El Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia ha revelado hoy (3 de octubre) una acción civil interpuesta por la Unidad de Delitos Digitales (DCU) de Microsoft, que incluye una orden que le permite confiscar 66 dominios únicos utilizados por el actor de amenazas estatal ruso conocido como Estrella Blizzard, Coldriver y Callisto. Se alega que Star Blizzard utilizó estos dominios para espiar a los clientes de Microsoft en todo el mundo en una larga campaña realizada mediante intentos de phishing dirigidos. Entre las víctimas se incluyen múltiples organizaciones individuales de la sociedad civil, como periodistas y medios de comunicación, organizaciones no gubernamentales (ONG) y grupos de expertos. La demanda se presenta junto con el Centro de análisis e intercambio de información de ONG (NGOISAC) en coordinación con el Departamento de Justicia de EE. UU. (DOJ), que a su vez ya se ha incautado de 41 dominios adicionales atribuidos a Star Blizzard hoy. En total, esto significa que se eliminarán más de 100 sitios web maliciosos, ampliando el alcance de la interrupción de la actividad de Star Blizzard. «Si bien esperamos que Star Blizzard siempre establezca nueva infraestructura, la acción de hoy impacta sus operaciones en un momento crítico en el que la interferencia extranjera en los procesos democráticos de Estados Unidos es de suma preocupación», dijo el asesor general adjunto de Microsoft DCU, Steven Masada. “También nos permitirá alterar rápidamente cualquier infraestructura nueva que identifiquemos a través de un procedimiento judicial existente. Además, a través de esta acción civil y descubrimiento, la DCU de Microsoft y Microsoft Threat Intelligence recopilarán información valiosa adicional sobre este actor y el alcance de sus actividades, que podremos utilizar para mejorar la seguridad de nuestros productos, compartir con socios intersectoriales para ayudar. en sus propias investigaciones e identificar y ayudar a las víctimas con los esfuerzos de reparación”, dijo. Descrito como “implacable” por Microsoft, las operaciones de Star Blizzard se remontan a 2017, aunque en los últimos dos años el grupo ha ampliado enormemente sus capacidades, que se han desplegado contra objetivos no solo en Estados Unidos sino en todo el bloque de la OTAN. El año pasado, el Reino Unido vinculó oficialmente a Star Blizzard con la agencia rusa FSB y sancionó a dos personas, denominadas Andrey Stanislavovich Korinets y Ruslan Aleksandrovich Peretyatko, asociadas con el trabajo de la operación contra objetivos en el Reino Unido, que incluía ataques de piratería y filtraciones antes del general de 2019. elección. Lo más famoso es que, como lo expone el informe de investigación de Computer Weekly, el grupo también atacó a un ex jefe del MI6 y robó y publicó miles de correos electrónicos de una red de partidarios duros del Brexit, supuestamente como venganza por el apoyo del ex primer ministro Boris Johnson a Ucrania. Masada dijo que a pesar de los reveses y sanciones ya impuestas a Star Blizzard antes de hoy, la operación se ha mantenido notablemente persistente. Sus agentes estudian meticulosamente sus objetivos y falsifican las identidades de contactos de confianza para ganarse su confianza y lograr sus objetivos. Ahora cree que 82 de sus clientes han sido atacados desde enero de 2023, a un ritmo de aproximadamente un ataque cada semana. “Esta frecuencia subraya la diligencia del grupo a la hora de identificar objetivos de alto valor, elaborar correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales. Sus víctimas, a menudo inconscientes de la intención maliciosa, interactúan sin saberlo con estos mensajes, lo que pone en peligro sus credenciales. Estos ataques agotan los recursos, obstaculizan las operaciones y avivan el miedo entre las víctimas, todo lo cual obstaculiza la participación democrática”, afirmó Masada. Un desafío adicional para llegar a este punto ha sido la capacidad de Star Blizzard para adaptarse y ofuscar sus actividades e identidad. Realiza una transición rápida de su infraestructura a nuevos dominios cada vez que se expone, y se ha observado que lo hace nuevamente después de la publicación de un informe sobre su trabajo en agosto de 2024 por The Citizen Lab de la Escuela Munk de la Universidad de Toronto y el organismo de derechos digitales Access Now. Misión compartida Masada continuó: “La acción de hoy es un ejemplo del impacto que podemos tener contra el cibercrimen cuando trabajamos juntos. Aplaudimos al Departamento de Justicia por su colaboración en este y otros asuntos importantes, y alentamos a los gobiernos de todo el mundo a involucrarse y acoger a socios de la industria, como Microsoft, en una misión compartida de combatir amenazas cada vez más sofisticadas que operan en el ciberespacio. «La DCU de Microsoft continuará nuestros esfuerzos para alterar proactivamente la infraestructura cibercriminal y colaborar con otros en el sector privado y con la sociedad civil, agencias gubernamentales y autoridades policiales para luchar contra aquellos que buscan causar daño». Como mejor práctica, Microsoft recomienda a todos los grupos de la sociedad civil que refuercen sus protecciones de seguridad, agreguen autenticación multifactor (MFA) en cuentas de correo electrónico personales y profesionales e inscriban el programa Microsoft AccountGuard, que ofrece protecciones adicionales personalizadas. Sin embargo, dijo Redmond, estos esfuerzos deben ir acompañados de la aplicación de normas internacionales para limitar los ciberataques respaldados por Estados-nación, en particular aquellos que apuntan a procesos democráticos. Señaló que Star Blizzard, y por extensión Rusia, está violando claramente el Marco de las Naciones Unidas para el comportamiento estatal responsable en línea.