El Reino Unido advierte sobre el ataque de los hackers Fancy Bear de Rusia a cuentas de Microsoft 365.
Las empresas occidentales que están brindando apoyo a Ucrania están siendo objeto de ataques.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha dado a conocer información sobre una sofisticada pieza de malware denominada Authentic Antics. Este software malicioso, que fue detectado por primera vez en 2023, ha sido relacionado con APT28, un grupo de amenaza respaldado por el estado ruso, que opera bajo la dirección del Estado Mayor del GRU.
APT28, también conocido como Fancy Bear o Forest Blizzard, ha estado involucrado en varias campañas de ciberespionaje en Occidente. Aunque el NCSC no ha especificado cómo se despliega este malware, es probable que lo haga a través de correos electrónicos de phishing o complementos maliciosos de Outlook.
Una vez que Authentic Antics se activa en la computadora de la víctima, se centra en Microsoft Outlook para robar credenciales de inicio de sesión y tokens de OAuth 2.0 relacionados con servicios de Microsoft como Exchange Online, SharePoint y OneDrive. Este malware engaña a los usuarios mostrando ventanas de inicio de sesión falsas que imitan las de Microsoft. Utiliza una técnica llamada 'environmental keying' para asegurarse de que solo se ejecute en máquinas específicas, y cuando las víctimas intentan iniciar sesión, la información se envía directamente a los atacantes.
Para extraer la información, Authentic Antics utiliza la bandeja de entrada del correo electrónico de la víctima, enviando los datos en un mensaje que después se elimina de la carpeta de "Enviados". Este malware es parte de una campaña cibernética más amplia dirigida a organizaciones occidentales, especialmente aquellas que brindan apoyo a Ucrania en su conflicto con Rusia.
Aunque no se mencionaron nombres específicos de las organizaciones afectadas, el NCSC indicó que APT28 ha apuntado a empresas de logística y transporte, empresas tecnológicas con acceso a los servicios en la nube de Microsoft, entidades gubernamentales en países de la OTAN y a infraestructuras más amplias, como cámaras conectadas a internet en cruces fronterizos, utilizadas para rastrear envíos destinados a Ucrania. Como resultado de estos hallazgos, el Reino Unido ha impuesto sanciones a operativos del GRU, incluyendo a tres unidades y dieciocho oficiales.
