Un grupo de ciberdelincuentes se acercó esta semana un fallo en los sistemas de correo electrónico de la nube de Microsoft y comprometer a 25 cuentas de dependencias del Gobierno de los Estados Unidos y el Pentágono. La banda de los hackers, conocida como Tormenta-0558 y apuntada por tener vinculos con PorcelanaIngresó con un conocido método hackeo.
Luego de que publicación de Microsoft la información con los detalles del caso, un funcionario oficial dijo que el Pentágono fue la primera agencia en descubrir la intrusión del grupo. A partir de ese momento, se detectan un gran número de organismos de Gobierno adscritos: desde el Departamento de Estado hasta cuentas como la de la secretaria de Comercio, Gina Raimondo.
Al mismo tiempo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos y el FBI reafirmó que Microsoft ha logrado determinar que un grupo de atacantes accedió a datos «de una pequeña cantidad de cuentas», luego de suplantar la identidad de otros usuarios legítimos
El contexto geopolítico de la rivalidad entre ambas potencias, -la intrusion fue detectada por el Departamento de Estado poco antes del viaje a Beijing del secretario de Estado, Antony Blinken, el mes pasado- condicionó el denominador común de las cuentas compromisos: funcionarios estadounidenses con vínculos políticos con China.
Del otro lado, el país asiático respondió: no sólo desmintió que Storm-0558 fuera de un grupo patrocinado por el país asiático, sino que dijo que el informe de Microsoft era “extremadamente poco profesional” y que era un rejunte de informacion»copiar pegar”.
Pero más allá de los tensos vínculos entre China y EE.UU., Storm-0558 canceló lo que se debe: acceder a cuentas de dependencias oficiales de un gobierno como los Estados Unidos.
Y para esto usaron una serie de tácticas, técnicas y procedimientos ya conocidos, pero muy eficaz.
Quién es Storm-0558
Storm-0558 no es un grupo de ningún conocido en el ecosistema de amenazas. De hecho, Microsoft lo puso en el mapa del caso que dio a conocer esta semana, y sí dijo que tienen «muchos recursos», además de caracterizarse por atacar agencias de gobierno como blanco preferido. Este medio contactó con diversas empresas de seguridad informática y analistas: algunos respondieron no tener información, otros prefirieron no hacer declaraciones.
Shobhit Gautam, arquitecto en seguridad de Hacker One, comentó al medio especializado Hackerread que la relación de Storm-0558 con China es una especulación, y que «trabaja con malwares (virus) personalizados como Cigril y Bling con el propósito de hacer espionaje». . Esta es la diferencia específica más grande del grupo: está orientada a la inteligencia.
Esto suscribe la hipótesis de que se trata de un “Grupo Patrocinado por un Estado”, como se llama a este tipo de hackers. En el posteo de Microsoft, Charlie Bell, vicepresidente ejecutivo de la empresa, aseguró que «este adversario se especializa en espionaje desde el acceso no autorizado a sistemas de correo electrónico». En particular, para «recolección de inteligencia».
La lectura de mails leídos de un compromiso es uno de los métodos de espionaje más habituales en el ecosistema actual de amenazas. “Este tipo de adversarios motivados por el espionaje busca abusar de credenciales para obtener acceso a información sensible en sistemas ajenos”, agregó Bell.
Otra particularidad es que, más allá de la compleja diplomacia entre ambos países, estos actores muchas veces atacan indiscriminadamente a individuos y organizaciones: todo lo que contribuye a compilar datos puede llegar a justificar una intrusión.
Cómo entrenar a los piratas informáticos
Microsoft detectó «actividad anómala» en esta ocasión, el 16 de junio: 25 organizaciones, incluidas las agencias de Gobierno y cuentas de otros clientes”.
La investigación de Microsoft determinó que los ciberdelincuentes obtuvieron acceso a los correlatos electrónicos de Outlook Web Access en Exchange Online (OWA) y Outlook.com «falsos tokens de autenticación para acceder a las cuentas de usuario».
Los tokens de autenticación, o «token de sesión», de acuerdo con la información del logueo de los usuarios, tanto a equipos como cuentas de servicios específicos. A nivel técnico, genera un valor alfanumérico que es consultado de manera periódica por el equipo para evitar que el usuario tenga que iniciar sesión de forma permanente, y puede quedar en la memoria del equipo o en las cookies de un navegador.
En su análisis técnico del ataque, Microsoft da cuenta de cómo entró Storm-0558 a los sistemas de cuentas de funcionarios de Estados Unidos: utilizó una clave adquirida para falsificar tokens de acceso a OWA y Outlook.comluego aprovecharon un error (bug) en la validacion de tokens para hacerse pasar por usuarios de Azure AD (la nube de la empresa) para obtener acceso a las cuentas de correo electrónico de la empresa.
Curiosamente, la actividad maliciosa de Storm-0885 se ha detectado continuamente durante un mes y los clientes de Microsoft han detectado una serie de anomalías. Esto podría posicionar al grupo entre lo que se conoce como APTO (Amenaza Persistente Avanzada)un tipo de intrusión que se instala en equipos y redes de terceros y no se detecta sino que puede operar sin llamar la atención.
Una vez detectado, Microsoft contactó a sus clientes para advertir el abuso de esta plataforma y dio aviso agencias gubernamentales oficiales, incluyendo el Departamento de Ciberseguridad y la Agencia de Infraestructura de Seguridad para coordinar una respuesta.
Ciberataques: una amenaza en crecimiento
Microsoft sufrió un desafío cotidiano en lo que a la seguridad informática se respetó. Por alli gran cantidad de usuarios que tiene tanto Windows como sus servicios (Outlook, Office, etc.), la superficie de ataque es un blanco frecuente entre los ciberdelincuentes.
Según el informe global de amenazas de ESET de la primera parte de 2023, publicado esta semana, «se observan tendencias que muestran la adaptabilidad de los ciberdelincuentes y su búsqueda incesante de nuevas vías para lograr sus objetos, sea explotando vulnerabilidades, obteniendo acceso no autorizado , comprometer información confidencial o defraudar a las víctimas”.
«Este último compromiso de las agencias gubernamentales de Estados Unidos y Europa Occidental amplifica una vez más el riesgo sistémico de la tecnología de Microsoft, y la crisis de confianza donde se enojan con nuestros clientes. Las organizaciones necesitan invertir en seguridad, tener un proveor monolítico que se responsable de toda tecnología, productos, servicios y seguridad – puede terminar en desastre”, explicó, consultado por Clarín, Adam Meyers, Jefe de Inteligencia de multitudhuelga.
«Hay una razón por la que los líderes federales han estado presionándose públicamente a los fabricantes de software para que construyan productos que sean seguros por diseño. Par desgracia, Ese mensaje parece seguir cayendo en oídos sordos en Redmond«, remató. Redmond es la sede de Microsoft, en el Estado de Washington, cerca de Seattle.
Estados Unidos, por su parte, publicó estos jóvenes y una Estrategia Nacional de Ciberseguridadpor «defender infraestructura crítica, desmantelar actores de amenazas, desarrollar seguridad en los mercados e invertir en un futuro elástico».
El panorama global de las amenazas, mientras tanto, muta día a día.
SL

