Un grup d’espionatge rus utilitza la plataforma de Teams per accedir a diferents organitzacions
10/08/2023

El grup que està darrere de l’incident, conegut com Midnight Blizzard o APT29, té la seva seu a Rússia, i els governs dels Estats Units i el Regne Unit ho vinculen amb el servei d’intel·ligència exterior del país.
Un grup de ciberdelinqüents vinculat al Govern rus ha llançat una campanya contra dotzenes d’empreses globals intentant robar les seves credencials fingint ser membres del suport tècnic de Teams, el xat corporatiu de Microsoft. Segons ha confirmat la pròpia tecnològica, i publica Reuters, aquests atacs d’enginyeria social han afectat unes quaranta organitzacions des de finals de maig d’enguany. A més, en el comunicat s’afegeix que la signatura tecnològica es troba encara investigant els fets.
Pel que se sap, els ciberdelinqüents van configurar dominis i comptes que semblaven de suport tècnic i van intentar involucrar als usuaris de Teams. En aquesta línia, la plataforma compta amb més de 280 milions d’usuaris actius que havien de seguir ues indicacions d’autenticació de doble factor. No obstant, Microsoft ha mitigat el fet aconseguint que el grup de cibercriminals deixi d’usar els dominis i continua treballant per posar remei a l’impacte que ha generat l’atac en qüestió.
Segons Microsoft i sense nomenar cap companyia en concret, les organitzacions que varen estar en el punt de mira d’aquesta activitat maliciosa foren, serveis públics, ONG, serveis de TI, empreses de tecnologia, entitats dedicades a la fabricació de productes diversos així com mitjans de comunicació. A més, aquest últim atac, combinat amb la seva activitat en el passat, demostra encara més l’execució contínua de Midnight Blizzard utilitzant tècniques noves i poc comunes.
Se sap que el grup apunta a aquestes organitzacions des del 2018, sobretot a Europa i els Estats Units. Per la campanya en qüestió, es van utilitzar comptes de Microsoft 365 ja compromeses i propietat de petites empreses per crear nous dominis que semblaven ser entitats de suport tècnic amb la paraula Microsoft. Després, van enviar missatges de phishing per atreure a les víctimes.