Microsoft ha anunciado la incautación de docenas de dominios utilizados en los ataques del grupo Nickel de APT con sede en China contra gobiernos y ONG en Europa, las Américas y el Caribe.
En dos publicaciones de blog publicadas el lunes, el vicepresidente de Microsoft, Tom Burt, la Unidad de Delitos Digitales de Microsoft y el Centro de Inteligencia de Amenazas de Microsoft dijeron que han estado rastreando a Nickel desde 2016 y que un tribunal federal en Virginia accedió a la solicitud de la compañía de incautar sitios web que el grupo estaba utilizando para atacar organizaciones en los EE. UU. y otros países.
Burt explicó que el 2 de diciembre, la compañía presentó demandas en el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia que les permitiría «cortar el acceso de Nickel a sus víctimas y evitar que los sitios web se utilicen para ejecutar ataques».
“Creemos que estos ataques se utilizaron en gran medida para recopilar inteligencia de agencias gubernamentales, grupos de expertos y organizaciones de derechos humanos”, dijo Burt.
“El tribunal otorgó rápidamente una orden que se reveló hoy luego de la finalización del servicio en los proveedores de alojamiento. Obtener el control de los sitios web maliciosos y redirigir el tráfico de esos sitios a los servidores seguros de Microsoft nos ayudará a proteger a las víctimas actuales y futuras mientras aprendemos más sobre las actividades de Nickel. Nuestra interrupción no evitará que Nickel continúe con otras actividades de piratería, pero creemos que hemos eliminado una pieza clave de la infraestructura en la que el grupo ha estado confiando para esta última ola de ataques».
Los ataques, que involucraron la inserción de malware difícil de detectar que permitió intrusiones, vigilancia y robo de datos, se dirigieron a organizaciones en Argentina, Barbados, Bosnia y Herzegovina, Brasil, Bulgaria, Chile, Colombia, Croacia, República Checa, República Dominicana, Ecuador, El Salvador, Francia, Guatemala, Honduras, Hungría, Italia, Jamaica, Malí, México, Montenegro, Panamá, Perú, Portugal, Suiza, Trinidad y Tobago, Reino Unido, Estados Unidos y Venezuela.
El Centro de inteligencia de amenazas de Microsoft descubrió que, a veces, Nickel podía comprometer a los proveedores de VPN u obtener credenciales robadas. Al mismo tiempo, aprovecharon los sistemas Exchange Server y SharePoint sin parches en otras instancias.
La compañía señaló que no se utilizaron nuevas vulnerabilidades en los productos de Microsoft como parte de los ataques. Pero una vez que los atacantes estaban dentro de una red, buscaban formas de obtener acceso a cuentas de mayor valor u otros puntos de apoyo en el sistema. Microsoft dijo que vieron a los actores de Nickel usando Mimikatz, WDigest, NTDSDump y otras herramientas de descarga de contraseñas durante los ataques.
«A menudo existe una correlación entre los objetivos de Nickel y los intereses geopolíticos de China. Otros en la comunidad de seguridad que han investigado a este grupo de actores se refieren al grupo con otros nombres, incluidos ‘KE3CHANG’, ‘APT15’, ‘Vixen Panda’, ‘Royal APT’ y ‘Dragón juguetón'», explicó Burt.
«Los ataques a los estados-nación continúan proliferando en número y sofisticación. Nuestro objetivo en este caso, como en nuestras interrupciones anteriores que apuntaron a Bario, que opera desde China, Estroncio, que opera desde Rusia, Fósforo, que opera desde Irán, y Talio, que opera desde el Norte. Corea, es acabar con la infraestructura maliciosa, comprender mejor las tácticas de los actores, proteger a nuestros clientes e informar el debate más amplio sobre las normas aceptables en el ciberespacio».
Burt agregó que, hasta el momento, Microsoft ha presentado 24 demandas que les permitieron eliminar más de 10 000 sitios web maliciosos de ciberdelincuentes y casi 600 de grupos de estados nacionales.
Jake Williams, CTO de BreachQuest, señaló que las técnicas utilizadas por Nickel después del acceso inicial son bastante sencillas, mientras que muchas de las otras herramientas están fácilmente disponibles y son ampliamente utilizadas por los probadores de penetración.
«Si bien NICKEL ciertamente tiene acceso a herramientas que son mucho más capaces, recurren a estas herramientas comunes porque funcionan», dijo Williams. «Que estas herramientas fácilmente disponibles puedan operar habla del nivel de seguridad en las redes de destino».