El Servicio de Seguridad de Ucrania (SSU) dijo que, junto con la Oficina Federal de Investigaciones (FBI) de EE. UU., descubrió una campaña de larga duración orquestada por los servicios de inteligencia rusos para irrumpir en las cuentas de mensajes de funcionarios gubernamentales, personal militar, políticos y activistas en Ucrania, Europa y EE. UU.
Los ciberataques sistemáticos tenían como objetivo robar información confidencial de las víctimas, añadió la agencia.
“El objetivo de estos ‘hacks’ es obtener acceso a información militar, política y económica sensible intercambiada por los usuarios, así como robar sus datos personales”, advirtió la agencia en una publicación compartida en Telegram.
Para llevar a cabo la operación, los atacantes envían mensajes SMS que se hacen pasar por el robot de soporte de la plataforma de mensajería e instan a los usuarios a revelar las credenciales de sus cuentas.
El SSU señaló que estos ataques incluyen no sólo organizaciones, funcionarios o figuras públicas, sino también cuentas personales de ciudadanos ucranianos. No atribuyó la campaña a un grupo de hackers específico.
Sin embargo, oleadas de ataques similares dirigidas directamente a los usuarios de las aplicaciones de mensajería Signal y WhatsApp se han atribuido a grupos de actividad de amenazas rusas rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).
Para contrarrestar el riesgo que representan tales amenazas, se recomienda revisar periódicamente las sesiones activas de la aplicación de mensajería y cerrar sesión en conexiones desconocidas, habilitar la autenticación de dos factores, abstenerse de escanear códigos QR recibidos de usuarios desconocidos, no revelar códigos de confirmación, códigos PIN, contraseñas y claves de recuperación de cuentas, y hacer clic en enlaces sospechosos o abrir archivos de chats desconocidos o dudosos.
El desarrollo se produce cuando el FBI atribuyó a los actores de amenazas cibernéticas de los Servicios de Inteligencia Rusos (RIS) a una campaña de phishing en curso de aplicaciones de mensajería comercial (CMA) dirigida a objetivos de alto valor para engañarlos para que entreguen sus claves de recuperación de respaldo.
A finales del mes pasado, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuyó al actor de amenazas alineado con Bielorrusia conocido como UNC1151 (también conocido como Ghostwriter y UAC-0057) una campaña de phishing dirigida a organizaciones gubernamentales que utilizaban cuentas comprometidas para entregar un ladrón de información llamado OYSTERBLUES.