Guerra cibernética/ataques de Estado-nación, gestión de fraude y delitos cibernéticos, gestión de identidad y acceso Hackers del FSB despojados de 107 dominios utilizados para robar credencialesDavid Perera (@daveperera) •3 de octubre de 2024 Una operación de phishing lanzada del FSB ruso perdió más de 100 dominios. (Imagen: Shutterstock) El Departamento de Justicia de EE. UU. y Microsoft confiscaron más de 100 sitios web supuestamente utilizados por una operación de ciberespionaje de la inteligencia rusa con afición al phishing. Ver también: El estado de la seguridad de los activos: Descubriendo lagunas alarmantes y exposiciones inesperadas Investigadores federales dijeron a un juez federal de San Francisco que el actor de amenazas del Servicio Federal de Seguridad (identificado como Callisto Group, Coldriver y Star Blizzard) está apuntando a miembros del aparato de seguridad nacional. Los destinatarios de correos electrónicos maliciosos elaborados individualmente incluyen empleados actuales o anteriores de las agencias de inteligencia estadounidenses y del Pentágono, así como contratistas de defensa. La operación federal confiscó 41 dominios web, mientras que una orden judicial obtenida por Microsoft resultó en la confiscación de 66 dominios. En su demanda judicial, el gigante informático dijo que los piratas informáticos del FSB utilizaron los dominios para hacerse pasar por individuos conocidos por los objetivos y para publicar sitios web que imitaban las páginas de inicio de sesión de Microsoft. Las credenciales robadas son una oportunidad para acceder a las bandejas de entrada “para robar más credenciales, información personal e información confidencial para promover los intereses rusos”. Los piratas informáticos del Kremlin también implementaron el marco de código abierto Evilginx para recopilar cookies de sesión y evitar la autenticación multifactor. Microsoft dijo que observó que el actor de amenazas apuntaba a más de 30 organizaciones de la sociedad civil, incluidos periodistas, grupos de expertos y organizaciones no gubernamentales. Una investigación realizada por dos ONG publicada en agosto atribuyó a Callisto una campaña de phishing dirigida a disidentes rusos y grupos de derechos humanos en Estados Unidos y Europa (ver: Hackers rusos del FSB detrás de la campaña de espionaje dirigida a ONG). El actor de amenazas del FSB ha estado activo desde al menos 2017, llevando a cabo una campaña de casi 10 años contra legisladores británicos en múltiples partidos políticos (ver: Reino Unido y EE. UU. acusan al FSB ruso de la operación ‘Hack and Leak’). En diciembre, los fiscales federales acusaron a dos ciudadanos rusos por piratería informática del Grupo Callisto, uno de ellos un oficial del FSB. Un artículo de finales de 2023 publicado por los países de habla inglesa que integran la alianza de inteligencia Five Eyes advertía que el grupo todavía estaba activo. Es poco probable que la incautación del jueves de 107 dominios signifique el fin de la actividad de phishing lanzado por Callisto Group. «Una vez que su infraestructura activa queda expuesta, rápidamente realizan una transición a nuevos dominios para continuar con su operación», dijo Microsoft. Incluso si los efectos son temporales, el momento de las incautaciones llega «en un momento crítico en el que la interferencia extranjera en los procesos democráticos estadounidenses es de suma preocupación», añadió Microsoft. «La reconstrucción de la infraestructura lleva tiempo, absorbe recursos y cuesta dinero». Durante la cuenta regresiva para las elecciones presidenciales de EE. UU. del 5 de noviembre de 2024, el gobierno federal impuso sanciones adicionales a los medios estatales rusos y desmanteló una red de desinformación impulsada por inteligencia artificial dirigida por la agencia de inteligencia nacional rusa y afiliados de una agencia estatal. locutor de propaganda (ver: Estados Unidos desbarata operación rusa de desinformación impulsada por IA). URL de la publicación original: https://www.databreachtoday.com/us-microsoft-seize-domains-used-in-russian-spear-phishing-a-26443