La Unidad de Crímenes Digitales de Microsoft (DCU) ha desmantelado la infraestructura tecnológica utilizada por un actor vinculado al Estado ruso, al que Microsoft Threat Intelligence – Inteligencia de Amenazas de Microsoft- rastreaba bajo el nombre de Star Blizzard. Hoy, el Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia ha hecho pública una demanda civil presentada por la DCU de Microsoft, que incluye una orden que autoriza a la compañía a incautar 66 dominios que Star Blizzard utilizaba para llevar a cabo ciberataques contra sus clientes en todo el mundo, incluido EE.UU. Entre enero de 2023 y agosto de 2024, Microsoft observó que Star Blizzard atacó a más de 30 entidades y organizaciones de la sociedad civil, —periodistas, centros de investigación y ONGs— claves para el funcionamiento de la democracia, mediante campañas de spear-phishing destinadas a exfiltrar información sensible e interferir en sus actividades.
Presentamos esta demanda ante el Centro de Análisis y Compartición de Información de ONGs (NGO-ISAC) y se han coordinado esfuerzos con el Departamento de Justicia (DOJ), que simultáneamente ha incautado 41 dominios adicionales atribuidos al mismo actor. En total, se han incautado más de 100 sitios web. Al colaborar con el DOJ, se ha ampliado el alcance de la operación, lo que permite causar un mayor impacto contra Star Blizzard.
Se espera que Star Blizzard continúe desarrollando nuevas infraestructuras para llevar a cabo ataques. No obstante, esta intervención impacta sus operaciones en un momento crucial, dado que la interferencia extranjera en los procesos democráticos de EE. UU. es una gran preocupación en la actualidad. Además, esta medida nos permitirá interrumpir rápidamente cualquier nueva infraestructura que se identifique a través de un procedimiento judicial ya existente. Gracias a esta demanda civil y la recopilación de información, la DCU y el equipo de Inteligencia ante Amenazas de Microsoft podrán recopilar información valiosa sobre este actor y el alcance de sus actividades. Esta información se utilizará para mejorar la seguridad de los productos, para compartirla con partners de otros sectores y así ayudarles en sus investigaciones, así como asistir a las víctimas.
Las operaciones de Star Blizzard aprovechan la confianza y familiaridad de las interacciones digitales diarias
Star Blizzard (también conocido como COLDRIVER y Callisto Group) ha participado activamente en diversos tipos de ciberataques y actividades desde al menos 2017. Desde 2022, ha mejorado sus capacidades para evadir su detección, sin dejar de centrarse en el robo de credenciales de correo electrónico contra los mismos objetivos. Recientemente, Star Blizzard ha atacado a ONGs y centros de investigación que brindan apoyo a empleados gubernamentales y funcionarios militares y de inteligencia, especialmente aquellos que apoyan a Ucrania y a países de la OTAN, como Estados Unidos, Reino Unido y los países bálticos, nórdicos y de Europa del Este. Han sido especialmente agresivos al dirigirse a exfuncionarios de inteligencia y ciudadanos y expertos en asuntos rusos que residen en EE.UU. En 2023, el gobierno británico y sus aliados vincularon a Star Blizzard con el Servicio Federal de Seguridad Ruso (FSB), y expusieron el intento de injerencia de este actor en la política del Reino Unido mediante ataques dirigidos a funcionarios electos, centros educativos, periodistas y organizaciones del sector público.
Star Blizzard se caracteriza por ser persistente, estudia meticulosamente a sus objetivos y se hace pasar por contactos de confianza para llevar a cabo sus operaciones. Desde enero de 2023, Microsoft ha identificado a 82 clientes atacados por este grupo, con una frecuencia aproximada de un ataque por semana. Esta actividad destaca la diligencia del grupo en identificar objetivos valiosos, crear correos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales. Muchos de los afectados, sin ser conscientes de la intención maliciosa, interactúan con estos mensajes, lo que los lleva a comprometer sus credenciales. Estos ataques sobrecargan recursos, obstaculizan operaciones y generan temor entre las víctimas, dificultando la participación democrática.
La capacidad de Star Blizzard para adaptarse y ocultar su identidad supone un desafío constante para los profesionales de la ciberseguridad. Una vez que su infraestructura es expuesta, rápidamente se transforma en nuevos dominios para continuar con sus operaciones. Por ejemplo, el 14 de agosto de 2024, The Citizen Lab de la Escuela Munk de la Universidad de Toronto y el grupo de derechos digitales Access Now, que a su vez es miembro sin ánimo de lucro de la ONG ISAC, que presentó una declaración en apoyo a esta acción civil, publicaron un exhaustivo informe de investigación que destacaba la amenaza persistente que supone este actor. Desde entonces, Access Now y The Citizen Lab han estado investigando más casos y creen que al menos uno de ellos está relacionado con Star Blizzard. Esto demuestra que este actor sigue activo y no se ve disuadido, a pesar de que gobiernos, empresas y la sociedad civil hayan expuesto sus actividades maliciosas.
Las actividades de Star Blizzard subrayan la importancia de mantener normas internacionales que regulen el comportamiento responsable de los estados en el ciberespacio
La acción de hoy es un ejemplo del impacto que se puede impulsar contra el cibercrimen cuando se trabaja de forma coordinada. Es importante reconocer la colaboración con el Departamento de Justicia en este y otros asuntos importantes, y alentamos a los gobiernos de todo el mundo a involucrarse e industria asociarse con compañías tecnológicas, como Microsoft, para combatir las amenazas cada vez más sofisticadas que operan en el ciberespacio. La Unidad de Delitos Cibernéticos de Microsoft continuará con sus esfuerzos para interrumpir proactivamente la infraestructura cibercriminal y colaborará con otras organizaciones del sector privado, la sociedad civil, agencias gubernamentales y organismos de seguridad, para luchar contra aquellos que buscan causar daño. Asimismo, seguirá innovando y desarrollando nuevas formas creativas para detectar, interrumpir y disuadir las técnicas y tácticas de los cibercriminales cada vez más sofisticadas, con el fin de proteger a los usuarios online.
Como mejores prácticas, recomendamos a todas las organizaciones de la sociedad civil que refuercen sus protecciones de ciberseguridad, utilicen técnicas como una robusta autenticación multifactor, claves de acceso, tanto en cuentas personales como profesionales, y se inscriban en el programa AccountGuard de Microsoft para una mayor monitorización y protección frente a ataques cibernéticos patrocinados por estados-nación.
Sin embargo, estos esfuerzos y compromisos deben complementarse con la implementación de normas internacionales que limiten los ciberataques asociados a estados-nación que deliberadamente atacan a sectores de la sociedad que permiten el desarrollo de la democracia. Las actividades llevadas a cabo por Star Blizzard infringen el Marco de Comportamiento Responsable de los Estados en el Ciberespacio de la ONU, un conjunto de normas acordadas por todos los estados miembros para evitar que sus territorios sean utilizados con fines maliciosos en el entorno digital. Al actuar contra Star Blizzard Microsoft y sus partners refuerzan la importancia de estas normas internacionales y mostramos nuestro compromiso con su cumplimiento, con el objetivo de proteger a la sociedad civil y defender el estado de derecho en el ciberespacio.