Microsoft ha dado un importante golpe a la estrategia de ciberataques de Rusia, que ha cumplido un rol clave en la guerra de Ucrania. La compañía de Redmond anunció el bloqueo a múltiples intentos de ataque por parte del grupo hacker Strontium, que tiene lazos con el GRU, el servicio de inteligencia militar ruso.
La compañía tomó control sobre siete dominios de internet utilizados por los piratas patrocinados por el Kremlin para coordinar ataques. "Desde entonces, los hemos redirigido a un sumidero controlado por Microsoft, lo que nos permite mitigar el uso actual de estos dominios por parte de Strontium y notificar a las víctimas", explicaron.
El principal objetivo de Strontium era lanzar ataques informáticos contra blancos ucranianos, pero no se limitaba a ello. Los expertos en ciberseguridad de Microsoft indicaron que la mira también estaba puesta sobre entes gubernamentales y think tanks de Estados Unidos y la Unión Europea involucrados en política exterior.
Y si bien los ciberataques bloqueados guardarían relación directa con la guerra de Ucrania, la compañía estadounidense consideran que formaban parte de una estrategia sostenible en el tiempo. "Creemos que Strontium estaba intentando establecer un acceso a largo plazo a los sistemas de sus objetivos, brindar apoyo táctico para la invasión física y extraer información confidencial", publicaron los de Redmond.
Microsoft da un mazazo a la estrategia hacker de Rusia
Lo que Microsoft ha logrado no es algo menor, claramente. Strontium se ha convertido en uno de los grupos hacker con patrocinio estatal más activos de los últimos años. El mismo, también identificado como Fancy Bear o APT28, ha hackeado oficinas gubernamentales, partidos políticos y servicios de defensa en distintas partes del mundo; uno de sus ataques más resonantes de los últimos años ha sido contra el Comité Nacional Demócrata, durante la campaña de Hillary Clinton en busca de la presidencia de Estados Unidos.
Y a esto hay que sumarles distintas campañas de gran magnitud para la distribución de malware y phishing. Al punto tal que Google vio un importante aumento en las alertas relacionadas a software malicioso y suplantación de identidad durante 2021.
Pero más allá de la importancia de lo conseguido por Microsoft esta semana, el trabajo está lejos de terminado. De hecho, los de Redmond indicaron que su más reciente bloqueo a los ciberataques rusos es parte de una planificación a largo plazo que comenzó en 2016; esto les ha permitido tomar control sobre más de 100 dominios controlados por Strontium, hasta el momento.
No obstante, es importante remarcar que la compañía estadounidense no está abordando este trabajo en "modo justiciero", sino a través de un marco legal. Por dicho motivo, Microsoft necesita obtener órdenes judiciales antes de actuar contra los piratas informáticos. Y si bien es inevitable pensar que la burocracia puede ralentizar las operaciones, en realidad no es así. "Hemos establecido un proceso legal que nos permite obtener decisiones judiciales rápidas para este trabajo", aseveraron los dirigidos por Satya Nadella; y agregaron: "En las próximas semanas esperamos brindar una visión más completa del alcance de la guerra cibernética en Ucrania".
Otro golpe a los hackers del Kremlin
El bloqueo de Microsoft a los ciberataques de Strontium no ha sido el único golpe a los grupos hackers patrocinados por Rusia. Esta semana, el FBI anunció que eliminó "silenciosamente" un malware creado por el GRU y supuestamente destinado a crear botnets.
Según publicó The New York Times, la agencia de investigación criminal trabajó junto al Departamento de Justicia para desconectar la red. Para ello se sirvieron de órdenes judiciales secretas, indica el citado medio. "Afortunadamente, pudimos interrumpir esta botnet antes de que pudiera usarse", indicó Merrick Garland, fiscal general de Estados Unidos.