas, el malware Nickel usó exploits dirigidos a sistemas Exchange Server y SharePoint locales sin parchear. Sin embargo, se han observado nuevas vulnerabilidades en los productos de Microsoft como parte de estos ataques. Microsoft ha creado firmas únicas para detectar y proteger de la actividad conocida de Nickel a través de sus productos de seguridad, como Microsoft 365 Defender.
Nickel se ha dirigido a organizaciones del sector público y privado, incluidas organizaciones diplomáticas y ministerios de relaciones exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África. A menudo hay una correlación entre los objetivos de Nickel y los intereses geopolíticos de China. Otros miembros de la comunidad de seguridad que han investigado a este grupo de actores se refieren al grupo con otros nombres, incluidos «KE3CHANG», «APT15», «Vixen Panda», «Royal APT» y «Playful Dragon».
Los ataques de los Estados-nación continúan proliferando en número y sofisticación. El objetivo de Microsoft, en este caso, como en interrupciones anteriores dirigidas a Barium, que opera desde China, Strontium, que opera desde Rusia, Phosphorus, que opera desde Irán, y Thallium, que opera desde Corea del Norte, es derribar la infraestructura maliciosa, comprender mejor las tácticas de los actores, proteger a los clientes e informar el debate más amplio sobre las normas aceptables en el ciberespacio.
«Seguiremos siendo implacables en nuestros esfuerzos para mejorar la seguridad del ecosistema y continuaremos compartiendo la actividad que vemos, independientemente de dónde se origine», dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente.
Tom Burt dice que ninguna acción individual de Microsoft o de cualquier otra persona en la industria detendrá la marea de ataques que hemos visto de los estados-nación y los ciberdelincuentes que trabajan dentro de sus fronteras.
«Necesitamos que la industria, los gobiernos, la sociedad civil y otros se unan y establezcan un nuevo consenso sobre lo que es y no es un comportamiento apropiado en el ciberespacio. Nos sentimos alentados por los progresos recientes. El mes pasado, Estados Unidos y la Unión Europea se unieron al Llamado de París para la Confianza y la Seguridad en el Ciberespacio, la confirmación de múltiples partes interesadas más grande del mundo de los principios básicos de la ciberseguridad con más de 1.200 patrocinadores», dijo Burt.
El Proceso de Oxford ha reunido a algunas de las mejores mentes jurídicas para evaluar la aplicación del derecho internacional al ciberespacio. Y las Naciones Unidas han adoptado medidas fundamentales para promover el diálogo entre las partes interesadas. «Es nuestra responsabilidad, y la de cada entidad con la experiencia y los recursos relevantes, hacer todo lo posible para ayudar a reforzar la confianza en la tecnología y proteger el ecosistema digital».
