Según publica Clarín El actor de amenazas, relacionado con China, aprovechó una falla en el servicio de mail en la nube de Microsoft.
Por: Juan Brodersen
Un grupo de ciberdelincuentes aprovechó esta semana una falla en los sistemas de correo electrónico de la nube de Microsoft y logró comprometer a 25 cuentas de dependencias del Gobierno de los Estados Unidos y el Pentágono. La banda de hackers, conocida como Storm-0558 y apuntada por tener vínculos con China, ingresó con un conocido método de hackeo.
Luego de que Microsoft publicara la información con los detalles del caso, un funcionario oficial dijo que el Pentágono fue la primera agencia en descubrir la intrusión del grupo. A partir de ese momento, detectaron una gran cantidad de agencias de Gobierno afectadas: desde el Departamento de Estado hasta cuentas como la de la secretaria de Comercio, Gina Raimondo.
En paralelo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos y el FBI reafirmaron que Microsoft había logrado determinar que un grupo de atacantes accedió a datos “de una pequeña cantidad de cuentas”, luego de suplantar la identidad de otros usuarios legítimos.
El contexto geopolítico de la rivalidad entre ambas potencias, -la intrusión fue detectada por el Departamento de Estado poco antes del viaje a Beijing del secretario de Estado, Antony Blinken, el mes pasado- condicionó el denominador común de las cuentas comprometidas: funcionarios estadounidenses con vínculos políticos con China.
Del otro lado, el país asiático contestó: no sólo desmintió que Storm-0558 fuera un grupo patrocinado por el país asiático, sino que dijo que el informe de Microsoft era “extremadamente poco profesional” y que era un rejunte de información “copypasteada”.
Pero más allá de los tensos vínculos entre China y EE.UU., Storm-0558 logró lo que se propuso: acceder a cuentas de dependencias oficiales de un gobierno como el de Estados Unidos.
Y para esto usaron una serie de tácticas, técnicas y procedimientos ya conocidos, pero muy efectivos.
Quién es Storm-0558
Storm-0558 no es un grupo del todo conocido en el ecosistema de amenazas. De hecho, Microsoft lo puso en el mapa a partir del caso que dio a conocer esta semana, y sí señaló que tienen “muchos recursos”, además de caracterizarse por atacar agencias de gobierno como blanco preferido. Este medio se contactó con diversas empresas de seguridad informática y analistas: algunos respondieron no tener información, otros prefirieron no hacer declaraciones.
Shobhit Gautam, arquitecto en seguridad de Hacker One, comentó al medio especializado Hackerread que la relación de Storm-0558 con China es una especulación, y que “trabaja con malwares (virus) personalizados como Cigril y Bling con el propósito de hacer espionaje”. Esta es la diferencia específica más grande del grupo: está orientada a inteligencia.
Esto abona la hipótesis de que se trate de un “grupo patrocinado por un Estado”, como se llama a este tipo de hackers. En el posteo de Microsoft, Charlie Bell, un vicepresidente ejecutivo de la compañía, aseguró que “este adversario se especializa en espionaje a partir del acceso no autorizado a sistemas de correo electrónico”. En particular, para “recolección de inteligencia”.
La lectura de mails luego de un compromiso es uno de los métodos más comunes de espionaje en el ecosistema actual de amenazas. “Este tipo de adversarios motivados por el espionaje busca abusar de credenciales para ganar acceso a información sensible en sistemas ajenos”, agregó Bell.
Otra particularidad es que, más allá de la compleja diplomacia entre ambos países, estos actores muchas veces atacan indiscriminadamente a individuos y organizaciones: todo lo que contribuya a recopilar datos puede llegar a justificar una intrusión.
Cómo entraron los hackers
Microsoft detectó una “actividad anómala” hace cerca de un mes, el 16 de junio: “Durante las próximas semanas, nuestra investigación reveló que el 15 de mayo de 2023, Storm-0558 ganó acceso a cuentas de correo de 25 organizaciones, incluyendo agencias de Gobierno y cuentas de otros clientes”.
La investigación de Microsoft determinó que los ciberdelincuentes obtuvieron acceso a cuentas de correo electrónico mediante Outlook Web Access en Exchange Online (OWA) y Outlook.com “falsificando tokens de autenticación para acceder a las cuentas de usuario”.
Los tokens de autenticación, o “session token”, conforman la información de logueo de los usuarios, tanto a equipos como cuentas de servicios específicos. A nivel técnico, generan un valor alfanumérico que es consultado de manera periódica por el equipo para evitar que el usuario tenga que iniciar sesión permanentemente, y se pueden guardar en la memoria del equipo o en las cookies de un navegador.
En su análisis técnico del ataque, Microsoft da cuenta de cómo entró Storm-0558 a los sistemas de cuentas de funcionarios de Estados Unidos: utilizaron una clave adquirida para falsificar tokens de acceso a OWA y Outlook.com, luego aprovecharon un error (bug) en la validación de tokens para hacerse pasar por usuarios de Azure AD (la nube de la empresa) y obtener acceso a las cuentas de correo electrónico de la empresa.
Lo interesante es que la actividad maliciosa de Storm-0885 permaneció sin ser detectada durante un mes, hasta que clientes de Microsoft detectaron una serie de anomalías. Esto podría posicionar al grupo entre lo que se conoce como APT (Advanced Persistent Threat), un tipo de intrusión que se instala en equipos y redes de terceros y no es detectada sino que puede operar sin llamar la atención.
Una vez detectada, Microsoft contactó a sus clientes para advertir el abuso de esta plataforma y dio aviso a agencias gubernamentales oficiales, incluyendo el Departamento de Ciberseguridad y la Agencia de Infraestructura de Seguridad para coordinar una respuesta.
Ciberataques: una amenaza en crecimiento
Microsoft enfrenta un desafío cotidiano en lo que a seguridad informática respecta. Por la enorme cantidad de usuarios que tiene tanto Windows como sus servicios (Outlook, Office, etc.), la superficie de ataque es un blanco frecuente entre los ciberdelincuentes.
Según el reporte global de amenazas de ESET de la primera parte de 2023, publicado esta semana, “se observan tendencias que muestran la adaptabilidad de los ciberdelincuentes y su búsqueda incesante de nuevas vías para lograr sus objetivos, sea explotando vulnerabilidades, obteniendo acceso no autorizado, comprometiendo información confidencial o defraudando a las víctimas”.
“Este último compromiso de las agencias gubernamentales de Estados Unidos y Europa Occidental amplifica una vez más el riesgo sistémico de la tecnología de Microsoft, y la crisis de confianza a la que se enfrentan sus clientes. Las organizaciones necesitan invertir en seguridad, tener un proveedor monolítico que sea responsable de toda su tecnología, productos, servicios y seguridad – puede terminar en desastre”, explicó, consultado por Clarín, Adam Meyers, Jefe de Inteligencia de CrowdStrike.
“Hay una razón por la que los líderes federales han estado presionando públicamente a los fabricantes de software para que construyan productos que sean seguros por diseño. Por desgracia, ese mensaje parece seguir cayendo en oídos sordos en Redmond”, remató. Redmond es la sede de Microsoft, en el Estado de Washington, cerca de Seattle.
Estados Unidos, por su parte, publicó este jueves una Estrategia Nacional de Ciberseguridad, para “defender infraestructura crítica, desmantelar actores de amenazas, desarrollar seguridad en los mercados e invertir en un futuro resiliente”.
El panorama global de amenazas, mientras tanto, muta día a día. (Clarín)
