Otra vez Los chinos contra Microsoft?
Hackeo global rompe la seguridad de miles de cuentas comerciales de Microsoft
Un ataque sofisticado al software de correo electrónico empresarial ampliamente utilizado de Microsoft Corp. se está transformando en una crisis de ciberseguridad global, ya que los piratas informáticos se apresuran a infectar a tantas víctimas como sea posible antes de que las empresas puedan proteger sus sistemas informáticos.ARTÍCULO RELACIONADO
Microsoft Corp. alerta sobre ataque de hackers vinculados a China y llama a clientes
El ataque, que Microsoft ha dicho que comenzó con un grupo de piratas informáticos respaldado por el gobierno chino, hasta ahora ha cobrado al menos 60.000 víctimas conocidas en todo el mundo, según un exfuncionario estadounidense de alto rango con conocimiento de la investigación. Muchos de ellos parecen ser pequeñas o medianas empresas atrapadas en una amplia red que los atacantes lanzaron mientras Microsoft trabajaba para cerrar el hack.
Las víctimas identificadas hasta ahora incluyen bancos y proveedores de electricidad, así como hogares para personas mayores y una compañía de helados, según Huntress, una firma con sede en Ellicott City, Maryland, que monitorea la seguridad de los clientes, en una publicación de blog el viernes.
Una empresa estadounidense de ciberseguridad que pidió no ser identificada dijo que solo sus expertos estaban trabajando con al menos 50 víctimas, tratando de determinar rápidamente qué datos pueden haber tomado los piratas informáticos mientras intentaban expulsarlos.
El ataque en rápida escalada despertó la preocupación de los funcionarios de seguridad nacional de Estados Unidos, en parte porque los piratas informáticos pudieron atacar a tantas víctimas con tanta rapidez. Los investigadores dicen que en las fases finales del ataque, los piratas informáticos parecían haber automatizado el proceso, capturando a decenas de miles de nuevas víctimas en todo el mundo en cuestión de días.
“Estamos llevando a cabo toda una respuesta del gobierno para evaluar y abordar el impacto”, escribió un funcionario de la Casa Blanca en un correo electrónico el sábado. “Esta es una amenaza activa que aún se está desarrollando e instamos a los operadores de red a que se la tomen muy en serio”. Las fallas del servidor de Microsoft aumentan las alarmas en la Casa Blanca.
El grupo de piratas informáticos chino, al que Microsoft llama Hafnium, parece haber estado irrumpiendo en las redes informáticas privadas y gubernamentales a través del popular software de correo electrónico Exchange de la compañía durante varios meses, inicialmente apuntando solo a un pequeño número de víctimas, según Steven Adair, director de Volexity, con sede en el norte de Virginia. La compañía de ciberseguridad ayudó a Microsoft a identificar las fallas que estaban utilizando los piratas informáticos para las cuales el gigante del software emitió una solución el martes.
El resultado es una segunda crisis de ciberseguridad que se produce pocos meses después de que presuntos piratas informáticos rusos violaron nueve agencias federales y al menos 100 empresas a través de actualizaciones manipuladas del fabricante de software de gestión de TI SolarWinds LLC. Los expertos en ciberseguridad que defienden los sistemas informáticos del mundo expresaron una creciente sensación de frustración y agotamiento.
“Los buenos se están cansando”, dijo Charles Carmakal, vicepresidente senior de FireEye Inc., la compañía de ciberseguridad con sede en Milpitas, California.
Cuando se le preguntó sobre la atribución de Microsoft del ataque a China, un portavoz del Ministerio de Relaciones Exteriores chino dijo el miércoles que el país “se opone firmemente y combate los ataques cibernéticos y el robo cibernético en todas sus formas” y sugirió que culpar a una nación en particular era un “tema político muy sensible”.
Tanto el incidente más reciente como el ataque SolarWinds muestran la fragilidad de las redes modernas y la sofisticación de los piratas informáticos patrocinados por el estado para identificar vulnerabilidades difíciles de encontrar o incluso crearlas para realizar espionaje. También involucran ciberataques complejos, con un radio de explosión inicial de una gran cantidad de computadoras que luego se reduce a medida que los atacantes concentran sus esfuerzos, lo que puede llevar semanas o meses a las organizaciones afectadas para resolver.
En el caso de los errores de Microsoft, la simple aplicación de las actualizaciones proporcionadas por la empresa no eliminará a los atacantes de la red. Se requiere una revisión de los sistemas afectados, dijo Carmakal. Y la Casa Blanca enfatizó lo mismo, incluidos los tweets del Consejo de Seguridad Nacional que instaban a la creciente lista de víctimas a que revisen cuidadosamente sus computadoras en busca de señales de los atacantes.
Inicialmente, los piratas informáticos chinos parecían apuntar a objetivos de inteligencia de alto valor en Estados Unidos, dijo Adair. Hace aproximadamente una semana, todo cambió. Otros grupos de piratas informáticos no identificados comenzaron a atacar a miles de víctimas en un período corto, insertando software oculto que podría darles acceso más tarde, dijo.
“Explotación masiva”
“Fueron a la ciudad y comenzaron a realizar una explotación masiva: ataques indiscriminados que comprometen los servidores de intercambio, literalmente en todo el mundo, sin importar el propósito, el tamaño o la industria”, dijo Adair. “Estaban atacando a todos y cada uno de los servidores que podían”.
Adair dijo que otros grupos de piratas informáticos pueden haber encontrado las mismas fallas y comenzar sus propios ataques, o que China puede haber querido capturar la mayor cantidad de víctimas posible y luego determinar cuál tenía valor de inteligencia.
De cualquier manera, los ataques fueron tan exitosos, y tan rápidos, que los piratas informáticos parecen haber encontrado una manera de automatizar el proceso. “Si está ejecutando un servidor Exchange, lo más probable es que sea una víctima”, dijo.
Los datos de otras empresas de seguridad sugieren que es posible que el alcance de los ataques no sea tan malo. Los investigadores de Huntress examinaron alrededor de 3.000 servidores vulnerables en las redes de sus socios y encontraron alrededor de 350 infecciones, o poco más de 10%.
Si bien los piratas informáticos de SolarWinds infectaron organizaciones de todos los tamaños, muchas de las últimas víctimas son empresas pequeñas y medianas y agencias gubernamentales locales. Las organizaciones que podrían verse más afectadas son aquellas que tienen un servidor de correo electrónico que ejecuta el software vulnerable y está expuesto directamente a Internet, una configuración arriesgada que las más grandes generalmente evitan.
Las organizaciones más pequeñas “ya están luchando debido a los cierres de Covid, esto agrava una situación que ya era mala”, dijo Jim McMurry, fundador de Milton Security Group Inc., un servicio de monitoreo de ciberseguridad en el sur de California. “Sé por trabajar con algunos clientes que esto está consumiendo una gran cantidad de tiempo para rastrear, limpiar y asegurar que no se vean afectados fuera del vector de ataque inicial”.
McMurry dijo que el problema es “muy grave”, pero agregó que el daño debería mitigarse un poco por el hecho de que “esto era reparable, podía solucionarse”.
Microsoft dijo que los clientes que usan su sistema de correo electrónico basado en la nube no se ven afectados.
El uso de la automatización para lanzar ataques muy sofisticados puede marcar una nueva y aterradora era en la ciberseguridad, una que podría abrumar los recursos limitados de los defensores, dijeron varios expertos.
Algunas de las infecciones iniciales parecen haber sido el resultado del escaneo e instalación automatizados de malware, dijo Alex Stamos, consultor de ciberseguridad. Los investigadores buscarán infecciones que llevaron a los piratas informáticos a dar el siguiente paso y robar datos, como archivos de correo electrónico, y buscarlos en busca de información valiosa más adelante, dijo.
“Si estuviera dirigiendo uno de estos equipos, estaría obteniendo el correo electrónico lo más rápido posible de forma indiscriminada y luego extrayendo oro”, dijo Stamos.