Hacker en Microsoft Teams

Hacker en Microsoft Teams iStock-Omicrono Omicrono

Software

Hackers rusos ocultos en Microsoft Teams: roban datos fingiendo ser del soporte técnico

La banda Midnight Blizzard estaría detrás de los ataques phishing que persiguen robar credenciales para atacar ONGs y gobiernos occidentales.

3 agosto, 2023 09:39

La actividad de los hackers prorrusos contra occidente no cesa. Después de la avalancha de hackeos sufridos por instituciones y empresas en España, entre ellas El Español, con motivo de las elecciones generales, se descubre un nuevo foco. Microsoft alerta de los ciberataques phishing que un grupo de piratas vinculados al Kremlin están realizando a través de una de sus herramientas más populares, el sistema de videollamadas, Teams.

Según informa la compañía estadounidense, un grupo de hackers vinculados al gobierno ruso está llevando a cabo una campaña de ciberataques contra al menos 40 de organizaciones globales. Para ello, los piratas informáticos están engañando a algunos usuarios a través de los chats de Microsoft Teams, fingiendo ser parte del soporte técnico para robar sus claves de acceso. 

La campaña de phishing se ha atribuido a la banda de hackers Midnight Blizzard o APT29. Su sede está en Rusia y los gobiernos de Reino Unido y EEUU los han vinculado con los servicios de inteligencia del Kremlin. Microsoft no detalla los objetivos concretos de los hackers, pero señala a organizaciones no gubernamentales (ONG), servicios de TI, gobiernos o empresas de tecnología y fabricación, así como medios de comunicación. Estos objetivos, europeos y estadounidenses, figuran en el historial de Midnight Blizzard desde 2018.

El ataque

En el informe presentado por los investigadores de Microsoft, se describen cómo los ataques phishing consistía en configurar dominios y cuentas para hacerse pasar por el soporte técnico de Microsoft Teams y engañar a los usuarios de Teams en los chats hasta conseguir que les dieran sus credenciales para iniciar sesión con el sistema de autentificación multifactor (MFA). Los piratas informáticos utilizaron cuentas de Microsoft 365 ya comprometidas propiedad de pequeñas empresas para crear nuevos dominios que parecían ser soporte técnico usando la marca de Microsoft. 

Los MFA se utilizan cada día en un grupo más amplio de plataformas y aplicaciones para reforzar la seguridad de las personas y sus cuentas. Consiste en un doble muro de acceso, tras indicar el usuario y la contraseña tradicionales, el sistema manda un código por correo o SMS, incluso a través de la misma aplicación en otros dispositivos para comprobar que se trata del dueño legítimo.

Captura de uno de los dominios hackeados de Microsoft

Captura de uno de los dominios hackeados de Microsoft Microsoft Omicrono

Así, herramientas como WhatsApp, Twitter o las aplicaciones bancarias se aseguran que no sea fácil robar una cuenta aunque se tenga la contraseña de esa persona. No obstante, los ciberdelincuentes encuentran la forma de sortear ese doble sistema de seguridad. Ya lo dicen los expertos en ciberseguridad, nadie está protegido al 100% de ser atacado.

Defensa

Tras descubrir el engaño, Microsoft asegura haber mitigado el uso de estos dominios falsos por parte de los hackers y está investigando el impacto de la campaña de ciberataques. Al mismo tiempo, desde Teams explican a Reuters que los hackers prorrusos están encontrando nuevas formas de superar las barreras de la empresa estadounidense.

Los usuarios de la aplicación poco pueden hacer salvo intensificar el cuidado a la hora de dar credenciales a través de la red. "Alentamos a los clientes a practicar buenos hábitos informáticos en línea, lo que incluye tener precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos" ha dicho Microsoft a Bleeping Computer.

También te puede interesar...