Representación de un hacker.
Microsoft advierte de hackers rusos apoyados por Putin interceptando comunicaciones entre diplomáticos locales
Un grupo de atacantes patrocinados por el Kremlin estarían haciendo estragos entre políticos ubicados en embajadas por el país.
Más información: ¿Sabrías detectar una imagen por IA?: este test Microsoft lo suspenden casi el 40% de los usuarios
Microsoft lleva unas semanas moviditas en lo que a ciberseguridad refiere. En mayo detectaron un peligroso virus ruso en casi 400.000 ordenadores y hace días, descubrieron otro fallo más, esta vez en macOS, ya solucionado. Ahora la firma de Redmond advierte sobre hackers rusos contra diplomáticos.
El grupo Microsoft Threat Intelligence ha podido averiguar la existencia de una campaña de ciberespionaje de un grupo de hackers espías, con respaldo del gobierno de Putin, que ha estado atacando embajadas en Moscú con malware oculto como si fuera un antivirus.
El grupo llamado Secret Blizzard ha estado distribuyendo el malware conocido como ApolloShadow, que según Microsoft, "tiene la capacidad de instalar un certificado raíz de confianza para engañar dispositivos y hacerlos confiar en sitios controlados por actores maliciosos".
Hackers rusos contra diplomáticos en Moscú
Microsoft relata que este grupo estaría llevando dicha campaña a cabo desde al menos 2024. Su objetivo último es la de instalar este certificado raíz para "suplantar criptográficamente" páginas web otrora confiables por otras infectadas dentro de la propia embajada.
Esta clase de ataques conocidos como "Ataques de Adversario en el medio" (Adversary in the Middle) se dan cuando hackers realizan labores de espionaje recabando información de comunicaciones entre dos partes.
La mayoría de ataques AiTM se valen de campañas de correos electrónicos o técnicas de ingeniería social para o bien interceptar directamente estas comunicaciones o infectar los equipos en los que se dan para así robar información.
Microsoft pone el ojo sobre el personal diplomático que usa proveedores de servicios de internet locales en Moscú, o en su defecto sistemas de telecomunicaciones rusos, aprovechando precisamente las herramientas y sistemas de interceptación nacionales del país.
Estructura de la instalación de ApolloShadow. Omicrono
El grupo no es desconocido ni para Microsoft ni para la CISA, que relacionó Secret Blizzard con el Servicio Federal de Seguridad Ruso. De hecho, no es ni mucho menos el único grupo que Microsoft está rastreando en estos momentos de índole similar.
Además de todo esto, Microsoft advierte que estos ataques suponen un altísimo riesgo para estas embajadas y entidades, especialmente porque uno de los métodos implica disfrazar este software malicioso como si fuera un antivirus de la firma Kaspersky.
![Un trabajador de oficina con la pantalla azul tras el fallo de Crowdstrike.](["https:\/\/s3.elespanol.com\/2024\/07\/19\/omicrono\/software\/871673659_247919613_320x180.jpg"])
Bajo esta apariencia, Secret Blizzard se vale de los métodos de interceptación legal del Kremlin, redirigiendo los dispositivos objetivo "colocándolos tras un portal cautivo". Estos portales son páginas web legítimas diseñadas para gestionar el acceso a la red.
Podríamos definir estas webs como las que nos encontramos cuando queremos conectarnos a WiFi públicos, como los de un hotel o un aeropuerto. De ahí salta el servicio de Estado de Conectividad de Prueba de Windows (WTI).
Flujo de ejecución de ApolloShadow. Omicrono
El servicio en cuestión "determina si un dispositivo tiene acceso a Internet mediante el envío de una solicitud HTTP GET a hxxp://www.msftconnecttest[.].com/redirect, lo que debería redirigir a la página de MSN de Microsoft.
Cuando el sistema abre la ventana del navegador a esa dirección, se redirige directamente a otro dominio, independiente, controlado por el grupo de hackers que muestra un error de validación. Ahí es cuando pide descargar el software.
![Oficinas de Microsoft en Múnich (Alemania).](["https:\/\/s3.elespanol.com\/2023\/01\/18\/actualidad\/734686995_230238423_320x180.jpg"])
Lo que espera Secret Blizzard es que se ejecute ApolloShadow, que comprueba el nivel de privilegios del ProcessToken y si este detecta que no se está ejecutando con la configuración de administración.
Por último, se muestra una ventana emergente para solicitar la instalación de certificados, que se hace pasar por el instalador de Kaspersky para instalar los certificados raíz.
Mensaje emergente del certificado raíz. Omicrono
Lo más llamativo es que Microsoft ya había determinado "en un bajo nivel de confianza) que Secret Blizzard estaba realizando labores de ciberespionaje patrocinado por Moscú dentro de Rusia, contra diplomáticos políticos.
Ahora, han confirmado que pueden hacerlo a nivel de Proveedor de Servicios de Internet o ISP. Así, todo aquel diplomático en una embajada que use telecomunicaciones locales o un ISP ruso, estará posiblemente expuesto ante las amenazas.
