En las últimas semanas, el Microsoft Threat Intelligence Center (MSTIC), la división del titán tecnológico que se encarga de neutralizar ciberamenazas y ciberataques, ha desactivado una operación de ingeniería social vinculada con Seaborgium, uno de los grupos de cibercriminales más activos de Rusia. De acuerdo a la información suministrada por Microsoft, este grupo de ciberpiratas había lanzado una campaña de phishing, que estaba enfocada en espiar y robar datos personales de alto interés de personas y organizaciones de diferentes países ligados a la OTAN.
Principales acciones criminales desarrolladas por los cibercorsarios rusos
En concreto, los ciberagresores de Seaborgium (un grupo de cibercriminales que también ha sido identificado como TA446 por Proofpoint y ColdRiver por Google) ha estado lanzando acciones delictivas online contra actores estratégicos de los países de la OTAN; unos ciberataques que han tenido principalmente en punto de mira a los países nórdicos, bálticos y Ucrania.
El modus operandi de este conjunto de piratas informáticos ha consistido en intentar robar correos electrónicos confidenciales de organizaciones de la OTAN y personas de interés para Rusia. De manera que Seaborgium se ha infiltrado en casi 30 organizaciones vinculadas a la Organización del Tratado del Atlántico Norte desde principios de este año.
En esa sintonía, los ciberpiratas rusos han estado recopilando datos de ex funcionarios de inteligencia, ciudadanos rusos en el extranjero y expertos en asuntos rusos. En información facilitada por la web Cyware Social, se apunta que este grupo también ha protagonizado un ciberataque reciente contra los intereses del Reino Unido, en el que los cibercorsarios de Rusia hurtaron documentos confidenciales de una entidad política británica.
De qué manera se articulan los ciberataques de Seaborgium
Los expertos en ciberseguridad de Microsoft han explicado la manera en que los cibercriminales rusos estructuran el comienzo de sus ciberataques. En primer lugar, desarrollan investigación exhaustiva de sus víctimas, labor que realizan empleando perfiles fraudulentos en las redes sociales, que finalmente concluyen con al envío de un archivo adjunto de phishing, con el objetivo de robar datos personales, políticos, geoestratégicos o incluso bancarios de interés de las víctimas que padecen estos ciberataques.
En concreto, Microsoft ha rastreado acciones por medio de las cuales los hackers distribuyen los archivos adjuntos a través de correos electrónicos con PDF adjuntos, enlaces a servicios de alojamiento de archivos, o a cuentas de OneDrive que guardan los documentos PDF.
Como se explica con detalle en este artículo de Computer Hoy, cuando las víctimas de estos ciuberataques abre el archivo adjunto, la persona destinataria de la ciberagresión recibe un mensaje indicando que el documento no pudo ser visto y que debía hacer clic en un botón para volver a intentarlo.
Al clicar en este botón, la víctima se remite a una página que ejecuta marcos de phishing, como EvilGinx, que presenta un formulario de inicio de sesión para el servicio en cuestión. Como este actúa como proxy, los ciberdelincuentes de Seaborgium han podido hurtar las credenciales introducidas y las cookies de autenticación generadas después de que un usuario inicie sesión en su cuenta, con todos los peligros de robo de información que esta práctica representa.