Martes 11.5.2021

La Liga Mundial de Hackers abusó otra vez más de Microsoft

Las estimaciones del número de víctimas del ciberataque al software de correo electrónico de Microsoft han llegado a 250.000, y se cree que muchas de ellas son pequeñas empresas, en uno de los mayores escándalos en la historia de los hackeos en general, y de Microsoft en particular.

EDGAR MAINHARD

@emainhard

  • sobre
Sean Hollister en The Verge: "Parece que Microsoft puede haber tardado demasiado en darse cuenta de la gravedad y parchar.

El martes 02/03 la empresa Microsoft denunció a un grupo de piratería informática respaldado por el Gobierno chino conocido como Hafnium por atacar los servidores de correo electrónico:

 

"(...) Históricamente, Hafnium se dirige principalmente a entidades en los Estados Unidos con el propósito de extraer información de varios sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG. Si bien Hafnium tiene su sede en China, realiza sus operaciones principalmente desde servidores privados virtuales (VPS) alquilados en los Estados Unidos.

 

Recientemente, Hafnium se ha involucrado en una serie de ataques utilizando exploits previamente desconocidos dirigidos al software Exchange Server local. Hasta la fecha, Hafnium es el actor principal que hemos visto usar estos exploits, que MSTIC analiza en detalle aquí. Los ataques incluyeron tres pasos. Primero, obtendría acceso a un servidor Exchange ya sea con contraseñas robadas o utilizando las vulnerabilidades no descubiertas previamente para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía lo que se llama un 'shell web' para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto, que se ejecuta desde los servidores privados con sede en EE. UU., Para robar datos de la red de una organización. (...)".

 

Al día siguiente, Microsoft afirmó:

 

"(...) Microsoft ha detectado múltiples exploits de día cero que se utilizan para atacar versiones locales de Microsoft Exchange Server en ataques limitados y dirigidos. En los ataques observados, el actor de la amenaza utilizó estas vulnerabilidades para acceder a los servidores de Exchange locales que permitieron el acceso a las cuentas de correo electrónico y permitieron la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas. El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) atribuye esta campaña con gran confianza a HAFNIUM , un grupo evaluado como patrocinado por el estado y que opera fuera de China, según la victimología, las tácticas y los procedimientos observados.

 

Las vulnerabilidades que se explotaron recientemente fueron CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, todas las cuales se abordaron en la versión de hoy de Microsoft Security Response Center (MSRC): actualizaciones de seguridad múltiples Publicado para Exchange Server . Instamos encarecidamente a los clientes a actualizar los sistemas locales de inmediato. Exchange Online no se ve afectado. (...)".

 

Sin embargo, pareciera que la vulnerabilidad del software de Microsoft fue aprovechada también por otras organizaciones criminales.

 

La Autoridad Bancaria Europea se convirtió en el primer organismo notable en reconocer públicamente que había quedado comprometido. 

 

Sean Hollister en The Verge: "Parece que Microsoft puede haber tardado demasiado en darse cuenta de la gravedad y parchar. El periodista de ciberseguridad Brian Krebs ha elaborado una línea de tiempo básica del hack masivo del Exchange Server, y dice que Microsoft ha confirmado que se enteró de las vulnerabilidades a principios de enero.

 

Eso es casi 2 meses antes de que Microsoft publicara su primer conjunto de parches, junto con una publicación de blog que no explicaba el alcance o la escala del ataque. Originalmente, incluso planeaba esperar uno de sus martes de parches estándar, pero cedió y lo pospuso una semana antes.

 

Ahora, MIT Technology Review informa que Hafnium puede no ser la única amenaza, citando a un analista de ciberseguridad que afirma que parece haber al menos cinco grupos de piratas informáticos que explotan activamente las fallas de Exchange Server." 

 

Según los informes, los funcionarios del gobierno están luchando por hacer algo, y un funcionario estatal le dice a Cyberscoop que es "un gran negocio".

 

La bomba informática

 

Hannah Murphy escribió en Financial Times que el asunto es mucho más complejo porque lo que parecía una campaña china clandestina de espionaje dirigida a "individuos específicos" a través de fallas en el software de correo electrónico de Microsoft, "se ha convertido en un devastador pirateo global gratuito que está cobrando decenas de miles de víctimas comerciales y del sector público." 

 

La Agencia de Seguridad de Infraestructura y Ciberseguridad de USA (CISA) emitió una alerta en Twitter instando a "TODAS las organizaciones de TODOS los sectores a seguir las pautas para abordar la explotación nacional e internacional generalizada" de 4 vulnerabilidades en la aplicación de correo electrónico Exchange de Microsoft, que la empresa de tecnología divulgado hace una semana.

 

El asunto resulta muy grave.

 

"Todas las posibles víctimas que no habían implementado sus parches a mediados o finales de la semana pasada ya han sido golpeadas por al menos uno o varios actores", dijo Dmitri Alperovitch, cofundador del grupo de seguridad CrowdStrike, que ahora dirige el think-tank Silverado Policy Accelerator.

 

A medida que estos ataques se propaguen, esl problema se convertirá en una crisis para las organizaciones con menos recursos”, advirtió en Twitter, John Hultquist, vicepresidente de Mandiant Threat Intelligence de FireEye. 

 

El desastre informático sucede cuando empresas y agencias gubernamentales estadounidenses todavía intentan recuperarse de un hackeo del espionaje ruso que encontró cómo utilizar a su favor un producto de software convencional: el caso SolarWinds.

 

Así, por 2da. vez en menos de 4 meses, los sectores público y privado del mundo fueron obligados a evaluar si se han visto afectados y, de confirmarse la intrusión, qué daño sufrieron. En los casos en los que los piratas lograron instalar puntos de apoyo o cabeceras de playa, se requiere una muy cuidadosa tarea de expulsión.

 

Importante no dejar pasar lo de SolarWinds: ese desastre informático estadounidense, que impactó en agencias de seguridad e inteligencia, también involucró a Microsoft. Fueron debilidades del software de Microsoft las que aprovecharon los rusos.

 

El ataque

 

Al principio, el hackeo a Microsoft resultó igualmente sigiloso. Todo indica de que comenzó en enero, al correo electrónico de individuos muy específicos de organizaciones no gubernamentales, según Sean Koessel, vicepresidente de servicios profesionales de Volexity.

 

"Pudieron entrar a voluntad y robar correos electrónicos de manera muy selectiva", explicó Koessel. 

 

Pero durante el último fin de semana de febrero, Hafnium u otro grupo intensificó sus ataques. 

 

Entonces, Microsoft hizo públicas las vulnerabilidades.

 

A partir de ese momento se desató una 3ra. ola de ataques, la más importante ya que otros grupos criminales decidieron explotar las fallas de Microsoft. 

 

Recién el viernes 05/03, CISA realizó una llamada, informada por el diario The Wall Street Journal, a más de 4.000 grupos de infraestructura crítica, tanto del sector privado como del gobierno, advirtiéndoles que debían parchar sus sistemas.

 

“Los equipos de respuesta a incidentes están AGOTADOS [y] esto está en un momento realmente malo” , escribió Chris Krebs, exjefe de CISA durante la Administración Donald Trump, en Twitter, describiendo los ataques como “el verdadero negocio”. 

 

Las estimaciones del número de víctimas siguen aumentando. 

 

El veterano de la seguridad cibernética Brian Krebs ha afirmado que al menos 30.000 organizaciones estadounidenses "incluyendo un número significativo de pequeñas empresas, pueblos, ciudades y gobiernos locales" fueron pirateadas en esa 3ra. ola. Otras estimaciones han llegado a las 250.000 víctimas.

 

Huntress, un grupo de seguridad cibernética enfocado en las pequeñas empresas, informó que había descubierto más de 350 víctimas hackeadas entre su clientela, incluidos "pequeños hoteles, una empresa de helados, un fabricante de electrodomésticos de cocina, múltiples comunidades de personas mayores y otras menos atractivas empresas medianas”.

 

Roni Suchowski, un investigador de seguridad independiente con sede en el Reino Unido, puso a prueba casi 12.000 servidores Exchange accesibles desde Internet y descubrió que alrededor de 4.500 eran vulnerables, 33% de la muestra. 

 

En su listado aparecen sitios web gubernamentales, instituciones académicas, bufetes de abogados y empresas privadas, incluids una que integra el índice bursátil FTSE 250 que parchó su servidor recién después de ser informado de la intrusión. 

 

Ahí vienen los chinos

 

Jen Psaki, secretaria de Prensa de la Casa Blanca, dijo que había un "gran número de víctimas".

 

Theresa Payton, ex directora de información de la Casa Blanca y directora ejecutiva de la consultora de seguridad cibernética Fortalice Solutions, dijo que era probable que la 1ra. ola de ataques sí fuese una clásica campaña china del tipo "espionaje industrial". 

 

Los piratas informáticos podrían haber buscado información de investigación y desarrollo sobre vacunas contra el coronavirus o alguna propiedad intelectual relacionada con las empresas Big Tech o indicadores de las políticas comerciales de USA con respecto a Chinao. 

 

Beijing ha negado su responsabilidad.

 

“Todavía hay unidades [de piratería informática respaldadas por el Estado chino] que... son como una aspiradora, capturando todos los granos de arena de la playa para llevarlos a su oficina y luego tamizarlos en busca de las piedras preciosas", explicó.

 

El ataque de los grupos de piratería criminal podría anticipar a las víctimas una ola de intrusiones de ransomware: los atacantes obtienen datos de las víctimas y reclaman un pago a cambio de no hacerlos públicos. 

 

Para el presidente Joe Biden es un problema en su política exterior recibir ataques tan virulentos, atribuidos a Rusia y China.

 

"Esto, en mi opinión, merece una respuesta significativa por parte de la Administración Biden", dijo Alperovitch.