Un grupo de espionaje ruso utiliza Teams para colarse en las organizaciones

Un grupo de ciberdelincuentes vinculado al Gobierno ruso ha lanzado una campaña contra docenas de empresas globales intentando robar sus credenciales fingiendo ser miembros del soporte técnico de Teams, el chat corporativo de Microsoft. Según ha confirmado la propia tecnológica, y publica Reuters, estos ataques de ingeniería social “altamente dirigidos” han afectado a “menos de 40 organizaciones únicas” desde finales de mayo. Además, dice en el comunicado, la firma se encuentra investigando los hechos.

Los ciberdelincuentes configuraron dominios y cuentas que parecían de soporte técnico e intentaron involucrar a los usuarios de Teams, que cuenta con más de 280 millones activos, para que aprobaran las indicaciones de autenticación multifactor. “Microsoft ha mitigado que el actor use los dominios y continúa trabajando para remediar el impacto del ataque”.

El grupo que está detrás del incidente, conocido como Midnight Blizzard o APT29, tiene su sede en Rusia, y los gobiernos de Estados Unidos y Reino Unido lo vincularon con el servicio de inteligencia exterior del país.

“Las organizaciones objetivo de esta actividad probablemente indiquen objetivos de espionaje específicos, como servicios públicos, ONG, servicios de TI, tecnología, fabricación y medios de comunicación”, aseveran desde Microsoft, sin nombrar a ninguna compañía en concreto. “Este último ataque, combinado con su actividad en el pasado, demuestra aún más la ejecución continua de Midnight Blizzard utilizando técnicas nuevas y comunes”.

Se sabe que el grupo apunta a dichas organizaciones desde 2018, sobre todo en Europa y Estados Unidos. Para la campaña, utilizó cuentas de Microsoft 365 ya comprometidas y propiedad de pequeñas empresas para crear nuevos dominios que parecían ser entidades de soporte técnico con la palabra Microsoft. Luego, envió mensajes de phishing para atraer a las víctimas.