Microsoft advirtió que los piratas informáticos del Gobierno ruso a los que había culpado de piratear el correo electrónico de sus ejecutivos el mes pasado han estado aprovechando lo que robaron para intentar entrar en los sistemas informáticos de los clientes.
En una declaración de valores y una entrada de blog, Microsoft dijo que los piratas informáticos asociados con el servicio de inteligencia extranjero SVR de Rusia también habían intensificado sus ataques contra la propia Microsoft en busca de nuevas áreas que comprometer.
El ataque del grupo “se caracteriza por un compromiso sostenido y significativo de los recursos, la coordinación y el enfoque del actor de la amenaza”, escribió Microsoft en su blog de seguridad. “Esto refleja lo que se ha convertido más ampliamente en un panorama de amenazas globales sin precedentes, especialmente en términos de sofisticados ataques de estados-nación”.
Microsoft dijo que estaba revisando los correos electrónicos que habían sido robados a ejecutivos y a su personal de seguridad, y advirtiendo a los clientes cuyos secretos podrían haber sido revelados en esa correspondencia. No quiso decir a cuántos clientes había alertado, ni descartar si los piratas informáticos habían robado código fuente o permanecían dentro de la empresa. Hewlett-Packard Enterprise, que presta servicios en la nube a grandes empresas, también dijo el mes pasado que había sido pirateada.
El éxito de la campaña ha conmocionado a los servicios de inteligencia de varios continentes, que han advertido en privado a docenas de víctimas más. Han emitido advertencias a los usuarios de servicios en la nube, incluidos los programas Office y el correo electrónico Outlook de Microsoft, con recomendaciones detalladas sobre cómo reforzar sus instalaciones.
El jueves, la Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional de Estados Unidos recomendaron a los clientes que evaluaran el historial de seguridad de sus proveedores, auditaran los registros de actividad de sus cuentas y limitaran la autoridad de los usuarios.
Aunque Amazon y Google, de Alphabet, son grandes vendedores de servicios en la nube, ninguno ha anunciado un aumento de los ataques ni tiene como clientes a tantas agencias gubernamentales sensibles como Microsoft. Ambas declinaron hacer comentarios. (El fundador de Amazon, Jeff Bezos, es propietario de The Washington Post).
Microsoft atribuyó los ataques en curso a un grupo de SVR al que llama Midnight Blizzard y al que otras empresas de seguridad se refieren como APT29 o Cozy Bear. Es el mismo grupo que hackeó la empresa de software de red SolarWinds en 2020. En ese caso, los hackers insertaron una puerta trasera en el código de SolarWinds que les permitió adentrarse en nueve agencias federales y otros 100 clientes de SolarWinds.
Como parte de esa campaña de pirateo, los intrusos comprometieron a revendedores de Microsoft con acceso continuo a clientes, y luego añadieron o modificaron cuentas en busca de correo electrónico para robar. La SEC demandó a SolarWinds el año pasado por no informar a sus accionistas de que sus sistemas eran objeto de hackeos.
Las entrevistas con personas que respondieron a ataques recientes muestran que los revendedores siguen siendo un objetivo para el SVR, especialmente aquellos que tienen acceso constante a los clientes a través de “cuentas de servicio” que pueden añadir o eliminar nuevos usuarios de Microsoft.
“Una de las cosas que estamos viendo es el continuo abuso y explotación de las empresas más pequeñas que establecerán inquilinos de correo electrónico para pequeñas organizaciones. Esto permite a la amenaza comprometer el entorno de la pequeña empresa y obtener acceso de administrador a todos los correos electrónicos de los inquilinos que han configurado en el pasado”, dijo Charles Carmakal, director de tecnología del negocio de seguridad de Google Mandiant.
“Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red, para lanzar operaciones posteriores”, señaló la semana pasada el Centro Nacional de Ciberseguridad británico (NCSC) en un boletín. “Las campañas de SVR también se han dirigido a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema”.
El NCSC señaló que los servicios de inteligencia de los “Cinco Ojos” -Gran Bretaña, Australia, Canadá, Nueva Zelanda y Estados Unidos- coincidían en que el SVR ruso era el autor del ataque. El SVR había ampliado sus objetivos de las agencias nacionales y los grupos de reflexión a la aviación, la educación, las fuerzas del orden, la administración local y los objetivos militares.
La evaluación revisada de Microsoft renovó las dudas sobre su capacidad para defenderse a sí misma y a sus clientes sensibles. Esta intrusión es una de las múltiples que ha sufrido el SVR en los últimos años. En un incidente anterior, los piratas informáticos recuperaron el código fuente del sistema de autenticación de identidad de la empresa. El año pasado, los piratas informáticos del gobierno chino también utilizaron Microsoft como trampolín para robar correos electrónicos de funcionarios de los departamentos de Estado y Comercio.
Chris Krebs, jefe de inteligencia de la empresa de seguridad SentinelOne, dijo que Rusia y otros países están apuntando naturalmente a los proveedores de la nube a medida que más grandes empresas y gobiernos dependen de ellos.
“No hemos llegado a ningún punto crítico para ellos que les haga replantearse su estrategia de perseguir a estas grandes empresas de servicios en la nube, como Microsoft. Lo tienen firmemente en su lista de objetivos prioritarios”, afirmó Krebs, que anteriormente dirigió la Agencia de Ciberseguridad y Seguridad de las Infraestructuras.
En el caso más reciente, la revelación inicial de Microsoft decía que los piratas informáticos de SVR habían entrado en una cuenta de prueba inactiva en la nube. Pero no dijo cómo habían llegado desde allí a los correos electrónicos de altos ejecutivos, y esa pregunta sigue sin respuesta, manteniendo abierta la posibilidad de que el SVR haya descubierto un nuevo fallo importante en el sistema de nube Azure de Microsoft.
“Está claro que la autenticación es un lío dentro de Microsoft”, dijo Adam Meyers, vicepresidente senior de CrowdStrike, que al igual que SentinelOne compite en el negocio de la seguridad con Microsoft.
Meyers considera peligroso que muchos clientes de la Administración confíen en Microsoft no sólo para el tratamiento de textos y el correo electrónico, sino también para la autenticación y la seguridad.
“Si pones todos los huevos en la misma cesta, y esa cesta es Microsoft, esa cesta tiene un gran agujero en forma de huevo”, dijo Meyers. “Necesitas seguridad por capas”.
(c) 2024 , The Washington Post