El Grupo de Análisis de Amenazas de Google ha revelado que piratas informáticos rusos utilizaron mensajes de LinkedIn para atacar a funcionarios del gobierno que poseían dispositivos de Apple.
Los hackers rusos que utilizaron mensajes de LinkedIn enmascararon previamente sus ataques bajo la apariencia de la Agencia de Estados Unidos para el Desarrollo Internacional y están vinculados a los hackers que vulneraron el software de gestión de redes informáticas SolarWinds, que comprometió a nueve agencias federales, según los profesionales de la ciberseguridad.
«En esta campaña, los atacantes utilizaron la mensajería de LinkedIn para dirigirse a funcionarios gubernamentales de países de Europa occidental enviándoles enlaces maliciosos», escribieron Maddie Stone y Clement Lecigne de Google en el blog del Grupo de Análisis de Amenazas. «Si el objetivo visitaba el enlace desde un dispositivo iOS, era redirigido a un dominio controlado por el atacante que servía las cargas útiles de la siguiente etapa».
Según los analistas, los piratas informáticos se dedicaron entonces a extraer información del uso que los funcionarios hacían de sitios web como Google, Microsoft, LinkedIn, Facebook y Yahoo.
Los detalles de la actividad de los piratas informáticos fueron hechos públicos por primera vez por Google el miércoles, en una revelación de los recientes hackeos que aprovechaban fallos previamente desconocidos, vulnerabilidades de día cero, que afectaban a navegadores web como Safari de Apple, Chrome de Google e Internet Explorer de Microsoft.
Google identificó a los piratas informáticos que se aprovecharon de LinkedIn como «un probable actor respaldado por el gobierno ruso» que, según Google, es el mismo actor de la amenaza que la empresa de ciberseguridad Volexity describió anteriormente como APT29, que está afiliado al Servicio de Inteligencia Exterior de Rusia (SVR).
Los hackers de APT29 que están detrás de la campaña de LinkedIn fueron observados anteriormente por Volexity dirigiéndose a organizaciones estadounidenses con enlaces maliciosos camuflados en correos electrónicos que parecían ser enviados por USAID. Los hackers rusos comprometieron una cuenta de USAID y la utilizaron para atacar 3.000 cuentas de correo electrónico de más de 150 organizaciones diferentes, según Microsoft, propietaria de LinkedIn.
Microsoft dijo en mayo que los piratas informáticos responsables de la filtración de USAID estaban detrás del hackeo del software de gestión de redes informáticas SolarWinds que comprometió a las agencias federales.
Aunque Google descubrió por primera vez la campaña de pirateo de LinkedIn en marzo, las revelaciones de infracciones significativas son constantes. Por ejemplo, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) dijo el martes que tenía conocimiento de «múltiples actores de amenazas» que explotaban una vulnerabilidad en el servicio Microsoft Windows Print Spooler que la agencia temía que «pudiera llevar a un compromiso total del sistema de las redes de las agencias si no se mitigaba».
La alerta de la CISA exigía una acción de emergencia por parte de los organismos civiles del poder ejecutivo, que incluía detener y desactivar el servicio Print Spooler antes de la medianoche del jueves.
Además de estos hacks, el Centro de Inteligencia de Amenazas de Microsoft dijo el martes que había observado a un grupo de hackers con sede en China lanzando «ataques limitados y dirigidos» contra el software de SolarWinds.
Esta oleada de ataques se produce cuando el gobierno de Biden se prepara para culpar oficialmente a alguien del ataque a los servidores de Microsoft Exchange, que Microsoft ha atribuido previamente a un grupo patrocinado por el Estado que opera desde China.
La viceconsejera de Seguridad Nacional, Anne Neuberger, declaró a finales del mes pasado que el gobierno federal identificaría en las próximas semanas a los piratas informáticos responsables de la violación de los servidores de Microsoft Exchange.